Versi 2.7

Versi yang tersedia

2.11 - Versi terbaru
2.10
2.9
2.8 - EOL/Tidak Didukung
2.7 - EOL/Tidak Didukung
2.6 - EOL/Tidak Didukung
2.5 - EOL/Tidak Didukung
2.4 - EOL/Tidak Didukung
2.3 - EOL/Tidak Didukung
2.2 - EOL/Tidak Didukung
2.1 - EOL/Tidak Didukung

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menginstal Kf di Google Cloud

Dokumen ini menjelaskan cara menyiapkan cluster GKE, lalu menginstal Kf dan dependensinya.

Sebelum memulai

Persyaratan cluster GKE

Opsional, tetapi direkomendasikan, cluster harus didedikasikan untuk Kf. Sebaiknya instal Kf dan dependensinya saja untuk memastikan matriks kompatibilitas dipertahankan.
Minimal empat node. Jika Anda perlu menambahkan node, lihat Mengubah ukuran cluster.
Jenis mesin minimum yang memiliki setidaknya empat vCPU, seperti e2-standard-4. Jika jenis mesin untuk cluster Anda tidak memiliki setidaknya empat vCPU, ubah jenis mesin seperti yang dijelaskan dalam Memigrasikan workload ke jenis mesin yang berbeda.
Opsional, tetapi direkomendasikan, daftarkan cluster di a saluran rilis. Ikuti petunjuk dalam Mendaftarkan cluster yang ada di saluran rilis jika Anda memiliki versi GKE statis.
Workload Identity diaktifkan.

Persyaratan Kf

Tinjau dan pahami izin akses komponen di Kf di halaman Dependensi dan arsitektur Kf.

Matriks Dependensi mencantumkan versi tertentu.

Artifact Registry
Cloud Service Mesh
Config Connector
Tekton untuk digunakan oleh Kf; ini bukan layanan yang berinteraksi dengan pengguna
Akun Layanan Google khusus

Mengaktifkan dukungan untuk Compute Engine

Login ke akun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Aktifkan Compute Engine API.
Mengaktifkan API

Mengaktifkan dukungan untuk Artifact Registry

Aktifkan Artifact Registry API.
Mengaktifkan Artifact Registry API

Mengaktifkan dan mengonfigurasi GKE

Sebelum memulai, pastikan Anda telah melakukan tugas berikut:

Aktifkan Google Kubernetes Engine API.

Mengaktifkan Google Kubernetes Engine API

Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu lakukan inisialisasi gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan perintah gcloud components update. Versi gcloud CLI yang lebih lama mungkin tidak mendukung perintah yang dijalankan dalam dokumen ini.
Catatan: Untuk penginstalan gcloud CLI yang ada, pastikan untuk menyetel compute/region properti . Jika Anda menggunakan cluster zona terutama, tetapkan compute/zone sebagai gantinya. Dengan menetapkan lokasi default, Anda dapat menghindari error di gcloud CLI yang seperti ini: One of [--zone, --region] must be supplied: Please specify location. Anda mungkin perlu menentukan lokasi dalam perintah tertentu jika lokasi cluster berbeda dengan default yang Anda tetapkan.

Menyiapkan cluster GKE baru dan layanan terkait

Menyiapkan variabel lingkungan

Linux dan Mac

export PROJECT_ID=YOUR_PROJECT_ID
export CLUSTER_PROJECT_ID=YOUR_PROJECT_ID
export CLUSTER_NAME=kf-cluster
export COMPUTE_ZONE=us-central1-a
export COMPUTE_REGION=us-central1
export CLUSTER_LOCATION=${COMPUTE_ZONE} # Replace ZONE with REGION to switch
export NODE_COUNT=4
export MACHINE_TYPE=e2-standard-4
export NETWORK=default

Windows PowerShell

Set-Variable -Name PROJECT_ID -Value YOUR_PROJECT_ID
Set-Variable -Name CLUSTER_PROJECT_ID -Value YOUR_PROJECT_ID
Set-Variable -Name CLUSTER_NAME -Value kf-cluster
Set-Variable -Name COMPUTE_ZONE -Value us-central1-a
Set-Variable -Name COMPUTE_REGION -Value us-central1
Set-Variable -Name CLUSTER_LOCATION -Value $COMPUTE_ZONE # Replace ZONE with REGION to switch
Set-Variable -Name NODE_COUNT -Value 4
Set-Variable -Name MACHINE_TYPE -Value e2-standard-4
Set-Variable -Name NETWORK -Value default

Menyiapkan akun layanan

Buat akun layanan yang akan dikaitkan dengan Akun Layanan Kubernetes melalui Workload Identity. Google Cloud Hal ini mencegah kebutuhan untuk membuat dan menyisipkan kunci akun layanan.

