התקנת Kf ב-Google Cloud (גרסת Preview)

במאמר הזה מוסבר איך להגדיר אשכול GKE, ואז להתקין את Kf ואת התלות שלו באמצעות תכונות חדשות בגרסת טרום-השקה.

  • ‫Kf ישתמש בסטאק החדש שעוטף את v2 כדי לספק יתרונות של buildpack מבוסס-ענן לאפליקציות מדור קודם.
  • הסרת Config Connector כתלות.
  • מסיר את serviceAccountUpdaterהתפקיד בהתאמה אישית ב-IAM.

לפני שמתחילים

הדרישות לאשכול GKE

  • אופציונלי, אבל מומלץ: האשכול צריך להיות ייעודי ל-Kf. אנחנו ממליצים להתקין רק את Kf ואת התלויות שלו כדי לשמור על מטריצת התאימות.

  • לפחות ארבעה צמתים. אם צריך להוסיף צמתים, אפשר לעיין במאמר בנושא שינוי הגודל של אשכול.

  • סוג המכונה המינימלי שכולל לפחות ארבעה vCPU, כמו e2-standard-4. אם לסוג המכונה של האשכול אין לפחות ארבע ליבות וירטואליות (vCPU), צריך לשנות את סוג המכונה כמו שמתואר במאמר העברת עומסי עבודה לסוגי מכונות שונים.

  • אופציונלי, אבל מומלץ: רישום האשכול לערוץ הפצה. אם יש לכם גרסת GKE סטטית, פועלים לפי ההוראות שבקטע רישום אשכול קיים בערוץ הפצה.

  • Workload Identity מופעל.

דרישות לגבי Kf

בדקו את הרשאות הגישה של רכיבים ב-Kf בדף הארכיטקטורה והתלויות של Kf.

במטריצת התלות מפורטות הגרסאות הספציפיות.

הפעלת התמיכה ב-Compute Engine

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. מפעילים את Compute Engine API.

    הפעלת ה-API

הפעלת תמיכה ב-Artifact Registry

  1. מפעילים את Artifact Registry API.

    הפעלת Artifact Registry API

הפעלה והגדרה של GKE

לפני שמתחילים, חשוב לוודא שביצעתם את הפעולות הבאות:

  • מפעילים את ממשק Google Kubernetes Engine API.
    • הפעלת Google Kubernetes Engine API
  • אם רוצים להשתמש ב-CLI של Google Cloud למשימה הזו, צריך להתקין ואז להפעיל את ה-CLI של gcloud. אם התקנתם בעבר את ה-CLI של gcloud, מריצים את הפקודה gcloud components update כדי לקבל את הגרסה העדכנית. יכול להיות שגרסאות קודמות של ה-CLI של gcloud לא יתמכו בהרצת הפקודות שמופיעות במסמך הזה.

הגדרה של משתני סביבה

‫Linux ו-Mac

export PROJECT_ID=YOUR_PROJECT_ID
export CLUSTER_PROJECT_ID=YOUR_PROJECT_ID
export CLUSTER_NAME=kf-cluster
export COMPUTE_ZONE=us-central1-a
export COMPUTE_REGION=us-central1
export CLUSTER_LOCATION=${COMPUTE_ZONE} # Replace ZONE with REGION to switch
export NODE_COUNT=4
export MACHINE_TYPE=e2-standard-4
export NETWORK=default

Windows PowerShell

Set-Variable -Name PROJECT_ID -Value YOUR_PROJECT_ID
Set-Variable -Name CLUSTER_PROJECT_ID -Value YOUR_PROJECT_ID
Set-Variable -Name CLUSTER_NAME -Value kf-cluster
Set-Variable -Name COMPUTE_ZONE -Value us-central1-a
Set-Variable -Name COMPUTE_REGION -Value us-central1
Set-Variable -Name CLUSTER_LOCATION -Value $COMPUTE_ZONE # Replace ZONE with REGION to switch
Set-Variable -Name NODE_COUNT -Value 4
Set-Variable -Name MACHINE_TYPE -Value e2-standard-4
Set-Variable -Name NETWORK -Value default

הגדרה של חשבון שירות

יוצרים Google Cloud חשבון שירות שישויך לחשבון שירות של Kubernetes באמצעות Workload Identity. כך לא צריך ליצור ולהוסיף מפתח של חשבון שירות.

