קובץ התצורה של אשכול אדמין בגרסה 1.30 ואילך

במאמר הזה מתוארים השדות בקובץ התצורה של אשכול האדמין ב-Google Distributed Cloud בגרסאות 1.30 ואילך.

יצירת תבנית לקובץ התצורה

אם השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה של האדמין, אז gkeadm יצר תבנית לקובץ התצורה של אשכול האדמין. בנוסף, gkeadm מילא חלק מהשדות בשבילכם.

אם לא השתמשתם ב-gkeadm כדי ליצור את תחנת העבודה של האדמין, אתם יכולים להשתמש ב-gkectl כדי ליצור תבנית לקובץ התצורה של אשכול האדמין.

כדי ליצור תבנית לקובץ התצורה של אשכול הניהול:

gkectl create-config admin --config=OUTPUT_FILENAME --gke-on-prem-version=VERSION

מחליפים את מה שכתוב בשדות הבאים:

• ‫OUTPUT_FILENAME: נתיב לבחירתכם לתבנית שנוצרה. אם לא מציינים את הדגל הזה, gkectl נותן לקובץ את השם admin-cluster.yaml וממקם אותו בספרייה הנוכחית.

• ‫VERSION: מספר הגרסה של Google Distributed Cloud. לדוגמה: gkectl create-config admin --gke-on-prem-version=1.34.100-gke.93. הגרסה הזו צריכה להיות שווה לגרסה gkectl או ישנה ממנה. אם לא מציינים את הדגל הזה, תבנית ההגדרות שנוצרת מאוכלסת בערכים שמבוססים על תיקון האבטחה האחרון מגרסה 1.34.

תבנית

apiVersion: v1
kind: AdminCluster
# (Optional) A unique name for this admin cluster. This will default to a random name
# prefixed with 'gke-admin-'
name: ""
# (Required) Absolute path to a GKE bundle on disk
bundlePath: ""
# (Optional) Enable advanced cluster options
enableAdvancedCluster: true
# # (Optional/Preview) The absolute or relative path to the yaml file to use for topology
# # domains. Require advanced cluster is enabled
# infraConfigFilePath: ""
# # (Optional/Preview) Specify the prepared secret configuration which can be added
# # or edited only during cluster creation
# preparedSecrets:
#   # enable prepared credentials for the admin cluster; it is immutable
#   enabled: false
# (Required) vCenter configuration
vCenter:
  address: ""
  datacenter: ""
  cluster: ""
  # Resource pool to use. Specify [VSPHERE_CLUSTER_NAME]/Resources to use the default
  # resource pool
  resourcePool: ""
  # Storage policy to use for cluster VM storage and default StorageClass. Do not
  # specify it together with datastore
  storagePolicyName: ""
  # # Datastore to use for cluster VM storage and default StorageClass. Do not specify
  # # it together with storagePolicyName
  # datastore: ""
  # Provide the path to vCenter CA certificate pub key for SSL verification
  caCertPath: ""
  # The credentials to connect to vCenter
  credentials:
    # reference to external credentials file
    fileRef:
      # read credentials from this file
      path: ""
      # entry in the credential file
      entry: ""
  # (Optional) vSphere folder where cluster VMs will be located. Defaults to the
  # datacenter wide folder if unspecified.
  folder: ""
  # # (Only used in 1.16 and older versions for non-HA admin cluster) Provide the name
  # # for the persistent disk to be used by the deployment (ending in .vmdk). Any directory
  # # in the supplied path must be created before deployment. Required for non-HA admin
  # # cluster. Invalid for HA admin cluster as the path is generated automatically under
  # # the root directory "anthos" in the specified datastore.
  # dataDisk: ""
# (Required) Network configuration
network:
  # (Required when using "static" ipMode.type; or "Seesaw" loadBalancer.kind; or using
  # amdin cluster HA mode) This section overrides ipMode.ipBlockFilePath values when
  # ipMode.type=static. It's also used for seesaw nodes
  hostConfig:
    # List of DNS servers
    dnsServers:
    - ""
    # List of NTP servers
    ntpServers:
    - ""
    # # List of DNS search domains
    # searchDomainsForDNS:
    # - ""
  ipMode:
    # (Required) Define what IP mode to use ("dhcp" or "static")
    type: static
    # (Required when using "static" mode) The absolute or relative path to the yaml
    # file to use for static IP allocation. Hostconfig part will be overwritten by
    # network.hostconfig if specified
    ipBlockFilePath: ""
  # (Required) The Kubernetes service CIDR range for the cluster. Must not overlap
  # with the pod CIDR range
  serviceCIDR: 10.96.232.0/24
  # (Required) The Kubernetes pod CIDR range for the cluster. Must not overlap with
  # the service CIDR range
  podCIDR: 192.168.0.0/16
  vCenter:
    # vSphere network name
    networkName: ""
  # (Required for HA admin cluster) Specify the IPs to use for control plane machines
  # for HA admin cluster.
  controlPlaneIPBlock:
    netmask: ""
    gateway: ""
    ips:
    - ip: ""
      hostname: ""
    - ip: ""
      hostname: ""
    - ip: ""
      hostname: ""
# (Required) Load balancer configuration
loadBalancer:
  # (Required) The VIPs to use for load balancing
  vips:
    # Used to connect to the Kubernetes API
    controlPlaneVIP: ""
  # (Required) Which load balancer to use "ManualLB" or "MetalLB".
  kind: MetalLB
  # # (Required when using "ManualLB" kind) Specify pre-defined nodeports
  # manualLB:
  #   # NodePort for ingress service's http (only needed for user cluster)
  #   ingressHTTPNodePort: 0
  #   # NodePort for ingress service's https (only needed for user cluster)
  #   ingressHTTPSNodePort: 0
  #   # NodePort for konnectivity server service (only needed for controlplane v1 user
  #   # cluster)
  #   konnectivityServerNodePort: 0
  #   # NodePort for control plane service (not needed for HA admin cluster or controlplane
  #   # V2 user cluster)
  #   controlPlaneNodePort: 30968
# Spread admin addon nodes and user masters across different physical hosts (requires
# at least three hosts)
antiAffinityGroups:
  # Set to false to disable DRS rule creation
  enabled: true
# Specify the admin master node configuration (default: 4 CPUs; 16384 MB memory; 3
# replicas). The replicas field has to be 3 for new admin cluster creation
adminMaster:
  cpus: 4
  memoryMB: 16384
  # How many machines of this type to deploy
  replicas: 3
  # # (Optional/Preview) Topology domains that admin cluster master nodes will be deployed
  # # to. Only 1 element is allowed. Advanced cluster must be enabled and infraConfigFilePath
  # # must be filled in admin cluster
  # topologyDomains:
  # - ""
  # # (Optional) Control plane load balancer configuration. Only supported when advanced
  # # cluster is enabled
  # controlPlaneLoadBalancer:
  #   # # (Optional) The control plane load balancer mode for advanced cluster. Possible values
  #   # # are bundled or manual. Default value is bundled for advanced cluster without topology
  #   # # domains; and is manual for advanced cluster with topology domains.
  #   # mode: ""
# # (Only used in 1.16 and older versions) Specify the addon node configuration which
# # can be added or edited only during cluster creation
# addonNode:
#   # Enable auto resize for addon node
#   autoResize:
#     # Whether to enable auto resize for master. Defaults to false.
#     enabled: false
# (Optional) Specify the proxy configuration
proxy:
  # The URL of the proxy
  url: ""
  # The domains and IP addresses excluded from proxying
  noProxy: ""
# # (Optional) Use a private registry to host GKE images
# privateRegistry:
#   # Do not include the scheme with your registry address
#   address: ""
#   credentials:
#     # reference to external credentials file
#     fileRef:
#       # read credentials from this file
#       path: ""
#       # entry in the credential file
#       entry: ""
#   # The absolute or relative path to the CA certificate for this registry
#   caCertPath: ""
# (Required): The absolute or relative path to the GCP service account key for pulling
# GKE images
componentAccessServiceAccountKeyPath: ""
# (Required) Specify which GCP project to register your GKE OnPrem cluster to
gkeConnect:
  projectID: ""
  # # (Optional) The location of the GKE Hub and Connect service where the cluster is
  # # registered to. It can be any GCP region or "global". Default to "global" when unspecified.
  # location: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # register the cluster
  registerServiceAccountKeyPath: ""
# # (Optional) Specify if you wish to explicitly enable/disable the cloud hosted gkeonprem
# # API to enable/disable cluster lifecycle management from gcloud UI and Terraform.
# gkeOnPremAPI:
#   enabled: false
# (Required) Specify which GCP project to connect your logs and metrics to
stackdriver:
  # The project ID for logs and metrics. It should be the same with gkeconnect.projectID.
  projectID: ""
  # A GCP region where you would like to store logs and metrics for this cluster.
  clusterLocation: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # send logs and metrics from the cluster
  serviceAccountKeyPath: ""
  # (Optional) Disable vsphere resource metrics collection from vcenter.  False by
  # default
  disableVsphereResourceMetrics: false
# (Optional) Configure kubernetes apiserver audit logging
cloudAuditLogging:
  # The project ID for logs and metrics. It should be the same with gkeconnect.projectID.
  projectID: ""
  # A GCP region where you would like to store audit logs for this cluster.
  clusterLocation: us-central1
  # The absolute or relative path to the key file for a GCP service account used to
  # send audit logs from the cluster
  serviceAccountKeyPath: ""
# # (Optional/Preview) Configure backups for admin cluster. Backups will be stored under
# # /anthos-backups/.
# clusterBackup:
#   # # datastore where admin cluster backups are desired
#   # datastore: ""
# Enable auto repair for the cluster
autoRepair:
  # Whether to enable auto repair feature. Set false to disable.
  enabled: true
# # Encrypt Kubernetes secrets at rest
# secretsEncryption:
#   # Secrets Encryption Mode. Possible values are: GeneratedKey
#   mode: GeneratedKey
#   # GeneratedKey Secrets Encryption config
#   generatedKey:
#     # # key version
#     # keyVersion: 1
#     # # disable secrets encryption
#     # disabled: false
# (Optional) Specify the type of OS image; available options can be set to "ubuntu_containerd"
# "cos" "ubuntu_cgv2" or "cos_cgv2". Default is "ubuntu_containerd".
osImageType: ubuntu_cgv2

