במאמר הזה מוסבר איך ליצור תחנת עבודה לאדמינים ב-Google Distributed Cloud. תחנת העבודה של האדמין מארחת כלי ממשק שורת פקודה (CLI) וקובצי הגדרות להקצאת אשכולות במהלך ההתקנה, וכלי CLI לאינטראקציה עם אשכולות שהוקצו לאחר ההתקנה.
הדף הזה מיועד לאדמינים, לארכיטקטים ולמפעילים שמגדירים, מנטרים ומנהלים את התשתית הטכנולוגית. מידע נוסף על תפקידים נפוצים ומשימות לדוגמה שאנחנו מתייחסים אליהם בתוכן זמין במאמר תפקידים נפוצים של משתמשים ומשימות ב-GKE. Google Cloud
ההוראות כאן מלאות. למבוא קצר יותר ליצירת תחנת עבודה לאדמין, אפשר לעיין במאמר יצירת תחנת עבודה לאדמין במדריך ליצירת אשכולות בסיסיים.
בחירת אופן היצירה של תחנת העבודה לאדמין
יש שתי דרכים ליצור תחנת עבודה לאדמין:
- משתמשים ב-
gkeadmכדי ליצור מכונה וירטואלית של תחנת עבודה לאדמין בסביבת vSphere. - יוצרים תחנת עבודה לאדמין שמנוהלת על ידי משתמש בכל מחשב שתבחרו.
לכל אחת מהגישות יש יתרונות וחסרונות.
כשמשתמשים ב-gkeadm כדי ליצור תחנת עבודה לאדמין, gkeadm מבצע את הפעולות הבאות, שמפשטות את ההגדרה:
- יוצר את המכונה הווירטואלית של תחנת העבודה לאדמין.
- תבנית המכונה הווירטואלית ש-
gkeadmמשתמש בה כדי ליצור את תחנת העבודה של האדמין כוללת את כל התוכנות שצריך כדי ליצור ולנהל אשכולות באמצעות כלי שורת הפקודהgkectl. - יוצר חשבון משתמש אחד שאתם או אדמינים אחרים יכולים להשתמש בו כדי להיכנס לתחנת העבודה של האדמין.
- מספק את פקודת ה-SSH להתחברות לתחנת העבודה של האדמין באמצעות חשבון המשתמש שסופק.
תחנת עבודה לאדמין שנוצרה באמצעות gkeadm יכולה לנהל רק קלאסטר אדמין אחד. אם אתם מתכננים ליצור כמה אשכולות אדמין, תצטרכו ליצור תחנת עבודה לאדמין לכל אשכול אדמין.
תחנת האדמין שנוצרה על ידי gkeadm קשורה למחזור החיים של האשכול. כשמשדרגים אשכול אדמין או אשכול משתמש שמנוהל על ידי אשכול האדמין, קודם צריך לשדרג את תחנת העבודה של האדמין.
כשמגדירים תחנת עבודה משלכם לאדמינים, צריך להתקין אחת ממערכות ההפעלה הנדרשות ואת כל התוכנות הנדרשות. הדבר גורם לכך שההגדרה הראשונית אורכת יותר זמן, כי יצירת מכונה וירטואלית מתבנית מהירה יותר מהתקנת התוכנה הנדרשת במחשב. אבל אחרי שמגדירים את תחנת העבודה, יש לה את היתרונות הבאים לעומת תחנת עבודה לאדמין שנוצרה על ידי gkeadm:
- אתם יכולים להגדיר את תחנת העבודה שמנוהלת על ידי המשתמש כדי ליצור ולנהל יותר מאשכול אדמין אחד.
- אין צורך לשדרג תחנת עבודה שמנוהלת על ידי המשתמש כשמשדרגים אשכול.
- אפשר להשתמש בכלים סטנדרטיים של CI/CD כדי להפוך את ניהול מחזור החיים של האשכול לאוטומטי.