  1. יוצרים את חשבון השירות שבו Kf ישתמש.

    gcloud iam service-accounts create ${CLUSTER_NAME}-sa \
--project=${CLUSTER_PROJECT_ID} \
--description="GSA for Kf ${CLUSTER_NAME}" \
--display-name="${CLUSTER_NAME}"

  2. מקצים לחשבון השירות את התפקיד של מדדי המעקב כדי לקבל הרשאת כתיבה ל-Cloud Monitoring.

    gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role="roles/monitoring.metricWriter"

  3. נותנים לחשבון השירות את תפקיד הרישום ביומן כדי לאפשר לו גישת כתיבה ל-Cloud Logging.

    gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role="roles/logging.logWriter"

יצירת אשכול GKE

gcloud container clusters create ${CLUSTER_NAME} \
  --project=${CLUSTER_PROJECT_ID} \
  --zone=${CLUSTER_LOCATION} \
  --num-nodes=${NODE_COUNT} \
  --machine-type=${MACHINE_TYPE} \
  --disk-size "122" \
  --network=${NETWORK} \
  --addons HorizontalPodAutoscaling,HttpLoadBalancing,GcePersistentDiskCsiDriver \
  --enable-dataplane-v2 \
  --enable-stackdriver-kubernetes \
  --enable-ip-alias \
  --enable-autorepair \
  --enable-autoupgrade \
  --scopes cloud-platform \
  --release-channel=regular \
  --workload-pool="${CLUSTER_PROJECT_ID}.svc.id.goog" \
  --service-account="${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

הגדרת כללים לחומת האש

כדי להשתמש ב-Kf, צריך לפתוח כמה יציאות בחומת האש. לצומת הראשי צריכה להיות אפשרות לתקשר עם פודים ביציאות 80, ‏ 443, ‏ 8080, ‏ 8443 ו-6443.

הפעלה של Workload Identity

אחרי שיצרתם חשבון שירות ואשכול GKE, צריך לשייך את מרחב השמות של הזהות של האשכול לאשכול.

gcloud iam service-accounts add-iam-policy-binding \
  --project=${CLUSTER_PROJECT_ID} \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:${CLUSTER_PROJECT_ID}.svc.id.goog[kf/controller]" \
  "${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

gcloud iam service-accounts add-iam-policy-binding \
  --project=${CLUSTER_PROJECT_ID} \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:${CLUSTER_PROJECT_ID}.svc.id.goog[cnrm-system/cnrm-controller-manager]" \
  "${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

אשכול GKE ליעד

מגדירים גישה לשורת הפקודה של kubectl על ידי הרצת הפקודה הבאה.

gcloud container clusters get-credentials ${CLUSTER_NAME} \
    --project=${CLUSTER_PROJECT_ID} \
    --zone=${CLUSTER_LOCATION}

יצירת מאגר Artifact Registry

  1. יוצרים Artifact Registry לאחסון קובצי אימג' של קונטיינרים.

    gcloud artifacts repositories create ${CLUSTER_NAME} \
  --project=${CLUSTER_PROJECT_ID} \
  --repository-format=docker \
  --location=${COMPUTE_REGION}

  2. מעניקים לחשבון השירות הרשאה במאגר Artifact Registry.

    gcloud artifacts repositories add-iam-policy-binding ${CLUSTER_NAME} \
  --project=${CLUSTER_PROJECT_ID} \
  --location=${COMPUTE_REGION} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role='roles/artifactregistry.writer'

התקנת יחסי תלות של תוכנה באשכול

  1. מתקינים את Cloud Service Mesh.

    1. פועלים לפי מדריך ההתקנה של Cloud Service Mesh.

    2. אחרי שמתקינים את Cloud Service Mesh, צריך ליצור שער כניסה באמצעות מדריך ההתקנה של שערים.