שדות חובה וערכי ברירת מחדל

אם שדה מסומן כחובה, אז בקובץ התצורה המלא חייב להיות ערך בשדה.

אם מציינים ערך ברירת מחדל בשדה, האשכול ישתמש בערך הזה אם לא תזינו ערך בשדה. אתם יכולים להזין ערך כדי לשנות את ערך ברירת המחדל.

אם שדה לא מסומן כחובה, הוא אופציונלי. אתם יכולים למלא אותו אם הוא רלוונטי עבורכם, אבל אתם לא חייבים למלא אותו.

מילוי קובץ התצורה

בקובץ התצורה, מזינים את ערכי השדות כמו שמתואר בקטעים הבאים.

enableAdvancedCluster

name

אופציונלי
מחרוזת
ברירת מחדל: שם אקראי שמתחיל בקידומת gke-admin-‎

שם לבחירתכם לאשכול.

דוגמה:

name: "my-admin-cluster"

bundlePath

חובה
ניתן לשינוי
מחרוזת

הנתיב לקובץ ה-bundle של Google Distributed Cloud.

קובץ החבילה המלאה של Google Distributed Cloud מכיל את כל הרכיבים במהדורה מסוימת של Google Distributed Cloud. כשיוצרים תחנת עבודה לאדמינים, היא מגיעה עם חבילה מלאה בכתובת:

/var/lib/gke/bundles/gke-onprem-vsphere-VERSION-full.tgz

דוגמה:

bundlePath: "/var/lib/gke/bundles/gke-onprem-vsphere-1.10.0-gke.8.full.tgz"

preparedSecrets.enabled

אם infraConfigFilePath מוגדר, צריך להסיר את השדה הזה.

תצוגה מקדימה
אופציונלי
לא ניתן לשינוי
בוליאני
מאוכלס מראש: false
ברירת מחדל: false

מגדירים את הערך true אם רוצים להשתמש בפרטי כניסה מוכנים באשכול הניהול. אחרת, מגדירים את הערך ל-false או משמיטים את השדה.

דוגמה:

preparedSecrets:
  enabled: true

vCenter

בקטע הזה יש מידע על סביבת vSphere ועל החיבור ל-vCenter Server.

אם infraConfigFilePath מוגדר, מסירים את כל הקטע הזה. אחרת, חובה למלא את הקטע הזה והוא לא ניתן לשינוי.

vCenter.address

חובה
אי אפשר לשנות
מחרוזת

כתובת ה-IP או שם המארח של שרת vCenter.

מידע נוסף זמין במאמר בנושא איתור כתובת שרת vCenter.

דוגמאות:

vCenter:
  address: "203.0.113.100"

vCenter:
  address: "my-vcenter-server.my-domain.example"

vCenter.datacenter

חובה
אי אפשר לשנות
מחרוזת

הנתיב היחסי של מרכז נתונים של vSphere.

הערך שאתם מציינים הוא יחסי לתיקיית הבסיס שנקראת /.

אם מרכז הנתונים נמצא בתיקיית הבסיס, הערך הוא שם מרכז הנתונים.

דוגמה:

vCenter:
  datacenter: "my-data-center"

אחרת, הערך הוא נתיב יחסי שכולל תיקייה אחת או יותר יחד עם שם מרכז הנתונים.

דוגמה:

vCenter:
  datacenter: "data-centers/data-center-1"

vCenter.cluster

חובה
אי אפשר לשנות
מחרוזת

הנתיב היחסי של אוסף vSphere שמייצג את המארחים של ESXi שבהם יפעלו מכונות וירטואליות של אשכולות אדמין. קלאסטר vSphere הזה מייצג קבוצת משנה של מארחי ESXi פיזיים במרכז הנתונים של vCenter.

הערך שאתם מציינים הוא ביחס ל-/.../DATA_CENTER/vm/.

אם אשכול vSphere נמצא בתיקייה /.../DATA_CENTER/vm/, הערך הוא השם של אשכול vSphere.

