Anforderungen für Kubernetes-Cluster in Google Cloud
Verwaltete Google Kubernetes Engine (GKE)-Cluster und automatisierte Kubernetes-Cluster können in Google mithilfe von BlueXP hinzugefügt und gemanagt werden. Bevor Sie die Cluster zu BlueXP hinzufügen können, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind.
In diesem Thema wird Kubernetes Cluster verwendet, wobei die Konfiguration für GKE und selbst gemanagte Kubernetes Cluster die gleiche ist. Der Cluster-Typ wird bei unterschiedlich der Konfiguration angegeben. |
Anforderungen
- Astra Trident
-
Eine der vier aktuellsten Versionen von Astra Trident ist erforderlich. Sie können Astra Trident direkt von BlueXP installieren oder aktualisieren. Sollten Sie "Prüfen Sie die Voraussetzungen" Vor der Installation von Astra Trident
- Cloud Volumes ONTAP
-
Cloud Volumes ONTAP muss sich unter BlueXP im Rahmen desselben Mandanten-Kontos, Arbeitsumgebung und Konnektors befinden wie der Kubernetes-Cluster. "In der Astra Trident Dokumentation finden Sie die Konfigurationsschritte".
- BlueXP Connector
-
Ein Connector muss in Google mit den erforderlichen Berechtigungen ausgeführt werden. Weitere Informationen finden Sie unten.
- Netzwerk-Konnektivität
-
Zwischen dem Kubernetes-Cluster und dem Connector sowie zwischen dem Kubernetes-Cluster und Cloud Volumes ONTAP ist eine Netzwerkverbindung erforderlich. Weitere Informationen finden Sie unten.
- RBAC-Autorisierung
-
BlueXP unterstützt RBAC-fähige Cluster mit und ohne Active Directory. Die BlueXP Connector-Rolle muss für jedes GKE-Cluster autorisiert sein. Weitere Informationen finden Sie unten.
Bereiten Sie einen Konnektor vor
Für das Erkennen und Managen von Kubernetes-Clustern ist ein BlueXP Connector in Google erforderlich. Sie müssen einen neuen Konnektor erstellen oder einen vorhandenen Konnektor verwenden, der über die erforderlichen Berechtigungen verfügt.
Erstellen Sie einen neuen Konnektor
Folgen Sie den Schritten in einem der nachfolgenden Links.
Fügen Sie die erforderlichen Berechtigungen einem vorhandenen Konnektor hinzu (um ein verwaltetes GKE-Cluster zu ermitteln).
Wenn Sie ein verwaltetes GKE-Cluster ermitteln möchten, müssen Sie möglicherweise die benutzerdefinierte Rolle ändern, damit der Connector die Berechtigungen bereitstellen kann.
-
In "Cloud Console", Gehen Sie zur Seite Rollen.
-
Wählen Sie in der Dropdown-Liste oben auf der Seite das Projekt oder die Organisation aus, das die Rolle enthält, die Sie bearbeiten möchten.
-
Klicken Sie auf eine benutzerdefinierte Rolle.
-
Klicken Sie auf Rolle bearbeiten, um die Berechtigungen der Rolle zu aktualisieren.
-
Klicken Sie auf Berechtigungen hinzufügen, um der Rolle folgende neue Berechtigungen hinzuzufügen.
container.clusters.get container.clusters.list
-
Klicken Sie auf Aktualisieren, um die bearbeitete Rolle zu speichern.
Netzwerkanforderungen prüfen
Sie müssen für die Netzwerkverbindung zwischen dem Kubernetes-Cluster und dem Connector sowie zwischen dem Kubernetes-Cluster und dem Cloud Volumes ONTAP-System sorgen, das dem Cluster Back-End-Storage bereitstellt.
-
Jeder Kubernetes-Cluster muss über eine eingehende Verbindung vom Connector verfügen
-
Der Connector muss über Port 443 eine ausgehende Verbindung zu jedem Kubernetes-Cluster haben
Die einfachste Möglichkeit für diese Konnektivität ist die Implementierung von Connector und Cloud Volumes ONTAP in derselben VPC wie der Kubernetes-Cluster. Andernfalls müssen Sie eine Peering-Verbindung zwischen den verschiedenen VPC einrichten.