Buat akun layanan yang akan digunakan Kf.

gcloud iam service-accounts create ${CLUSTER_NAME}-sa \
--project=${CLUSTER_PROJECT_ID} \
--description="GSA for Kf ${CLUSTER_NAME}" \
--display-name="${CLUSTER_NAME}"

Buat peran IAM kustom baru.

gcloud iam roles create serviceAccountUpdater \
--project=${CLUSTER_PROJECT_ID} \
--title "Service Account Updater" \
--description "This role only updates members on a GSA" \
--permissions iam.serviceAccounts.get,iam.serviceAccounts.getIamPolicy,iam.serviceAccounts.list,iam.serviceAccounts.setIamPolicy

Izinkan akun layanan untuk mengubah kebijakannya sendiri. Pengontrol Kf akan menggunakan ini untuk menambahkan ruang (nama) baru ke kebijakan, sehingga memungkinkan penggunaan kembali untuk Workload Identity.

gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role="projects/${CLUSTER_PROJECT_ID}/roles/serviceAccountUpdater"

Berikan peran metrik pemantauan untuk akses tulis ke Cloud Monitoring.

gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role="roles/monitoring.metricWriter"

Berikan peran logging untuk akses tulis ke Cloud Logging.

gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role="roles/logging.logWriter"

Membuat cluster GKE

gcloud container clusters create ${CLUSTER_NAME} \
  --project=${CLUSTER_PROJECT_ID} \
  --zone=${CLUSTER_LOCATION} \
  --num-nodes=${NODE_COUNT} \
  --machine-type=${MACHINE_TYPE} \
  --disk-size "122" \
  --network=${NETWORK} \
  --addons HorizontalPodAutoscaling,HttpLoadBalancing,GcePersistentDiskCsiDriver \
  --enable-dataplane-v2 \
  --enable-stackdriver-kubernetes \
  --enable-ip-alias \
  --enable-autorepair \
  --enable-autoupgrade \
  --scopes cloud-platform \
  --release-channel=regular \
  --workload-pool="${CLUSTER_PROJECT_ID}.svc.id.goog" \
  --service-account="${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

Menetapkan aturan firewall

Kf memerlukan beberapa port firewall untuk dibuka. Node master harus dapat berkomunikasi dengan pod di port 80, 443, 8080, 8443, dan 6443.

Mengaktifkan Workload Identity

Setelah memiliki akun layanan dan cluster GKE, kaitkan namespace identitas cluster dengan cluster.

gcloud iam service-accounts add-iam-policy-binding \
  --project=${CLUSTER_PROJECT_ID} \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:${CLUSTER_PROJECT_ID}.svc.id.goog[kf/controller]" \
  "${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

gcloud iam service-accounts add-iam-policy-binding \
  --project=${CLUSTER_PROJECT_ID} \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:${CLUSTER_PROJECT_ID}.svc.id.goog[cnrm-system/cnrm-controller-manager]" \
  "${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com"

Cluster GKE target

Konfigurasikan akses command line kubectl dengan menjalankan perintah berikut.

gcloud container clusters get-credentials ${CLUSTER_NAME} \
    --project=${CLUSTER_PROJECT_ID} \
    --zone=${CLUSTER_LOCATION}

Membuat repositori Artifact Registry

Buat Artifact Registry untuk menyimpan image container.

gcloud artifacts repositories create ${CLUSTER_NAME} \
  --project=${CLUSTER_PROJECT_ID} \
  --repository-format=docker \
  --location=${COMPUTE_REGION}

Berikan izin akun layanan di repositori Artifact Registry.

gcloud artifacts repositories add-iam-policy-binding ${CLUSTER_NAME} \
  --project=${CLUSTER_PROJECT_ID} \
  --location=${COMPUTE_REGION} \
  --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
  --role='roles/artifactregistry.writer'

Menginstal dependensi software di cluster

Instal Cloud Service Mesh v1.12.
1. Ikuti panduan penginstalan Cloud Service Mesh, termasuk langkah-langkah untuk membuat dan ingress gateway.
Instal Config Connector.

Catatan: Config Connector diperlukan mulai dari Kf v2.4.0.
Peringatan: Jangan gunakan metode add-on GKE untuk menginstal Config Connector karena tidak didukung oleh Kf. Gunakan langkah-langkah penginstalan kustom ini.
1. Download file tar Config Connector Operator yang diperlukan.
  
  Catatan: Simpan salinan paket penginstalan karena Anda memerlukan paket ini untuk meng-uninstal Config Connector.
2. Ekstrak file tar.
```
tar zxvf release-bundle.tar.gz
```
3. Instal operator Config Connector di cluster Anda.
```
kubectl apply -f operator-system/configconnector-operator.yaml
```
4. Konfigurasikan operator Config Connector.
  1. Salin YAML berikut ke dalam file bernama configconnector.yaml:
    
    Peringatan: Ganti variabel KF_SERVICE_ACCOUNT_NAME dalam YAML di bawah dengan akun layanan lengkap yang di-resolve dari ${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com
```
# configconnector.yaml
apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnector
metadata:
  # the name is restricted to ensure that there is only one
  # ConfigConnector resource installed in your cluster
  name: configconnector.core.cnrm.cloud.google.com
spec:
  mode: cluster
  googleServiceAccount: "KF_SERVICE_ACCOUNT_NAME" # Replace with the full service account resolved from ${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com
```
  2. Terapkan konfigurasi ke cluster Anda.
```
kubectl apply -f configconnector.yaml
```
5. Pastikan Config Connector terinstal sepenuhnya sebelum melanjutkan.
  - Config Connector menjalankan semua komponennya dalam namespace bernama cnrm-system. Verifikasi bahwa Pod sudah siap dengan menjalankan perintah berikut:
    