דוגמה:

vCenter:
  cluster: "my-vsphere-cluster"

אחרת, הערך הוא נתיב יחסי שכולל תיקייה אחת או יותר יחד עם השם של אשכול vSphere.

דוגמה:

vCenter:
  cluster: "clusters/vsphere-cluster-1"

vCenter.resourcePool

חובה
אי אפשר לשנות
מחרוזת

מאגר משאבים של vCenter למכונות וירטואליות של אשכול האדמין.

אם רוצים להשתמש במאגר ברירת המחדל של המשאבים, צריך להגדיר את האפשרות הזו לערך VSPHERE_CLUSTER/Resources.

דוגמה:

vCenter:
  resourcePool: "my-vsphere-cluster/Resources"

אם רוצים להשתמש במאגר משאבים שכבר יצרתם, צריך להגדיר את הנתיב היחסי של מאגר המשאבים.

הערך שאתם מציינים הוא ביחס ל-/.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/

אם מאגר המשאבים הוא צאצא ישיר של /.../DATA_CENTER/host/.../VSPHERE_CLUSTER/Resources/, הערך הוא שם מאגר המשאבים.

דוגמה:

vCenter:
  resourcePool: "my-resource-pool"

אחרת, הערך הוא נתיב יחסי עם שני מאגרי משאבים או יותר.

דוגמה:

vCenter:
  resourcePool: "resource-pool-1/resource-pool-2"

vCenter.datastore

חובה אם לא מציינים את vCenter.storagePolicyName
אי אפשר לשנות
מחרוזת

השם של מאגר נתונים של vSphere עבור אשכול האדמין.

הערך שאתם מציינים צריך להיות שם, ולא נתיב. לא כוללים תיקיות בערך.

דוגמה:

vCenter:
  datastore: "my-datastore"

חובה לציין ערך למאפיין vCenter.datastore או למאפיין vCenter.storagePolicyName, אבל לא לשניהם. אם מציינים ערך בשדה הזה, לא מציינים ערך במאפיין vCenter.storagePolicyName. השדה vCenter.datastore הוא קבוע, אלא אם מגדירים את השדה למחרוזת ריקה כשמעבירים מאגר נתונים לניהול מבוסס מדיניות אחסון (SPBM).

vCenter.storagePolicyName

חובה אם לא מציינים את vCenter.datastore
אי אפשר לשנות
מחרוזת

השם של מדיניות האחסון של מכונת ה-VM עבור צמתי האשכול.

כדי לעבוד עם מדיניות האחסון, אשכול האדמין צריך להיות בעל זמינות גבוהה (HA).

מידע נוסף מופיע במאמר בנושא הגדרת מדיניות אחסון.

חובה לציין ערך למאפיין vCenter.datastore או למאפיין vCenter.storagePolicyName, אבל לא לשניהם. אם מציינים ערך בשדה הזה, לא מציינים ערך במאפיין vCenter.datastore.

vCenter.caCertPath

חובה
ניתן לשינוי
מחרוזת

הנתיב של אישור ה-CA של שרת vCenter.

מידע נוסף זמין במאמר בנושא קבלת אישור CA של vCenter.

למידע על עדכון השדה הזה באשכול קיים, אפשר לעיין במאמר בנושא עדכון הפניות לאישורים של vCenter.

דוגמה:

vCenter:
  caCertPath: "/usr/local/google/home/me/certs/vcenter-ca-cert.pem"

vCenter.credentials.fileRef.path

חובה
מחרוזת

הנתיב של קובץ תצורה של פרטי כניסה שמכיל את שם המשתמש והסיסמה של חשבון המשתמש שלכם ב-vCenter. לחשבון המשתמש צריך להיות תפקיד האדמין או הרשאות מקבילות. דרישות vSphere

אפשר להשתמש ב-gkectl update כדי לעדכן את השדה הזה באשכול קיים.

במאמר עדכון פרטי הכניסה של אשכול מוסבר איך לעדכן את פרטי הכניסה של vCenter.

דוגמה:

vCenter:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

vCenter.credentials.fileRef.entry

חובה
מחרוזת

השם של בלוק פרטי הכניסה בקובץ התצורה של פרטי הכניסה, שמכיל את שם המשתמש והסיסמה של חשבון המשתמש ב-vCenter.

אפשר להשתמש ב-gkectl update כדי לעדכן את השדה הזה באשכול קיים.

במאמר עדכון פרטי הכניסה של אשכול מוסבר איך לעדכן את פרטי הכניסה של vCenter.

דוגמה:

vCenter:
  credentials:
    fileRef:
      entry: "vcenter-creds"

vCenter.folder

אופציונלי
בלתי ניתן לשינוי
מחרוזת
ברירת מחדל: התיקייה בכל מרכז הנתונים

הנתיב היחסי של תיקיית vSphere שכבר יצרתם. בתיקייה הזו יישמרו מכונות וירטואליות של אשכול האדמין.

אם לא מציינים ערך, המכונות הווירטואליות של אשכול האדמין ימוקמו ב-/.../DATA_CENTER/vm/.

אם מציינים ערך, הוא יחסי ל-/.../DATA_CENTER/vm/.

הערך יכול להיות שם של תיקייה.

דוגמה:

vCenter:
  folder: "my-folder"

או שהערך יכול להיות נתיב יחסי שכולל יותר מתיקייה אחת.

דוגמה:

vCenter:
  folder: "folders/folder-1"

vCenter.dataDisk

אל תציינו ערך בשדה הזה. צריך למחוק את השדה או להוסיף לו הערה.

network

חובה
לא ניתן לשינוי

בקטע הזה מופיע מידע על הרשת של אשכול האדמין.

network.hostConfig

בקטע הזה יש מידע על שרתי NTP, שרתי DNS ודומיינים לחיפוש DNS שבהם נעשה שימוש במכונות הווירטואליות שהן הצמתים של האשכול.

אם infraConfigFilePath מוגדר, מסירים את כל הקטע הזה. אחרת, חובה למלא את הקטע הזה והוא לא ניתן לשינוי.

network.hostConfig.dnsServers

חובה אם ממלאים את הקטע network.hostConfig.
Immutable
Array of strings.
המספר המקסימלי של רכיבים במערך הוא שלושה.

הכתובות של שרתי ה-DNS למכונות הווירטואליות.

דוגמה:

network:
  hostConfig:
    dnsServers:
    - "172.16.255.1"
    - "172.16.255.2"

network.hostConfig.ntpServers

חובה אם ממלאים את הקטע network.hostConfig.
Immutable
Array of strings

הכתובות של שרתי הזמן שהמכונות הווירטואליות ישתמשו בהן.

דוגמה:

network:
  hostConfig:
    ntpServers:
    - "216.239.35.0"

network.hostConfig.searchDomainsForDNS

אופציונלי
בלתי ניתן לשינוי
מערך של מחרוזות

דומיינים לחיפוש DNS לשימוש במכונות הווירטואליות. הדומיינים האלה משמשים כחלק מרשימת חיפוש דומיינים.