- אתם יכולים להשתמש בשיטות אימות רגילות כמו Active Directory כדי לשלוט בגישה לתחנת העבודה של האדמין.
- אתם יכולים להשתמש במערכות הרשאה רגילות כדי לקבוע למה משתמשים יכולים לגשת בתחנת העבודה של האדמין, ולבדוק את הפעולות שלהם.
- אתם יכולים לבחור את התוכנה שבה אתם רוצים להשתמש כדי ליצור תמונות מצב או גיבויים של תחנת העבודה של האדמין.
יצירת תחנת עבודה לאדמין
gkeadm
לפני שמתחילים
לדעת מהי כתובת השרת של vCenter.
יוצרים פרויקט אחד או יותר ב- Google Cloud , כמו שמתואר במאמר בנושא שימוש בכמה פרויקטים ב- Google Cloud .
תכנון חשבונות השירות
כשמשתמשים ב-gkeadm כדי ליצור תחנת עבודה לאדמין, אפשר לאפשר ל-gkeadm ליצור חלק מחשבונות השירות והמפתחות בשבילכם. במקרה כזה, gkeadm גם מקצה את התפקידים המתאימים בממשק לניהול הזהויות והרשאות הגישה (IAM) לחשבונות השירות.
אפשרות אחרת היא ליצור את חשבונות השירות והמפתחות באופן ידני. במקרה כזה, תצטרכו להקצות תפקידים ב-IAM לחשבונות השירות באופן ידני.
יצירה ידנית של חשבונות שירות מעניקה לכם יותר גמישות מאשר יצירה באמצעות gkeadm:
לכל חשבונות השירות שנוצרו באופן אוטומטי יש את אותו פרויקט אבGoogle Cloud כמו לחשבון השירות של רכיב הגישה. כשיוצרים חשבון שירות באופן ידני, אפשר לבחור אתGoogle Cloud פרויקט האב.
לכל חשבונות השירות שנוצרים באופן אוטומטי מוקצים תפקידי IAM בפרויקט האב Google Cloud של חשבון השירות של רכיב הגישה. זה בסדר אם זה הפרויקט היחיד של Google Cloud שמשויך לאשכולות. אבל אם רוצים לשייך את האשכולות לכמה Google Cloud פרויקטים, צריך להקצות תפקידים לחשבון שירות בGoogle Cloud פרויקט לפי בחירה.
אם מחליטים ליצור חשבונות שירות משלכם, פועלים לפי ההוראות במאמר חשבונות שירות ומפתחות.
בין אם gkeadm יוצר עבורכם חשבונות שירות באופן אוטומטי ובין אם לא, יש חשבון שירות אחד שאתם צריכים ליצור באופן ידני: חשבון השירות לגישה לרכיבים. הוראות ליצירת חשבון שירות לגישה לרכיבים ולהקצאת תפקידים מתאימים ב-IAM מופיעות במאמר חשבון שירות לגישה לרכיבים.
יש עוד חשבון שירות אחד שאולי תצטרכו ליצור באופן ידני: חשבון השירות ליומני ביקורת. אם רוצים להשתמש בלקוח של GKE On-Prem API כדי לנהל את אשכולות המשתמשים, צריך להפעיל רישום ביומן ביקורת באשכול האדמין.
יצירת תבניות לקובצי התצורה
מורידים את gkeadm לספרייה הנוכחית.
יצירת תבניות:
./gkeadm create config
הפקודה הקודמת יצרה את הקבצים האלה בספרייה הנוכחית:
credential.yamladmin-ws-config.yaml
מילוי credential.yaml
ב-credential.yaml, ממלאים את שם המשתמש והסיסמה של vCenter. לדוגמה:
kind: CredentialFile items: - name: vCenter username: "my-account-name" password: "AadmpqGPqq!a"
מילוי admin-ws-config.yaml
כמה שדות ב-admin-ws-config.yaml כבר מלאים בערכי ברירת מחדל או בערכים שנוצרו. אתם יכולים להשאיר את הערכים שאוכלסו או לבצע שינויים לפי הצורך.