    Catatan: Pod pengontrol dapat memerlukan waktu beberapa menit untuk dimulai, sehingga perintah ini mungkin tidak langsung berfungsi.
```
kubectl wait -n cnrm-system --for=condition=Ready pod --all
```
  - Jika Config Connector diinstal dengan benar, Anda akan melihat output yang mirip dengan berikut:
```
pod/cnrm-controller-manager-0 condition met
pod/cnrm-deletiondefender-0 condition met
pod/cnrm-resource-stats-recorder-86858dcdc5-6lqzb condition met
pod/cnrm-webhook-manager-58c799b8fb-kcznq condition met
pod/cnrm-webhook-manager-58c799b8fb-n2zpx condition met
```
6. Siapkan Workload Identity.
```
kubectl annotate serviceaccount \
--namespace cnrm-system \
--overwrite \
cnrm-controller-manager \
iam.gke.io/gcp-service-account=${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com
```

Instal Tekton:

kubectl apply -f "https://storage.googleapis.com/tekton-releases/pipeline/previous/v0.29.0/release.yaml"

Menginstal Kf

Instal Kf CLI:
Linux
Perintah ini menginstal Kf CLI untuk semua pengguna di sistem. Ikuti petunjuk di tab Cloud Shell untuk menginstalnya hanya untuk Anda sendiri.
gcloud storage cp gs://kf-releases/v2.7.3/kf-linux /tmp/kf chmod a+x /tmp/kf sudo mv /tmp/kf /usr/local/bin/kf
Mac
Perintah ini menginstal kf untuk semua pengguna di sistem.
gcloud storage cp gs://kf-releases/v2.7.3/kf-darwin /tmp/kf chmod a+x /tmp/kf sudo mv /tmp/kf /usr/local/bin/kf
Cloud Shell
Perintah ini menginstal kf di instance Cloud Shell Anda jika Anda menggunakan bash. Petunjuknya mungkin perlu diubah untuk shell lainnya.
mkdir -p ~/bin gcloud storage cp gs://kf-releases/v2.7.3/kf-linux ~/bin/kf chmod a+x ~/bin/kf echo "export PATH=$HOME/bin:$PATH" >> ~/.bashrc source ~/.bashrc
Windows
Perintah ini mendownload kf ke direktori saat ini. Tambahkan ke jalur jika Anda ingin memanggilnya dari mana saja selain direktori saat ini.
gcloud storage cp gs://kf-releases/v2.7.3/kf-windows.exe kf.exe

Instal operator:

kubectl apply -f "https://storage.googleapis.com/kf-releases/v2.7.3/operator.yaml"

Konfigurasikan operator untuk Kf:

kubectl apply -f "https://storage.googleapis.com/kf-releases/v2.7.3/kfsystem.yaml"

Siapkan secret dan default:

export CONTAINER_REGISTRY=${COMPUTE_REGION}-docker.pkg.dev/${CLUSTER_PROJECT_ID}/${CLUSTER_NAME}

kubectl patch \
kfsystem kfsystem \
--type='json' \
-p="[{'op': 'replace', 'path': '/spec/kf', 'value': {'enabled': true, 'config': {'spaceContainerRegistry': '${CONTAINER_REGISTRY}', 'secrets':{'workloadidentity':{'googleserviceaccount':'${CLUSTER_NAME}-sa', 'googleprojectid':'${CLUSTER_PROJECT_ID}'}}}}}]"

Memvalidasi penginstalan

  kf doctor --retries=20

Pembersihan

Langkah-langkah ini akan menghapus semua komponen yang dibuat di bagian Membuat dan menyiapkan cluster GKE baru.

Hapus Akun Layanan Google:

gcloud iam service-accounts delete ${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com

Hapus binding kebijakan IAM:

gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \
    --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
    --role="roles/iam.serviceAccountAdmin"
gcloud projects remove-iam-policy-binding ${CLUSTER_PROJECT_ID} \
    --member="serviceAccount:${CLUSTER_NAME}-sa@${CLUSTER_PROJECT_ID}.iam.gserviceaccount.com" \
    --role="roles/monitoring.metricWriter"

Hapus repositori image container:

gcloud artifacts repositories delete ${CLUSTER_NAME} \
  --location=${COMPUTE_REGION}

Uninstal Kf:

kubectl patch kfsystem kfsystem \
  --type='json' \
  -p="[{'op': 'replace', 'path': '/spec/kf', 'value': {'enabled': false, }}]"

(Opsional) Hapus cluster GKE:

gcloud container clusters delete ${CLUSTER_NAME} --zone ${CLUSTER_LOCATION}