דוגמה:

network:
  hostConfig:
    searchDomainsForDNS:
    - "my.local.com"

network.ipMode.type

בלתי ניתן לשינוי
מחרוזת
מאוכלס מראש: static
ברירת מחדל: dhcp

אם רוצים שצמתי האשכול יקבלו את כתובת ה-IP שלהם משרת DHCP, צריך להגדיר את הערך הזה ל-"dhcp". אם רוצים שצמתי האשכול יקבלו כתובות IP סטטיות מתוך רשימה שאתם מספקים, צריך להגדיר את הערך הזה ל-"static".

ברוב המקרים, צריך לציין static כי תמיד צריך לספק כתובות IP לצמתי מישור הבקרה של אשכול האדמין. פרוטוקול DHCP משמש רק כדי לספק כתובות IP במקרים הבאים:

• אם enableControlplaneV2 לא מופעל באשכולות משתמשים, אפשר להשתמש ב-DHCP עבור צמתי מישור הבקרה של אשכול המשתמשים, שנמצאים באשכול האדמין.

• בגרסה 1.16 ומטה, צמתי תוספים של אשכולות אדמין שאינם HA יכולים לקבל את כתובות ה-IP שלהם מ-DHCP. בגרסה 1.28 ואילך, אשכולות אדמין צריכים להיות HA, ואין להם צמתים של תוספים.

דוגמה:

network:
  ipMode:
    type: "static"

network.ipMode.ipBlockFilePath

הנתיב המוחלט או היחסי של קובץ חסימת כתובות ה-IP של האשכול.

אם infraConfigFilePath מוגדר, חובה למלא את השדה הזה.

חובה למלא את השדה הזה גם במקרים הבאים:

• ‫1.16 ומטה, אשכול אדמין ללא זמינות גבוהה: מפרטים את כתובות ה-IP של צומת מישור הבקרה ושל צומתי התוספים בקובץ בלוקים של כתובות IP.

• ‫1.16 ומטה: רשימת כתובות ה-IP של צמתי התוספים בקובץ של בלוק כתובות IP.

• ‫1.29 ומטה: ברשימת כתובות ה-IP של אשכול האדמין, מחפשים את כתובות ה-IP של הצמתים במישור הבקרה של אשכול המשתמשים.

בלתי ניתן לשינוי
מחרוזת

דוגמה:

network:
  ipMode:
    ipBlockFilePath: "/my-config-folder/admin-cluster-ipblock.yaml"

network.serviceCIDR

חובה
בלתי ניתן לשינוי
מחרוזת
הטווח הכי קטן שאפשר: ‎/24
הטווח הכי גדול שאפשר: ‎/12
מאוכלס מראש: ‎10.96.232.0/24

טווח של כתובות IP בפורמט CIDR, לשימוש בשירותים באשכול.

דוגמה:

network:
  serviceCIDR: "10.96.232.0/24"

network.podCIDR

חובה
בלתי ניתן לשינוי
מחרוזת
הטווח הכי קטן שאפשר: ‎/18
הטווח הכי גדול שאפשר: ‎/8
מאוכלס מראש: ‎192.168.0.0/16

טווח של כתובות IP בפורמט CIDR, לשימוש ב-Pods באשכול.

דוגמה:

network:
  podCIDR: "192.168.0.0/16"

טווח השירות לא יכול לחפוף לטווח ה-Pod.

הטווחים של השירות וה-Pod לא יכולים לחפוף לכתובת מחוץ לאשכול שרוצים להגיע אליה מתוך האשכול.

לדוגמה, נניח שטווח השירות הוא 10.96.232.0/24, וטווח הפוד הוא 192.168.0.0/16. כל תנועה שנשלחת מ-Pod לכתובת באחד מהטווחים האלה תטופל כתנועה בתוך האשכול ולא תגיע ליעד מחוץ לאשכול.

בפרט, טווחי ה-Service וה-Pod לא יכולים לחפוף ל:

• כתובות ה-IP של הצמתים בכל אשכול

• כתובות IP שמשמשות מכונות של מאזן עומסים

• כתובות VIP שמשמשות צמתים של רמת הבקרה ומאזני עומסים

• כתובת ה-IP של שרתי vCenter, שרתי DNS ושרתי NTP

מומלץ להגדיר את טווחי ה-Service וה-Pod במרחב הכתובות של RFC 1918.

זו אחת הסיבות להמלצה להשתמש בכתובות RFC 1918. נניח שטווח ה-Pod או השירות שלכם מכיל כתובות IP חיצוניות. כל תעבורת נתונים שנשלחת מ-Pod לאחת מהכתובות החיצוניות האלה תטופל כתעבורת נתונים בתוך האשכול ולא תגיע ליעד החיצוני.

network.vCenter.networkName

השם של רשת vSphere עבור צמתי האשכול.

אם infraConfigFilePath מוגדר, צריך להסיר את השדה הזה. בכל שאר המקרים, השדה הזה הוא חובה ואי אפשר לשנות אותו.

דוגמה:

network:
  vCenter:
    networkName: "my-network"

אם השם מכיל תו מיוחד, עליך להשתמש ברצף בריחה עבורו.

אם שם הרשת לא ייחודי במרכז הנתונים, אפשר לציין נתיב מלא.

דוגמה:

network:
  vCenter:
    networkName: "/data-centers/data-center-1/network/my-network"

network.controlPlaneIPBlock

מידע על הרשת של צמתי מישור הבקרה של אשכול האדמין.

אם infraConfigFilePath מוגדר, מסירים את כל הקטע הזה. אחרת, חובה למלא את הקטע הזה והוא לא ניתן לשינוי.

network.controlPlaneIPBlock.netmask

חובה
אי אפשר לשנות
מחרוזת

מסיכת הרשת של הרשת שכוללת את הצמתים של מישור הבקרה.

דוגמה:

network:
  controlPlaneIPBlock:
    netmask: "255.255.255.0"

network.controlPlaneIPBlock.gateway

חובה
אי אפשר לשנות
מחרוזת

כתובת ה-IP של שער ברירת המחדל של הצמתים במישור הבקרה.

דוגמה:

network:
  controlPlaneIPBlock:
    gateway: "172.16.22.1"

network.controlPlaneIPBlock.ips

חובה
בלתי ניתן לשינוי
מערך של שלושה אובייקטים, שלכל אחד מהם יש כתובת IP ושם מארח אופציונלי.

אלה כתובות ה-IP שיוקצו לצמתי מישור הבקרה. שמות מארחים נדרשים עבור אשכולות אדמין של HA.

דוגמה:

network:
  controlPlaneIPBlock:
    ips:
    - ip: "172.16.22.6"
      hostname: "admin-cp-vm-1"
    - ip: "172.16.22.7"
      hostname: "admin-cp-vm-2"
    - ip: "172.16.22.8"
      hostname: "admin-cp-vm-3"

infraConfigFilePath

infraConfigFilePath: "/my-config-folder/vsphere-infrastructure.yaml"

loadBalancer

בקטע הזה מופיע מידע על איזון העומסים באשכול הניהול.

loadBalancer.vips.controlPlaneVIP

חובה
אי אפשר לשנות
מחרוזת

כתובת ה-IP שבחרתם להגדיר במאזן העומסים עבור שרת ה-API של Kubernetes באשכול הניהול.