שדות שחובה למלא
ממלאים את שדות החובה הבאים. מידע על מילוי השדות מופיע במאמר בנושא קובץ התצורה של תחנת עבודה לאדמין.
gcp: componentAccessServiceAccountKeyPath: "Fill in" vCenter: credentials: address: "Fill in" datacenter: "Fill in" datastore: "Fill in" cluster: "Fill in" network: "Fill in" resourcePool: "Fill in" caCertPath: "Fill in"
אם רוצים ליצור את תחנת העבודה של האדמין בתיקיית VM של vSphere, ממלאים את השדה vCenter.folder:
vCenter: folder: "Fill in"
אם תחנת העבודה של האדמין תהיה מאחורי שרת proxy, צריך למלא את השדה proxyURL:
adminWorkstation: proxyURL: "Fill in"
אם רוצים שכתובת ה-IP של תחנת העבודה של האדמין תתקבל משרת DHCP, צריך להגדיר את ipAllocationMode ל-"dhcp" ולהסיר את הקטע hostconfig:
adminWorkstation: network: ipAllocationMode: "dhcp"
אם רוצים לציין כתובת IP סטטית לתחנת העבודה של האדמין, מגדירים את הערך ipAllocationMode ל-"static" וממלאים את הקטע hostconfig:
adminWorkstation:
network:
ipAllocationMode: "static"
hostconfig:
ip: "Fill in"
gateway: "Fill in"
netmask: "Fill in"
dns:
- "Fill in"
התחברות
- מתחברים באמצעות חשבון Google. הפעולה הזו מגדירה את הנכס
accountשל ה-SDK:
gcloud auth login
- מוודאים שהנכס
accountשל ה-SDK מוגדר בצורה נכונה:
gcloud config list
- החשבון ב-Google שמוגדר כנכס
accountSDK נקרא חשבון SDK. כלי שורת הפקודהgkeadmמשתמש בחשבון ה-SDK שלכם כדי להוריד את קובץ ה-OVA של תחנת העבודה של האדמין ולהפעיל שירותים בפרויקטGoogle Cloud .
אם בוחרים באפשרות ש-gkeadm ייצור באופן אוטומטי חשבונות שירות בשבילכם, הוא גם ישתמש בחשבון ה-SDK שלכם כדי ליצור חשבונות שירות ומפתחות, ולהקצות תפקידים לחשבונות שירות.gkeadm
לכן חשוב להגדיר את המאפיין SDK account לפני שמריצים את הפקודה gkeadm כדי ליצור תחנת עבודה לאדמין.
בפלט מוצגים הערכים של הנכס account של ערכת ה-SDK.
לדוגמה:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
הקצאת תפקידים לחשבון ה-SDK שלך
בחשבון ה-SDK שלכם צריך להיות תפקיד ה-IAM הבא בפרויקט האב Google Cloud של חשבון השירות שלכם לגישה לרכיבים.
כך ש-gkeadm יוכל להפעיל שירותים בפרויקט Google Cloud .
serviceUsage.serviceUsageAdmin
אם בוחרים באפשרות ש-gkeadm ייצור באופן אוטומטי חשבונות שירות בשבילכם, לחשבון ה-SDK צריך להיות גם התפקידים הבאים בפרויקט האב של חשבון השירות של שירות הגישה לרכיבים. כך gkeadm יכול ליצור חשבונות שירות ומפתחות.
resourcemanager.projectIamAdminiam.serviceAccountCreatoriam.serviceAccountKeyAdmin
כדי להקצות תפקידים בפרויקט Google Cloud , צריכות להיות לכם הרשאות מסוימות בפרויקטGoogle Cloud . פרטים נוספים זמינים במאמר הענקה, שינוי וביטול גישה למשאבים.