  2. מתקינים את Tekton:

    kubectl apply -f "https://storage.googleapis.com/tekton-releases/pipeline/previous/v0.29.0/release.yaml"

התקנה של Kf

  1. מתקינים את Kf CLI:

    Linux

    הפקודה הזו מתקינה את Kf CLI לכל המשתמשים במערכת. כדי להתקין אותו רק לעצמכם, פועלים לפי ההוראות בכרטיסייה Cloud Shell.

    gcloud storage cp gs://kf-releases/v2.7.3/kf-linux /tmp/kf
chmod a+x /tmp/kf
sudo mv /tmp/kf /usr/local/bin/kf

    Mac

    הפקודה הזו מתקינה את kf לכל המשתמשים במערכת.

    gcloud storage cp gs://kf-releases/v2.7.3/kf-darwin /tmp/kf
chmod a+x /tmp/kf
sudo mv /tmp/kf /usr/local/bin/kf

    Cloud Shell

    הפקודה הזו מתקינה את kf במכונת Cloud Shell אם משתמשים ב-bash. יכול להיות שיהיה צורך לשנות את ההוראות עבור מעטפות אחרות.

    mkdir -p ~/bin
gcloud storage cp gs://kf-releases/v2.7.3/kf-linux ~/bin/kf
chmod a+x ~/bin/kf
echo "export PATH=$HOME/bin:$PATH" >> ~/.bashrc
source ~/.bashrc

    Windows

    הפקודה הזו מורידה את kf לספרייה הנוכחית. אם רוצים להפעיל אותו מכל מקום אחר ולא רק מהספרייה הנוכחית, צריך להוסיף אותו לנתיב.

    gcloud storage cp gs://kf-releases/v2.7.3/kf-windows.exe kf.exe

  2. מתקינים את האופרטור:

    kubectl apply -f "https://storage.googleapis.com/kf-releases/v2.7.3/operator.yaml"

  3. מתקינים את Kf AppDevExperience Build (ADX Build).

    export CONTAINER_REGISTRY=${COMPUTE_REGION}-docker.pkg.dev/${CLUSTER_PROJECT_ID}/${CLUSTER_NAME}
cat << EOF | kubectl apply --filename -
apiVersion: builds.appdevexperience.dev/v1alpha1
kind: BuildSystem
metadata:
    name: buildsystem
spec:
  secrets:
    workloadidentity:
      googleprojectid: ${CLUSTER_PROJECT_ID}
      googleserviceaccount: ${CLUSTER_NAME}-sa
  containerRegistry: ${CONTAINER_REGISTRY}
  enabled: true
EOF

  4. מגדירים את ADX Build ל-Workload Identity.

    gcloud iam service-accounts add-iam-policy-binding \
  --project=${CLUSTER_PROJECT_ID} \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:${CLUSTER_PROJECT_ID}.svc.id.goog[adx-builds-system/controller]" \
  "${GSA_NAME}@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

  5. מגדירים את האופרטור ל-Kf:

    kubectl apply -f "https://storage.googleapis.com/kf-releases/v2.7.3/kfsystem.yaml"

  6. מגדירים סודות וערכי ברירת מחדל:

    export CONTAINER_REGISTRY=${COMPUTE_REGION}-docker.pkg.dev/${CLUSTER_PROJECT_ID}/${CLUSTER_NAME}

kubectl patch \
kfsystem kfsystem \
--type='json' \
-p="[{'op': 'replace', 'path': '/spec/kf', 'value': {'enabled': true, 'config': {'featureFlags': {'enable_appdevexperience_builds': true}, 'spaceContainerRegistry': '${CONTAINER_REGISTRY}', 'secrets':{'workloadidentity':{'googleserviceaccount':'${CLUSTER_NAME}-sa', 'googleprojectid':'${CLUSTER_PROJECT_ID}'}}}}}]"

אימות ההתקנה

kf doctor --retries=20

הסרת המשאבים

השלבים האלה אמורים להסיר את כל הרכיבים שנוצרו בקטע יצירה והכנה של אשכול GKE חדש.

  1. מחיקה של חשבון שירות של Google:

    gcloud iam service-accounts delete ${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com

  2. מחיקת קישורי מדיניות IAM:

    gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \
    --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountAdmin"
gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \
    --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
    --role="roles/monitoring.metricWriter"

  3. מחיקת מאגר קובצי אימג' של קונטיינרים:

    gcloud artifacts repositories delete ${CLUSTER_NAME} \
  --location=${COMPUTE_REGION}

  4. להסיר את Kf:

    kubectl patch kfsystem kfsystem \
  --type='json' \
  -p="[{'op': 'replace', 'path': '/spec/kf', 'value': {'enabled': false, }}]"

  5. מחיקת אשכול GKE:

    gcloud container clusters delete ${CLUSTER_NAME} --zone ${CLUSTER_LOCATION}