דוגמה:

loadBalancer:
  vips:
    controlplaneVIP: "203.0.113.3"

loadBalancer.kind

מציינים את סוג מאזן העומסים שרוצים להשתמש בו.

loadBalancer:
  kind: "MetalLB"

loadBalancer:
  kind: "MetalLB"

loadBalancer:
  kind: "MetalLB"

loadBalancer:
  kind: "MetalLB"

loadBalancer:
  kind: "MetalLB"

כשיוצרים אשכולות משתמשים באמצעות מסוף Google Cloud , ה-CLI של gcloud או Terraform, סוג מאזן העומסים של אשכול האדמין ושל אשכולות המשתמשים שלו חייב להיות זהה. יוצא הדופן היחיד הוא אם אשכול האדמין משתמש ב-Seesaw, ואז אשכולות המשתמשים יכולים להשתמש ב-MetalLB. אם רוצים שאשכולות האדמין והמשתמשים ישתמשו בסוגים שונים של מאזני עומסים, צריך ליצור אשכולות משתמשים באמצעות כלי שורת הפקודה gkectl.

loadBalancer.manualLB

אם הגדרתם את loadbalancer.kind לערך "ManualLB", צריך למלא את הקטע הזה. אחרת, צריך להסיר את הקטע הזה.
בלתי ניתן לשינוי

loadBalancer.manualLB.ingressHTTPNodePort

יש להסיר את השדה הזה מקובץ התצורה. הוא לא נמצא בשימוש באשכול אדמין.

loadBalancer.manualLB.ingressHTTPSNodePort

יש להסיר את השדה הזה מקובץ התצורה. הוא לא נמצא בשימוש באשכול אדמין.

loadBalancer.manualLB.konnectivityServerNodePort

יש להסיר את השדה הזה מקובץ התצורה. הוא לא נמצא בשימוש באשכול אדמין.

loadBalancer.f5BigIP

loadBalancer.f5BigIP.address

loadBalancer:
  f5BigIP:
    address: "203.0.113.2"

loadBalancer:
  f5BigIP:
    address: "203.0.113.2"

loadBalancer.f5BigIP.credentials.fileRef.path

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        path: "my-config-folder/admin-creds.yaml"

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        path: "my-config-folder/admin-creds.yaml"

loadBalancer.f5BigIP.credentialsfileRef.entry

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        entry: "f5-creds"

loadBalancer:
  f5BigIP:
    credentials:
      fileRef:
        entry: "f5-creds"

loadBalancer.f5BigIP.partition

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer:
  f5BigIP:
    partition: "my-f5-admin-partition"

loadBalancer.f5BigIP.snatPoolName

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer:
  f5BigIP:
    snatPoolName: "my-snat-pool"

loadBalancer.seesaw

אל תשתמשו בקטע הזה. מאז גרסה 1.28 ואילך, מאזן העומסים של Seesaw לא נתמך באשכולות אדמין חדשים. במקום זאת, מומלץ להגדיר את איזון העומסים של MetalLB עבור אשכולות אדמין חדשים. מידע נוסף על הגדרת MetalLB זמין במאמר איזון עומסים בחבילה עם MetalLB.

אנחנו עדיין תומכים ב-Seesaw עבור אשכולות אדמין שאינם HA ושודרגו, אבל מומלץ לעבור ל-MetalLB.

antiAffinityGroups.enabled

אופציונלי
ניתן לשינוי
ערך בוליאני
מאוכלס מראש: true

מגדירים את האפשרות הזו ל-true כדי להפעיל יצירה של כללי DRS. אחרת, מגדירים את הערך הזה כ-false.

אם הערך בשדה הזה הוא true, ‏ Google Distributed Cloud יוצר כללי מניעת קרבה (anti-affinity) של VMware‏ Distributed Resource Scheduler‏ (DRS) לצמתי אשכול האדמין, וכתוצאה מכך הם מפוזרים בין לפחות שלושה מארחי ESXi פיזיים במרכז הנתונים.

כדי להשתמש בתכונה הזו, סביבת vSphere צריכה לעמוד בתנאים הבאים:

• האפשרות VMware DRS מופעלת. ‫VMware DRS דורש מהדורת רישיון vSphere Enterprise Plus.

• לחשבון המשתמש שלכם ב-vSphere יש הרשאה Host.Inventory.Modify cluster.

• יש לפחות ארבעה מארחי ESXi זמינים.

למרות שהכלל מחייב שצמתי האשכול יפוזרו על פני שלושה מארחי ESXi, מומלץ מאוד שיהיו לפחות ארבעה מארחי ESXi זמינים. ההגנה הזו מונעת אובדן של מישור הבקרה של אשכול האדמין. לדוגמה, נניח שיש לכם רק שלושה מארחי ESXi, וצומת מישור הבקרה של אשכול האדמין נמצא במארח ESXi שנכשל. כלל ה-DRS ימנע את ההצבה של צומת מישור הבקרה באחד משני מארחי ה-ESXi שנותרו.

חשוב לזכור שאם יש לכם רישיון vSphere Standard, לא תוכלו להפעיל את VMware DRS.

אם לא הפעלתם את DRS, או אם אין לכם לפחות ארבעה מארחים שבהם אפשר לתזמן מכונות וירטואליות של vSphere, צריך להגדיר את antiAffinityGroups.enabled לערך false.

שימו לב למגבלה הבאה בנוגע לאשכולות מתקדמים:

• גרסה 1.31: אם השדה enableAdvancedCluster הוא true, לא ניתן להשתמש בכללי אנטי-אפיניות באשכולות מתקדמים, וחובה להגדיר את antiAffinityGroups.enabled לערך false.

• גרסה 1.32: יש תמיכה בכללי אנטי-אפיניות באשכולות מתקדמים.

דוגמה:

antiAffinityGroups:
  enabled: true

adminMaster

בלתי ניתן לשינוי

הגדרות התצורה של הצמתים במישור הבקרה באשכול האדמין.

adminMaster.controlPlaneLoadBalancer

adminMaster:
  controlPlaneLoadBalancer:
    mode: "manual"

adminMaster.cpus

תצוגה מקדימה
אופציונלי
בלתי ניתן לשינוי
מספר שלם
מאוכלס מראש: 4
ברירת מחדל: 4

מספר ליבות ה-vCPU לכל צומת של מישור הבקרה באשכול האדמין.

דוגמה:

adminMaster:
  cpus: 4

adminMaster.memoryMB

תצוגה מקדימה
אופציונלי
בלתי ניתן לשינוי
מספר שלם
מאוכלס מראש: 16384
ברירת מחדל: 16384

מספר המביבייט של הזיכרון לכל צומת של מישור הבקרה באשכול הניהול.

דוגמה:

adminMaster:
  memoryMB: 16384

adminMaster.replicas

adminMaster:
  replicas: 3

adminMaster:
  replicas: 3

adminMaster.topologyDomains

addonNode.autoResize.enabled

addonNode:
  autoResize:
    enabled: true

proxy

אם הרשת שלכם נמצאת מאחורי שרת proxy, צריך למלא את הקטע הזה. אחרת, מסירים את הקטע הזה או משאירים אותו כהערה. שרת ה-proxy שאתם מציינים כאן משמש את אשכולות המשתמשים שמנוהלים על ידי אשכול האדמין הזה.
בלתי ניתן לשינוי

proxy.url

חובה אם ממלאים את הקטע proxy.
Immutable
String

כתובת ה-HTTP של שרת ה-Proxy. צריך לכלול את מספר היציאה גם אם הוא זהה ליציאת ברירת המחדל של הסכימה.