אם יש לכם את ההרשאות הנדרשות, אתם יכולים להקצות את התפקידים בעצמכם. אחרת, מישהו אחר בארגון צריך להקצות לכם את התפקידים.
כדי להקצות את התפקיד הנדרש לחשבון ה-SDK:
Linux ו-macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/serviceusage.serviceUsageAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/serviceusage.serviceUsageAdmin"
מחליפים את מה שכתוב בשדות הבאים:
PROJECT_ID: המזהה שלGoogle Cloud פרויקט האב של חשבון השירות של רכיב הגישה
ACCOUNT: החשבון שלכם ב-SDK
כדי להקצות תפקידים נוספים במקרה שרוצים ש-gkeadm ייצור באופן אוטומטי חשבונות שירות:
Linux ו-macOS
gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="user:ACCOUNT" \ --role="roles/iam.serviceAccountKeyAdmin"
Windows
gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/resourcemanager.projectIamAdmin" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountCreator" gcloud projects add-iam-policy-binding PROJECT_ID ^ --member="user:ACCOUNT" ^ --role="roles/iam.serviceAccountKeyAdmin"
מחליפים את מה שכתוב בשדות הבאים:
PROJECT_ID: המזהה של פרויקט האב של חשבון השירות לגישה לרכיבים
ACCOUNT: החשבון שלכם ב-SDK
יצירת תחנת עבודה לאדמין
כדי ליצור את תחנת העבודה לאדמין, מזינים את הפקודה הבאה. אם רוצים ש-gkeadm ייצור בשבילכם את חשבונות השירות connect-register ו-logging-monitoring, צריך לכלול את הדגל --auto-create-service-accounts. אם רוצים ליצור את חשבונות השירות האלה באופן ידני, משמיטים את האפשרות.
./gkeadm create admin-workstation [--auto-create-service-accounts]
הפלט כולל מידע מפורט על יצירת תחנת העבודה לאדמין:
... Getting ... service account... ... ******************************************************************** Admin workstation is ready to use. Admin workstation information saved to /usr/local/google/home/me/my-admin-workstation This file is required for future upgrades SSH into the admin workstation with the following command: ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1 ********************************************************************
יצירת חיבור SSH לתחנת העבודה של האדמין
לקראת סוף הפלט הקודם יש פקודה שאפשר להשתמש בה כדי ליצור חיבור SSH לתחנת העבודה של האדמין. מזינים את הפקודה הזו עכשיו. לדוגמה:
ssh -i /usr/local/google/home/me/.ssh/gke-admin-workstation ubuntu@172.16.5.1
מציגים את רשימת הקבצים בתחנת העבודה של האדמין:
ls -1
בפלט אפשר לראות שני קובצי תצורה של אשכול, קובץ אישור CA וקובץ מפתח JSON לחשבון שירות של רכיב גישה. אם gkeadm יצר עבורכם חשבונות שירות, תוכלו גם לראות את קובצי מפתחות ה-JSON של חשבונות השירות האלה. לדוגמה:
admin-cluster.yaml user-cluster.yaml vcenter-ca-cert.pem component-access-key.json
מוודאים שgkeadm הפעיל את חשבון השירות של הגישה לרכיבים בתחנת העבודה של האדמין:
gcloud config get-value account
העתקת קובצי מפתח JSON לתחנת העבודה של האדמין
לפני שיוצרים אשכול, קובצי ה-JSON של המפתחות של חשבונות השירות צריכים להיות בספריית הבית של תחנת העבודה של האדמין.
המפתח של חשבון השירות לגישה לרכיבים כבר נמצא בתחנת העבודה של האדמין.
