צירוף אשכול שתואם ל-CNCF

באמצעות אשכולות מחוברים של GKE, אתם יכולים להוסיף את אשכולות Kubernetes הקיימים שלכם – בין אם הם מתארחים ב-AWS, ב-Azure או במקום אחר – ללוח הבקרה של GKE לניהול מרכזי. האפשרות הזו כוללת את היכולת לצרף כל אשכול Kubernetes שתואם ל-CNCF.

אשכולות Kubernetes נתמכים

אתם יכולים להוסיף לצי כל אשכול תואם של Kubernetes עם צמתי x86, ואז לראות אותו במסוף Google Cloud לצד אשכולות GKE.

‫Google לא מאמתת כל הפצה של Kubernetes כדי לוודא שהיא תואמת באופן מלא לתכונות, אבל כל חוסר תאימות שמתגלה מתועד כאן. לפרטים נוספים ולעזרה בפתרון בעיות, אפשר לעיין במאמר בנושא תמיכה בגרסאות של אשכולות GKE ושדרוגים.

דרישות מוקדמות

מוודאים שהאשכול עומד בדרישות האשכול.

כשמצרפים את האשכול, צריך לציין את הפרטים הבאים:

• אזור אדמיניסטרטיבי נתמך Google Cloud
• גרסת פלטפורמה

האזור הניהולי הוא Google Cloud אזור לניהול האשכול המצורף. אפשר לבחור כל אזור נתמך, אבל מומלץ לבחור את האזור הקרוב ביותר גיאוגרפית לאשכול. לא נשמרים נתוני משתמשים באזור הניהולי.

גרסת הפלטפורמה היא הגרסה של אשכולות GKE מצורפים שמותקנת באשכול. כדי לראות את כל הגרסאות הנתמכות, מריצים את הפקודה הבאה:

gcloud container attached get-server-config  \
  --location=GOOGLE_CLOUD_REGION

מחליפים את GOOGLE_CLOUD_REGION בשם המיקוםGoogle Cloud שממנו רוצים לנהל את האשכול.

מספור גרסאות הפלטפורמה

במסמכים האלה, הגרסה של אשכולות מצורפים ב-GKE נקראת גרסת הפלטפורמה, כדי להבדיל אותה מגרסת Kubernetes. באשכולות GKE מצורפים משתמשים באותה שיטה למספור גרסאות כמו ב-GKE – לדוגמה, 1.21.5-gke.1. כשמצרפים או מעדכנים את האשכול, צריך לבחור גרסת פלטפורמה שגרסת המשנה שלה זהה לגרסת Kubernetes של האשכול או נמוכה ממנה ברמה אחת. לדוגמה, אתם יכולים לצרף אשכול שמריץ Kubernetes בגרסה ‎1.22.* ‎ עם פלטפורמת אשכולות מצורפים של GKE בגרסה ‎1.21.* ‎ או ‎1.22.*‎.

כך תוכלו לשדרג את האשכול לגרסה המשנית הבאה לפני שתשדרגו את אשכולות GKE המצורפים.

צירוף האשכול

כדי לצרף את האשכול התואם ל-CNCF אל Google Cloud ניהול Fleet, מריצים את הפקודות הבאות:

1. מוודאים שבקובץ kubeconfig יש רשומה של האשכול שרוצים לצרף. ההוראות הספציפיות משתנות בהתאם להפצה.

2. מריצים את הפקודה הזו כדי לחלץ את ההקשר של kubeconfig באשכול ולאחסן אותו במשתנה הסביבה KUBECONFIG_CONTEXT:

   KUBECONFIG_CONTEXT=$(kubectl config current-context)
   

3. הפקודה לרישום האשכול משתנה מעט בהתאם לשאלה אם לאשכול יש מנפיק OIDC ציבורי או פרטי. בוחרים את הכרטיסייה שמתאימה לאשכול:

   מנפיק OIDC פרטי

   משתמשים בפקודה gcloud container attached clusters register כדי לרשום את האשכול:

   gcloud container attached clusters register CLUSTER_NAME \
     --location=GOOGLE_CLOUD_REGION \
     --fleet-project=PROJECT_NUMBER \
     --platform-version=PLATFORM_VERSION \
     --distribution=generic \
     --context=KUBECONFIG_CONTEXT \
     --has-private-issuer \
     --kubeconfig=KUBECONFIG_PATH
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫CLUSTER_NAME: השם של האשכול. התווית CLUSTER_NAME צריכה להיות תואמת לתקן RFC 1123 לשמות תוויות.
   • ‫GOOGLE_CLOUD_REGION: האזור Google Cloud שממנו מנהלים את האשכול
   • ‫PROJECT_NUMBER: פרויקט המארח של ה-Fleet שבו רוצים לרשום את האשכול
   • ‫PLATFORM_VERSION: גרסת הפלטפורמה שבה ייעשה שימוש באשכול
   • ‫KUBECONFIG_CONTEXT: ההקשר בקובץ kubeconfig לגישה לאשכול
   • ‫KUBECONFIG_PATH: הנתיב לקובץ kubeconfig

   מנפיק OIDC ציבורי

   1. מאחזרים את כתובת ה-URL של ספק ה-OIDC של האשכול ושומרים אותה לשימוש מאוחר יותר. ההוראות הספציפיות משתנות בהתאם להפצה.

   2. מריצים את הפקודה הזו כדי לחלץ את ההקשר של kubeconfig באשכול ולאחסן אותו במשתנה הסביבה KUBECONFIG_CONTEXT:

      KUBECONFIG_CONTEXT=$(kubectl config current-context)
      

   3. משתמשים בפקודה gcloud container attached clusters register כדי לרשום את האשכול:

      gcloud container attached clusters register CLUSTER_NAME \
        --location=GOOGLE_CLOUD_REGION \
        --fleet-project=PROJECT_NUMBER \
        --platform-version=PLATFORM_VERSION \
        --distribution=generic \
        --issuer-url=ISSUER_URL \
        --context=KUBECONFIG_CONTEXT \
        --kubeconfig=KUBECONFIG_PATH
      

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫CLUSTER_NAME: השם של האשכול. התווית CLUSTER_NAME צריכה להיות תואמת לתקן RFC 1123 לשמות תוויות.
      • ‫GOOGLE_CLOUD_REGION: האזור Google Cloud לניהול האשכול
      • ‫PROJECT_NUMBER: פרויקט המארח של ה-Fleet שבו האשכול יירשם
      • ‫PLATFORM_VERSION: הגרסה של GKE Attached Clusters שבה יש להשתמש באשכול
      • ‫ISSUER_URL: כתובת ה-URL של המנפיק שאוחזרה קודם
      • ‫KUBECONFIG_CONTEXT: ההקשר בקובץ kubeconfig לגישה לאשכול, כפי שחולץ קודם
      • ‫KUBECONFIG_PATH: הנתיב לקובץ kubeconfig

אישור של Cloud Logging / Cloud Monitoring

כדי שאשכולות GKE מצורפים יוכלו ליצור ולהעלות יומנים ומדדים של המערכת אלGoogle Cloud, צריך לתת להם הרשאה.

כדי לתת לזהות של עומס העבודה ב-Kubernetes‏ gke-system/gke-telemetry-agentהרשאה לכתוב יומנים ב- Google Cloud Logging ומדדים ב- Google Cloud Monitoring, מריצים את הפקודה הבאה:

gcloud projects add-iam-policy-binding GOOGLE_PROJECT_ID \
  --member="serviceAccount:GOOGLE_PROJECT_ID.svc.id.goog[gke-system/gke-telemetry-agent]" \
  --role=roles/gkemulticloud.telemetryWriter

מחליפים את GOOGLE_PROJECT_ID במזהה הפרויקט של האשכול. Google Cloud

הקישור הזה ב-IAM מעניק גישה לכל האשכולות בפרויקט Google Cloud project project להעלאת יומנים ומדדים. צריך להריץ אותה רק אחרי שיוצרים את האשכול הראשון בפרויקט.

הוספת הקישור הזה של IAM תיכשל אלא אם נוצר לפחות אשכול אחד בפרויקט Google Cloud . הסיבה לכך היא שמאגר הזהויות של עומסי העבודה שאליו הוא מתייחס (GOOGLE_PROJECT_ID.svc.id.goog) לא מוקצה עד ליצירת האשכול.