דוגמה:

proxy:
  url: "http://my-proxy.example.local:80"

שרת ה-proxy שאתם מציינים כאן משמש את האשכולות שלכם ב-Google Distributed Cloud. בנוסף, תחנת העבודה של האדמין מוגדרת אוטומטית לשימוש באותו שרת proxy, אלא אם מגדירים את משתנה הסביבה HTTPS_PROXY בתחנת העבודה של האדמין.

אם מציינים את proxy.url, צריך לציין גם את proxy.noProxy.

אחרי שמגדירים את שרת ה-proxy עבור אשכול האדמין, אי אפשר לשנות או למחוק אותו, אלא אם בונים מחדש את האשכול.

proxy.noProxy

אופציונלי
בלתי ניתן לשינוי
מחרוזת

רשימה מופרדת בפסיקים של כתובות IP, טווחי כתובות IP, שמות מארחים ושמות דומיין שלא אמורים לעבור דרך שרת ה-proxy. כש-Google Distributed Cloud שולח בקשה לאחת מהכתובות, המארחים או הדומיינים האלה, הבקשה נשלחת ישירות.

דוגמה:

proxy:
  noProxy: "10.151.222.0/24,my-host.example.local,10.151.2.1"

privateRegistry

מאגר פרטי של קונטיינרים הוא מאגר שבו הגישה לקובצי אימג' של קונטיינרים מוגבלת למשתמשים מאומתים. ממלאים את הקטע הזה אם אשכולות המשתמשים צריכים לגשת לתמונות של עומסי עבודה. כשמגדירים את הקטע privateRegistry, כל אשכולות המשתמשים שמנוהלים על ידי אשכול האדמין הזה ימשכו תמונות של עומסי עבודה מהמאגר הפרטי שהגדרתם כאן.

אם מגדירים את הקטע privateRegistry, כשמריצים את הפקודה gkectl prepare לפני יצירה או שדרוג של אשכול, gkectl מעלה את תמונות המערכת של Google Distributed Cloud למאגר הפרטי. במהלך יצירת האשכול או השדרוג שלו, תמונות המערכת נמשכות מהמאגר הפרטי. אם לא מגדירים את הקטע privateRegistry, תמונות המערכת נמשכות מ-gcr.io/gke-on-prem-release באמצעות חשבון השירות של רכיב הגישה.

במקרים הבאים כדאי להגדיר את הקטע privateRegistry כך שאשכולות ימשכו קובצי אימג' של המערכת ממאגר פרטי במקום מ-gcr.io/gke-on-prem-release:

• אתם צריכים לצמצם את החיבורים ל- Google Cloud בגלל בעיות אבטחה או דרישות רגולטוריות.
• הארגון שלכם דורש שהתנועה היוצאת תעבור דרך שרת proxy, ומהירות הרשת להתחברות ל- Google Cloud איטית.

אם רוצים להשתמש ב-Artifact Registry של Google כמאגר פרטי, אפשר לעיין בשלבי ההגדרה במאמר שימוש ב-Artifact Registry כמאגר פרטי לתמונות של עומסי עבודה.

privateRegistry.address

חובה לרישום פרטי
בלתי ניתן לשינוי
מחרוזת

כתובת ה-IP או שם הדומיין שמוגדר במלואו (FQDN) של המכונה שבה פועל המרשם הפרטי.

דוגמאות:

privateRegistry:
  address: "203.0.113.10"

privateRegistry:
  address: "fqdn.example.com"

privateRegistry.credentials.fileRef.path

חובה למרשם פרטי
ניתן לשינוי
מחרוזת

הנתיב של קובץ תצורה של פרטי כניסה שמכיל את שם המשתמש והסיסמה של חשבון ש-Google Distributed Cloud יכול להשתמש בו כדי לגשת למאגר הפרטי שלכם.

דוגמה:

privateRegistry:
  credentials:
    fileRef:
      path: "my-config-folder/admin-creds.yaml"

privateRegistry.credentials.fileRef.entry

חובה למרשם פרטי
ניתן לשינוי
מחרוזת

השם של בלוק פרטי הכניסה בקובץ התצורה של פרטי הכניסה, שמכיל את שם המשתמש והסיסמה של חשבון הרישום הפרטי.

privateRegistry:
  credentials:
    fileRef:
      entry: "private-registry-creds"

privateRegistry.caCertPath

חובה למרשם פרטי
ניתן לשינוי
מחרוזת

כשזמן הריצה של מאגר התגים שולף תמונה מהמאגר הפרטי, המאגר צריך להוכיח את הזהות שלו באמצעות הצגת אישור. האישור של המרשם חתום על ידי רשות אישורים (CA). זמן הריצה של הקונטיינר משתמש באישור של רשות האישורים כדי לאמת את האישור של המאגר.

מגדירים את השדה הזה לנתיב של אישור ה-CA.

דוגמה:

privateRegistry:
  caCertPath: "my-cert-folder/registry-ca.crt"

componentAccessServiceAccountKeyPath

חובה
ניתן לשינוי
מחרוזת

הנתיב של קובץ מפתח ה-JSON של חשבון השירות של רכיב הגישה.

דוגמה:

componentAccessServiceAccountKeyPath: "my-key-folder/access-key.json"

gkeConnect

חובה
ניתן לשינוי

כשממלאים את הקטע gkeConnect, אשכול האדמין נרשם אוטומטית לצי אחרי שהוא נוצר. בקטע הזה מופיע מידע על Google Cloud הפרויקט וחשבון השירות שנדרשים כדי לרשום את האשכול.

במהלך יצירה או עדכון של אשכול, מוגדרות כמה מדיניות RBAC באשכול האדמין. מדיניות RBAC נדרשת כדי שתוכלו ליצור אשכולות משתמשים במסוף Google Cloud .

gkeConnect.projectID

חובה
אי אפשר לשנות
מחרוזת

המזהה של פרויקט המארח של הצי. במקרה של אשכולות חדשים, מזהה הפרויקט הזה צריך להיות זהה למזהה שהוגדר ב-stackdriver.projectID וב-cloudAuditLogging.projectID. אם מזהי הפרויקטים לא זהים, יצירת האשכול תיכשל. הדרישה הזו לא חלה על אשכולות קיימים.

דוגמה:

gkeConnect:
  projectID: "my-fleet-host-project"

gkeConnect.location

אופציונלי
בלתי ניתן לשינוי
מחרוזת
ברירת מחדל: global

החברות של כל אשכול בצי מנוהלת על ידי שירות הצי (gkehub.googleapis.com) ושירות Connect (gkeconnect.googleapis.com). המיקום של השירותים יכול להיות גלובלי או אזורי. בגרסה 1.28 ואילך, אפשר לציין את האזור שבו פועלים שירותי הצי ושירותי הקישוריות. Google Cloudאם לא מציינים, נעשה שימוש במופעים הגלובליים של השירותים. שימו לב לנקודות הבאות:

• אשכולות אדמין שנוצרו לפני גרסה 1.28 מנוהלים על ידי השירותים הגלובליים Fleet ו-Connect.