אם כללתם את הדגל --auto-create-service-accounts כשביצעתם את הפקודה gkeadm create admin-workstation, המפתחות של חשבונות השירות הבאים כבר נמצאים בתחנת העבודה של האדמין בספריית הבית. אחרת, צריך להעתיק ידנית את המפתחות לספריית הבית של תחנת העבודה של האדמין:
- קישור חשבון שירות
- חשבון שירות לרישום ביומן ולמעקב
אם יצרתם אחד מחשבונות השירות הבאים, אתם צריכים להעתיק באופן ידני את המפתחות של חשבונות השירות האלה לספריית הבית של תחנת העבודה של האדמין:
- חשבון השירות של יומן הביקורת
- חשבון שירות של Binary Authorization
שחזור תחנת העבודה של האדמין מקובץ גיבוי
כשמשדרגים תחנת עבודה של אדמין, הפקודה gkeadm upgrade
שומרת קובץ גיבוי. אם בהמשך לא יהיה לכם יותר תחנת עבודה לאדמין, או אם איבדתם חלק מהקבצים שהיו בתחנת העבודה המשודרגת לאדמין, תוכלו להשתמש בקובץ הגיבוי הזה כדי ליצור תחנת עבודה לאדמין שתשוחזר למצב שהיה מיד אחרי השדרוג.
כדי ליצור תחנת עבודה לאדמין מקובץ גיבוי, מריצים את הפקודה הבאה:
gkeadm create admin-workstation --restore-from-backup ADMIN_WORKSTATION_NAME-backup.tar.gz
מחליפים את ADMIN_WORKSTATION_NAME בשם תחנת האדמין.
בניהול המשתמש
בוחרים מחשב שישמש כתחנת עבודה לאדמין. אפשר להשתמש ב-Ubuntu או ב-Red Hat Enterprise Linux (RHEL). אלה הדרישות:
Ubuntu 20.04 LTS או 22.04 LTS
- מעבד (CPU) עם 4 ליבות
- RAM בנפח 8 GiB
- אחסון בנפח 100 GiB
RHEL 8.6, 8.7 או 8.8
- מעבד (CPU) עם 4 ליבות
- RAM בנפח 12GB
- אחסון בנפח 256 GiB
גישה אל Google Cloud
לתחנת העבודה של האדמין צריכה להיות גישה ל- Google Cloud כדי להוריד ולהתקין כלים, לעבד בקשות הרשאה, ליצור חשבונות שירות ועוד.
למידע על דרכים שונות להתחבר ל-Google Cloud, אפשר לעיין במאמר התחברות ל-Google.
הגישה אל Google Cloud יכולה להיות ישירה או דרך שרת proxy. מידע על כללים של חומת אש ועל הגדרת שרת proxy זמין במאמר כללים של חומת אש ושרת proxy.
גישה ל-vCenter Server
כדי ליצור ולנהל אשכולות מתחנת העבודה של האדמין, אתם צריכים גישה למופע של vCenter Server. מידע נוסף:
הגדרת שרת NTP
אם הגדרתם את האשכול לשימוש בשרת NTP, אתם צריכים להגדיר שירות לסנכרון זמן בתחנת העבודה של האדמין כדי לוודא ש-timedatectl ידווח על זמן שמתואם לאשכול. הפעולה הזו נדרשת כדי למנוע בעיות של הבדלים גדולים בין השעונים, שעלולות לגרום לכישלונות באימות האישורים בגלל תאריכי תפוגה לא תואמים.
Ubuntu
מומלץ להשתמש בchrony שרת הזמן.
כדי להתקין את chrony:
sudo apt-get update sudo apt install chrony
הפעולה הזו יוצרת שני קבצים בינאריים:
-
chronyd– הדמון לסנכרון ולהצגה באמצעות Network Time Protocol -
chronyc– ממשק שורת הפקודה של דימוןchrony
כדי להגדיר את chronyd:
עורכים את /etc/chrony/chrony.conf כדי להוסיף או להסיר שורות של שרתים. ואז מפעילים מחדש את chrony:
sudo systemctl restart chrony.service
RHEL
מומלץ להשתמש בchrony שרת הזמן.