In diesem Beispiel wird jede Komponente in derselben VPC angezeigt.
Einrichtung der RBAC-Autorisierung
Die RBAC-Validierung erfolgt nur auf Kubernetes Clustern mit aktiviertem Active Directory (AD). Kubernetes-Cluster ohne AD bestehen die Validierung automatisch.
Sie benötigen für jeden Kubernetes Cluster eine Autorisierung der Connector-Rolle, damit der Connector einen Cluster ermitteln und verwalten kann.
- Backup und Restore
-
Für Backup und Restore ist nur eine Grundautorisierung erforderlich.
- Fügen Sie Speicherklassen hinzu
-
Erweiterte Autorisierung ist erforderlich, um Speicherklassen mithilfe von BlueXP hinzuzufügen und den Cluster auf Änderungen am Backend zu überwachen.
- Installieren Sie Astra Trident
-
Zur Installation von Astra Trident müssen Sie für BlueXP die vollständige Autorisierung bereitstellen.
Bei der Installation von Astra Trident installiert BlueXP das Astra Trident Back-End und das Kubernetes Secret, das die Zugangsdaten enthält, die Astra Trident zur Kommunikation mit dem Storage-Cluster benötigt.
Zu konfigurieren subjects: name:
In der YAML-Datei müssen Sie die eindeutige BlueXP-ID kennen.
Sie können die eindeutige ID auf zwei Arten finden:
-
Verwenden des Befehls:
gcloud iam service-accounts list gcloud iam service-accounts describe <service-account-email>
-
In den Service-Konto-Details auf dem "Cloud Console".
Erstellen Sie eine Cluster-Rolle und Rollenbindung.
-
Sie können die Autorisierung an Ihre Anforderungen anpassen.
Backup/RestoreFügen Sie eine grundlegende Autorisierung hinzu, um Backup und Restore für Kubernetes-Cluster zu ermöglichen.
Ersetzen Sie den
subjects: kind:
Variable mit Ihrem Benutzernamen undsubjects: name:
Mit der eindeutigen ID für das autorisierte Servicekonto.apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: cloudmanager-access-clusterrole rules: - apiGroups: - '' resources: - namespaces verbs: - list - watch - apiGroups: - '' resources: - persistentvolumes verbs: - list - watch - apiGroups: - '' resources: - pods - pods/exec verbs: - get - list - watch - apiGroups: - '' resources: - persistentvolumeclaims verbs: - list - create - watch - apiGroups: - storage.k8s.io resources: - storageclasses verbs: - list - apiGroups: - trident.netapp.io resources: - tridentbackends verbs: - list - watch - apiGroups: - trident.netapp.io resources: - tridentorchestrators verbs: - get - watch --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: k8s-access-binding subjects: - kind: User name: apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cloudmanager-access-clusterrole apiGroup: rbac.authorization.k8s.io
SpeicherklassenFügen Sie erweiterte Berechtigungen hinzu, um Speicherklassen mithilfe von BlueXP hinzuzufügen.
Ersetzen Sie den
subjects: kind:
Variable mit Ihrem Benutzernamen undsubjects: user:
Mit der eindeutigen ID für das autorisierte Servicekonto.apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: cloudmanager-access-clusterrole rules: - apiGroups: - '' resources: - secrets - namespaces - persistentvolumeclaims - persistentvolumes - pods - pods/exec verbs: - get - list - watch - create - delete - watch - apiGroups: - storage.k8s.io resources: - storageclasses verbs: - get - create - list - watch - delete - patch - apiGroups: - trident.netapp.io resources: - tridentbackends - tridentorchestrators - tridentbackendconfigs verbs: - get - list - watch - create - delete - watch --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: k8s-access-binding subjects: - kind: User name: apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cloudmanager-access-clusterrole apiGroup: rbac.authorization.k8s.io
Installation von TridentÜber die Befehlszeile erhalten Sie die vollständige Autorisierung, und BlueXP kann Astra Trident installieren.
kubectl create clusterrolebinding test --clusterrole cluster-admin --user <Unique ID>
-
Wenden Sie die Konfiguration auf ein Cluster an.
kubectl apply -f <file-name>