• במקרה של אשכולות חדשים, אם כוללים את השדה הזה, האזור שצוין צריך להיות זהה לאזור שהוגדר ב-cloudAuditLogging.clusterLocation, ב-stackdriver.clusterLocation וב-gkeOnPremAPI.location. אם האזורים לא זהים, יצירת האשכול תיכשל.

דוגמה:

gkeConnect:
  location: "us-central1"

gkeConnect.registerServiceAccountKeyPath

חובה
ניתן לשינוי
מחרוזת

הנתיב של קובץ מפתח ה-JSON של חשבון השירות connect-register.

דוגמה:

gkeConnect:
  registerServiceAccountKeyPath: "my-key-folder/connect-register-key.json"

gkeOnPremAPI

אופציונלי

בגרסה 1.16 ואילך, אם GKE On-Prem API מופעל בGoogle Cloud פרויקט, כל האשכולות בפרויקט נרשמים ל-GKE On-Prem API באופן אוטומטי באזור שהוגדר ב-stackdriver.clusterLocation.

• אם רוצים לרשום את כל האשכולות בפרויקט ל-GKE On-Prem API, צריך לבצע את השלבים שבקטע לפני שמתחילים כדי להפעיל את GKE On-Prem API בפרויקט ולהשתמש בו.

• אם לא רוצים לרשום את האשכול ל-GKE On-Prem API, צריך לכלול את הקטע הזה ולהגדיר את gkeOnPremAPI.enabled ל-false. אם לא רוצים לרשום אף אשכול בפרויקט, צריך להשבית את gkeonprem.googleapis.com (שם השירות של GKE On-Prem API) בפרויקט. הוראות מפורטות מופיעות במאמר השבתת שירותים.

רישום של אשכול הניהול ב-GKE On-Prem API מאפשר לכם להשתמש בכלים סטנדרטיים – המסוף, Google Cloud CLI או Terraform – כדי לשדרג אשכולות משתמשים שמנוהלים על ידי אשכול הניהול. Google Cloud רישום האשכול מאפשר גם להריץ פקודות gcloud כדי לקבל מידע על האשכולות.

אחרי שמוסיפים את הקטע הזה ויוצרים או מעדכנים את אשכול האדמין, אם מסירים את הקטע ומעדכנים את האשכול, העדכון ייכשל.

gkeOnPremAPI.enabled

חובה אם המקטע gkeOnPremAPI כלול.
ניתן לשינוי
ערך בוליאני
ברירת מחדל: true

כברירת מחדל, האשכול רשום ל-GKE On-Prem API אם ה-API הזה מופעל בפרויקט. מגדירים את הערך false אם לא רוצים לרשום את האשכול.

אחרי שהאשכול נרשם ל-GKE On-Prem API, אם צריך לבטל את הרישום של האשכול, מבצעים את השינוי הבא ואז מעדכנים את האשכול:

gkeOnPremAPI:
  enabled: false

gkeOnPremAPI.location

בלתי ניתן לשינוי
מחרוזת
ברירת מחדל:stackdriver.clusterLocation

האזור שבו ה-API של GKE On-Prem פועל ושבו מאוחסנים המטא-נתונים של האשכול. Google Cloud בוחרים אחד מהאזורים הנתמכים. צריך להשתמש באותו אזור שמוגדר ב-cloudAuditLogging.clusterLocation, ב-gkeConnect.location וב-stackdriver.clusterLocation. אם gkeOnPremAPI.enabled הוא false, לא צריך לכלול את השדה הזה.

stackdriver

חובה
ניתן לשינוי

stackdriver.projectID

נדרש לרישום ביומן ולמעקב
אי אפשר לשנות
מחרוזת

המזהה של פרויקט המארח של הצי. במקרה של אשכולות חדשים, מזהה הפרויקט הזה צריך להיות זהה למזהה שהוגדר ב-gkeConnect.projectID וב-cloudAuditLogging.projectID. אם מזהי הפרויקטים לא זהים, יצירת האשכול תיכשל. הדרישה הזו לא חלה על אשכולות קיימים.

במקרה הצורך, אפשר להגדיר נתב יומנים בפרויקט הזה כדי לנתב יומנים לקטגוריות של יומנים בפרויקט אחר. במאמר יעדים נתמכים מוסבר איך להגדיר את כלי הניתוב של היומנים.

דוגמה:

stackdriver:
  projectID: "my-fleet-host-project"

stackdriver.clusterLocation

נדרש לרישום ביומן ולמעקב
לא ניתן לשינוי
מחרוזת
מאוכלס מראש: us-central1

האזור Google Cloud שבו רוצים לנתב ולאחסן את המדדים של Cloud Monitoring. מומלץ לבחור אזור שקרוב למרכז הנתונים המקומי.

מציינים את הניתוב של היומנים ואת מיקום האחסון של Cloud Logging בהגדרות של Log Router. מידע נוסף על ניתוב יומנים זמין במאמר סקירה כללית על ניתוב ואחסון.

האופרטור Stackdriver ‏ (stackdriver-operator) מצרף את הערך מהשדה הזה לכל רשומה ביומן ולכל מדד לפני שהם מנותבים אל Google Cloud. התוויות המצורפות האלה יכולות להיות שימושיות לסינון היומנים והמדדים ב-Logs Explorer וב-Metrics Explorer, בהתאמה.

בקטעים gkeOnPremAPI ו-cloudAuditLogging בקובץ התצורה של אשכולות חדשים, האזור שמוגדר כאן צריך להיות זהה לאזור שמוגדר בקטעים cloudAuditLogging.clusterLocation,‏ gkeConnect.location ו-gkeOnPremAPI.location. אם האזורים לא זהים, יצירת האשכול תיכשל.

דוגמה:

stackdriver:
  clusterLocation: "us-central1"

stackdriver.serviceAccountKeyPath

נדרש לרישום ביומן ולמעקב
ניתן לשינוי
מחרוזת

הנתיב של קובץ מפתח ה-JSON של חשבון השירות של שירות הרישום ביומן והמעקב.

אם אתם יוצרים את האשכול עם enableAdvancedCluster שמוגדר ל-true (שנדרש להגדרת דומיינים של טופולוגיה), אז stackdriver.serviceAccountKeyPath חייב להיות זהה ל-cloudAuditLogging.serviceAccountKeyPath.

במאמר רוטציית מפתחות של חשבונות שירות מוסבר איך לעדכן את השדה הזה באשכול קיים.

דוגמה:

stackdriver:
  serviceAccountKeyPath: "my-key-folder/log-mon-key.json"

stackdriver.disableVsphereResourceMetrics

אופציונלי
ניתן לשינוי
רלוונטי לרישום ביומן ולמעקב
בוליאני
מאוכלס מראש: false
ברירת מחדל: false

מגדירים את הערך true כדי להשבית את איסוף המדדים מ-vSphere. אחרת, מגדירים אותו לערך false.

הקטע הזה נדרש באשכול האדמין אם רוצים לנהל את מחזור החיים של אשכולות משתמשים ב Google Cloud מסוף.