הוראות להתקנה מופיעות במאמר איך מגדירים את chrony.
sudo ללא סיסמה
אם מדיניות האבטחה מאפשרת זאת, מפעילים sudo ללא סיסמה עבור המשתמש הנוכחי. האפשרות הזו מאפשרת ל-gkectl להכין מאגר פרטי אם מספקים כזה, להגדיר שרת proxy ל-Docker אם הרשת נמצאת מאחורי שרת proxy, ולמחוק בכוח את אשכול האתחול שמשמש לפעולות של מחזור החיים של אשכול האדמין במקרה שהמחיקה נכשלת.
אם אתם בוחרים שלא להפעיל את sudo ללא סיסמה, ואתם מתכוונים להשתמש במאגר פרטי עבור אשכול הניהול, אתם צריכים לבצע את ההגדרה הידנית הבאה לפני שאתם יוצרים את אשכול הניהול:
ממקמים את אישור הבסיס של ה-CA עבור הרישום הפרטי בספרייה הזו:
/etc/docker/certs.d/REGISTRY_ADDRESS/
מחליפים את REGISTRY_ADDRESS בכתובת של המכונה שמריצה את המאגר הפרטי.
מידע נוסף מופיע במאמר אימות לקוח מאגר באמצעות אישורים.
אם הרשת שלכם נמצאת מאחורי שרת proxy, צריך לציין את שרת ה-proxy בקובץ התצורה של אשכול האדמין, ולהגדיר את Docker לשימוש בשרת ה-proxy.
אם בוחרים לא להפעיל sudo ללא סיסמה, יכול להיות שיהיה צורך למחוק ידנית את אשכול kind אחרי שיוצרים אשכול אדמין. מידע נוסף זמין במאמר Kind cluster does not get deleted (אשכול Kind לא נמחק) בתיעוד בנושא פתרון בעיות.
התקנת תוכנה
Ubuntu
מתקינים את התוכנה הבאה:
Docker גרסה 19.03 ואילך: אפשר לעיין במאמר בנושא התקנת Docker Engine ב-Ubuntu. מוודאים שהמשתמש שאין לו הרשאות בסיס הוא חבר בקבוצת Docker. פרטים נוספים זמינים במאמר בנושא ניהול Docker כמשתמש לא-בסיסי.
הגרסה האחרונה של ה-CLI של Google Cloud: אפשר לעיין במאמר התקנת ה-CLI של gcloud.
kubectl: מריצים את הפקודה
gcloud components install kubectlאו משתמשים בפקודהapt-get:
sudo apt-get update sudo apt-get -y install kubectl
RHEL
מתקינים את התוכנה הבאה:
Docker 19.03 ואילך
מסירים את הגרסה הקודמת של Docker:
sudo dnf remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine
מסירים את podman-manpages:
sudo dnf remove podman-manpages
מתקינים את Docker 19.03 ואילך:
sudo dnf install -y yum-utils sudo yum-config-manager \ --add-repo \ https://download.docker.com/linux/centos/docker-ce.repo sudo dnf install -y --allowerasing docker-ce docker-ce-cli containerd.io sudo systemctl start docker
כדי לוודא שאתם מריצים עכשיו גרסה 19.03 ואילך:
sudo docker version
כדי לוודא שגרסאות הלקוח והשרת הן 19.03 ומעלה, משווים את הפלט לדוגמה הבאה:
Client: Docker Engine - Community Version: 19.03.13 ... Server: Docker Engine - Community Engine: Version: 19.03.13
מוודאים ש-Docker פועל:
docker run hello-world
הפלט אמור להיראות כך:
Hello from Docker!
ההודעה הזו מציינת שההתקנה שלכם פועלת כראוי.
הגרסה האחרונה של Google Cloud CLI:
kubectl
מריצים את gcloud components install kubectl.