דוגמה:

stackdriver:
  disableVsphereResourceMetrics: true

cloudAuditLogging

אם רוצים לשלב את יומני הביקורת משרת Kubernetes API של האשכול עם יומני הביקורת של Cloud, צריך למלא את הקטע הזה. אחרת, צריך להסיר את הקטע הזה או להוסיף לו הערה.
Mutable

הקטע הזה נדרש באשכול האדמין אם רוצים לנהל את מחזור החיים של אשכולות משתמשים באמצעות לקוחות GKE On-Prem API.

cloudAuditLogging.projectID

נדרשת ליומני ביקורת של Cloud
בלתי ניתנת לשינוי
מחרוזת

המזהה של פרויקט המארח של הצי. במקרה של אשכולות חדשים, מזהה הפרויקט הזה צריך להיות זהה למזהה שהוגדר ב-gkeConnect.projecID וב-stackdriver.projectID. אם מזהי הפרויקטים לא זהים, יצירת האשכול תיכשל. הדרישה הזו לא חלה על אשכולות קיימים.

במקרה הצורך, אפשר להגדיר נתב יומנים בפרויקט הזה כדי לנתב יומנים לקטגוריות של יומנים בפרויקט אחר. במאמר יעדים נתמכים מוסבר איך להגדיר את כלי הניתוב של היומנים.

דוגמה:

cloudAuditLogging:
  projectID: "my-fleet-host-project"

cloudAuditLogging.clusterLocation

נדרשת ליומני ביקורת של Cloud
בלתי ניתנת לשינוי
מחרוזת

Google Cloud האזור שבו רוצים לאחסן את יומני הביקורת. מומלץ לבחור אזור שקרוב למרכז הנתונים המקומי שלכם

במקרה של אשכולות חדשים, אם כוללים את הקטעים gkeOnPremAPI ו-stackdriver בקובץ התצורה, האזור שמוגדר כאן צריך להיות זהה לאזור שמוגדר ב-gkeConnect.location, ב-gkeOnPremAPI.location וב-stackdriver.clusterLocation. אם האזורים לא זהים, יצירת האשכול תיכשל.

דוגמה:

cloudAuditLogging:
  clusterLocation: "us-central1"

cloudAuditLogging.serviceAccountKeyPath

נדרשת ליומני ביקורת של Cloud
ניתנת לשינוי
מחרוזת

הנתיב של קובץ מפתח ה-JSON של חשבון השירות שלכם לרישום ביומן ביקורת.

אם אתם יוצרים את האשכול עם enableAdvancedCluster שמוגדר ל-true (שנדרש להגדרת דומיינים של טופולוגיה), אז cloudAuditLogging.serviceAccountKeyPath חייב להיות זהה ל-stackdriver.serviceAccountKeyPath.

במאמר רוטציית מפתחות של חשבונות שירות מוסבר איך לעדכן את השדה הזה באשכול קיים.

דוגמה:

cloudAuditLogging:
  serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

clusterBackup.datastore

אופציונלי
ניתן לשינוי
מחרוזת

כברירת מחדל, קובצי ה-tar של הגיבוי של האשכול נשמרים בספרייה gkectl-workspace/backups בתחנת העבודה של האדמין. אם רוצים לאחסן קובצי גיבוי של אשכול ב-vSphere, צריך להגדיר בשדה הזה את מאגר הנתונים של vSphere שבו רוצים לשמור את הגיבויים.

דוגמה:

clusterBackup:
  datastore: "my-datastore"

חשוב לשים לב להבדלים הבאים בתמיכה בשדה הזה:

• באשכולות מתקדמים:

  • גרסה 1.31: צריך להסיר את clusterBackup.datastore מקובץ התצורה. אין תמיכה בגיבוי של אשכולות למאגר נתונים של vSphere.

  • גרסה 1.32: clusterBackup.datastore נמצאת בגרסת טרום-השקה (Preview)

  • גרסה 1.33 ומעלה: clusterBackup.datastore היא גרסה זמינה לכולם (GA).

• אשכולות שלא מוגדרת בהם הגנה מתקדמת נשארים בתצוגה מקדימה.clusterBackup.datastore

מידע נוסף:

• קלאסטרים לא מתקדמים: גיבוי ושחזור של קלאסטר אדמין באמצעות gkectl

• קלאסטרים מתקדמים: גיבוי ושחזור של קלאסטרים מתקדמים באמצעות gkectl

autoRepair.enabled

אופציונלי
ניתן לשינוי
ערך בוליאני
מאוכלס מראש: true

מגדירים את הערך true כדי להפעיל את התיקון האוטומטי של הצומת. אחרת, מגדירים את הערך הזה ל-false.

כדי לעדכן את הערך של השדה הזה, משתמשים ב-gkectl update admin.

דוגמה:

autoRepair:
  enabled: true

secretsEncryption

אם רוצים להצפין סודות בלי להשתמש ב-KMS חיצוני (שירות לניהול מפתחות) או בתלות אחרת, צריך למלא את הקטע הזה. אחרת, צריך להסיר את הקטע הזה או להוסיף לו הערה.
בלתי ניתן לשינוי

אם אתם יוצרים את האשכול עם enableAdvancedCluster שמוגדר ל-true (שנדרש להגדרת דומיינים של טופולוגיה), אתם צריכים להסיר את הקטע הזה. התכונה הזו לא נתמכת באשכולות מתקדמים.

secretsEncryption.mode

נדרש להצפנת סודות
בלתי ניתן לשינוי
מחרוזת
ערך אפשרי: GeneratedKey
מאוכלס מראש: GeneratedKey

מצב ההצפנה הסודי.

secretsEncryption:
  mode: "GeneratedKey"

secretsEncryption.generatedKey.keyVersion

נדרש להצפנת סודות
ניתן לשינוי
מספר שלם
מאוכלס מראש: 1

מספר שלם לבחירתכם שישמש כמספר גרסת המפתח. מומלץ להתחיל עם 1.

דוגמה:

secretsEncryption:
  generatedKey:
    keyVersion: 1

secretsEncryption.generatedKey.disabled

אופציונלי להצפנת סודות
ניתן לשינוי
בוליאני
מאוכלס מראש: false

מגדירים את הערך הזה ל-true כדי להשבית את ההצפנה של הסודות. אחרת, מגדירים את הערך false.

דוגמה:

secretsEncryption:
  generatedKey:
    disabled: false

osImageType

אופציונלי
ניתן לשינוי
מחרוזת
הערכים האפשריים: ubuntu_containerd,‏ cos,‏ ubuntu_cgv2,‏ cos_cgv2
מאוכלס מראש: ubuntu_cgv2
ברירת מחדל: ubuntu_containerd

סוג תמונת מערכת ההפעלה להרצה בצמתי אשכול האדמין.

שימו לב למגבלה הבאה בנוגע לאשכולות מתקדמים:

• גרסה 1.31: אם השדה enableAdvancedCluster הוא true, יש תמיכה רק ב-ubuntu-cgroupv2 וב-ubuntu_containerd באשכולות מתקדמים.

• גרסה 1.32: יש תמיכה בכל סוגי התמונות של מערכות הפעלה באשכולות מתקדמים.

דוגמה:

osImageType: "cos"