התחברות
החשבון ב-Google שמוגדר כנכס account SDK נקרא חשבון SDK. כלי שורת הפקודה gkectl משתמש בחשבון ה-SDK שלכם כדי להוריד קובצי OVA של צמתי אשכול, לשלוף קובצי אימג' של קונטיינרים ועוד. לכן חשוב להגדיר את מאפיין החשבון של ה-SDK לפני שמריצים פקודות gkectl.
מתחברים באמצעות חשבון Google. הפעולה הזו מגדירה את הנכס account של ה-SDK:
gcloud auth login
מוודאים שהנכס account של ה-SDK מוגדר בצורה נכונה:
gcloud config list
בפלט מוצגים הערכים של הנכס account של ערכת ה-SDK.
לדוגמה:
[core] account = my-name@google.com disable_usage_reporting = False Your active configuration is: [default]
הורדה של gkectl והחבילה
מנווטים לספרייה שבה רוצים להתקין את gkectl.
הורדה של gkectl:
gcloud storage cp gs://gke-on-prem-release/gkectl/VERSION/gkectl ./ chmod +x gkectl
מחליפים את VERSION בגרסה של Google Distributed Cloud. לדוגמה: 1.16.0-gke.1.
מורידים את חבילת Google Distributed Cloud. מוודאים שהגרסה זהה לגרסה שבה השתמשתם כדי להוריד את gkectl:
gcloud storage cp gs://gke-on-prem-release/gke-onprem-bundle/VERSION/gke-onprem-vsphere-VERSION.tgz ./
חשבונות שירות ומפתחות
חשוב לוודא שיצרתם את חשבונות השירות הנדרשים הבאים ואת קובצי מפתחות ה-JSON:
בנוסף, חשוב לוודא שיצרתם את כל חשבונות השירות האופציונליים ואת קובצי מפתחות ה-JSON שאתם צריכים:
ממקמים את כל קובצי מפתחות ה-JSON בספריית הבית של תחנת העבודה של האדמין.
פתרון בעיות
בקטע הבא מוסבר איך להפעיל מחדש את גישת ה-SSH לתחנת העבודה של האדמין במקרה שמפתח ה-SSH אבד או נפגם.
שחזור מפתח SSH
כדי לבצע את השלבים הבאים, צריך להשתמש במכונה וירטואלית זמנית:
כדי ליצור קבוצה חדשה של מפתחות SSH, פועלים לפי ההוראות שבמאמר יצירת מפתחות SSH במסמכי Compute Engine.
מוודאים שהמכונה הווירטואלית הזמנית ותחנת העבודה של האדמין נמצאות במצב
Powered Off.ב-vSphere, מחברים את דיסק האתחול של תחנת העבודה של האדמין למכונה הווירטואלית הזמנית.
דיסק האתחול כולל את התווית
Hard disk 1.כדי לטעון את דיסק האתחול בתוך מכונת ה-VM, מריצים את הפקודות הבאות:
sudo mkdir -p /mnt/boot-disk sudo mount DISK_ID /mnt/boot-diskמחליפים את
DISK_IDבמזהה של דיסק האתחול, שצריך להיות בפורמט דומה ל-dev/sdc1.עורכים את הקובץ
authorized_keysבדיסק האתחול כדי להוסיף את התוכן של קובץ המפתח הציבורי שנוצר בשלב הראשון:vi /mnt/boot-disk/.ssh/authorized_keysמכבים את המכונה הווירטואלית הזמנית.
מפעילים את תחנת העבודה של האדמין.
משתמשים במפתח הפרטי שנוצר כדי לגשת לתחנת העבודה של האדמין.
ssh -i ~/.ssh/new-admin-ws.key ubuntu@"${ADMIN_WS_IP}"
משתמשים במפתח הפרטי החדש שנוצר כדי להמשיך לגשת לתחנת העבודה של האדמין.