Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Erstellen eines Google Compute Engine-Clusters

In diesem Abschnitt lernen Sie, wie Sie Rancher verwenden, um ein RKE2 oder K3s Kubernetes-Cluster auf der Google Cloud Platform (GCP) mithilfe von Google Compute Engine (GCE) über Rancher bereitzustellen.

Zuerst aktivieren Sie den GCE-Knotentreiber in der Rancher-Benutzeroberfläche. Dann folgen Sie den Schritten, um ein GCP-Dienstkonto mit den erforderlichen Berechtigungen zu erstellen und eine JSON-Schlüsseldatei zu generieren. Diese Schlüsseldatei wird verwendet, um eine Cloud-Anmeldeinformation in Rancher zu erstellen.

Dann erstellen Sie ein GCE-Cluster in Rancher, und beim Konfigurieren des Clusters definieren Sie Maschinenpools dafür. Jeder Maschinenpool hat eine Kubernetes-Rolle von etcd, controlplane oder worker. Rancher installiert RKE2 auf den neuen Knoten und richtet jeden Knoten mit der durch den Maschinenpool definierten Kubernetes-Rolle ein.

  1. Aktivieren Sie den GCE-Knotentreiber

  2. Erstellen Sie eine Cloud-Anmeldeinformation.

  3. Erstellen Sie einen Cluster mit der Cloud-Anmeldeinformation.

  4. GCE Best Practices

Voraussetzungen

  1. Ein gültiges Google Cloud Platform-Konto und Projekt.

  2. Eine JSON-Schlüsseldatei für das GCP-Dienstkonto. Das mit diesem Schlüssel verbundene Dienstkonto muss über die folgenden IAM-Rollen verfügen:

    1. Compute Admin

    2. Service Account User

    3. Vorschau

  3. Ein VPC-Netzwerk, um VMs bereitzustellen.

Siehe die GCP-Dokumentation zum Erstellen und Verwalten von Dienstkontoschlüsseln für weitere Details.

Aktivieren Sie den GCE-Knotentreiber

Der GCE-Knotentreiber ist standardmäßig nicht in Rancher aktiviert. Sie müssen ihn aktivieren, bevor Sie GCE-Cluster bereitstellen oder mit GCE-spezifischen CRDs arbeiten können.

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf der linken Seite auf Treiber.

  3. Öffnen Sie die Registerkarte Knotentreiber.

  4. Suchen Sie den Google GCE-Treiber und wählen Sie ⋮ > Aktivieren aus.

Erstellen Sie eine Cloud-Anmeldeinformation.

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf Cloud-Anmeldeinformationen.

  3. Klicken Sie auf Erstellen.

  4. Klicken Sie auf Google.

  5. Geben Sie Ihre GCP-Dienstkonto-JSON-Schlüsseldatei ein.

  6. Klicken Sie auf Erstellen.

Ergebnis: Sie haben die Cloud-Anmeldeinformationen erstellt, die zur Bereitstellung von Knoten in Ihrem Cluster verwendet werden. Sie können diese Anmeldeinformationen in anderen Clustern wiederverwenden. Je nach den Berechtigungen, die dem Dienstkonto erteilt wurden, können diese Cloud-Anmeldeinformationen auch für GKE-Cluster verwendet werden.

Erstellen Sie einen Cluster mit der Cloud-Anmeldeinformation.

  1. Klicken Sie auf ☰ > Clusterverwaltung.

  2. Klicken Sie auf der Clusters-Seite auf Erstellen.

  3. Klicken Sie auf Google GCE.

  4. Wählen Sie eine Cloud-Anmeldeinformation aus und geben Sie das GCP-Projekt an, um die VM zu erstellen.

  5. Geben Sie einen Clustername ein.

  6. Erstellen Sie einen Maschinenpool für jede Kubernetes-Rolle. Beziehen Sie sich auf die [Best Practices](use-new-nodes-in-an-infra-provider.md#node-roles) für Empfehlungen zu Rollenverteilungen und -anzahlen.

    1. Definieren Sie die Maschinenkonfiguration für jeden Maschinenpool. Beziehen Sie sich auf die Google GCE Maschinenkonfigurationsreferenz für Informationen zu Konfigurationsoptionen.

  7. Verwenden Sie die Cluster-Konfiguration, um die Version von Kubernetes auszuwählen, die installiert werden soll, welchen Netzwerkprovider verwendet werden soll und ob Sie die Projekt-Netzwerkisolierung aktivieren möchten. Für Hilfe bei der Konfiguration des Clusters verweisen Sie auf die RKE2 und K3s Cluster-Konfigurationsreferenzen.

  8. Verwenden Sie Mitgliederrollen, um die Benutzerautorisierung für den Cluster zu konfigurieren. Klicken Sie auf Mitglied hinzufügen, um Benutzer hinzuzufügen, die auf den Cluster zugreifen können. Verwenden Sie das Rolle-Dropdown, um die Berechtigungen für jeden Benutzer festzulegen.

  9. Klicken Sie auf Erstellen.

Ergebnis:

Ihr Cluster wurde erstellt und hat den Status Bereitstellung erhalten. Rancher richtet Ihren Cluster ein.

Sie können auf Ihren Cluster zugreifen, nachdem sein Status auf Aktiv aktualisiert wurde.

Aktiven Cluster werden zwei Projekten zugewiesen:

  • Default, der den default Namespace enthält

  • System, der die cattle-system, traefik, kube-public und kube-system Namespaces enthält

GCE Best Practices

Externe Firewall-Regeln, offene Ports und ACE

Wenn der bereitgestellte Cluster die Authorized Cluster Endpoint (ACE)-Funktion nutzen wird, müssen die Controlplane-Knoten den Port 6443 freigeben. Dieser Port ist in der Standardkonfiguration des Maschinenpools nicht freigegeben, um zu verhindern, dass er über alle Cluster-Knoten hinweg exponiert wird, und um die Anzahl der von Rancher erstellten Firewall-Regeln zu reduzieren.

Damit ACE wie erwartet funktioniert, müssen Sie diesen Port in der Rancher-Benutzeroberfläche angeben, wenn Sie den Maschinenpool für die Controlplane konfigurieren, indem Sie das Expose external ports Kontrollkästchen im Abschnitt Show Advanced der Benutzeroberfläche zur Maschinenpoolkonfiguration aktivieren. Alternativ können Sie manuell eine benutzerdefinierte Firewall-Regel in GCP erstellen und das zugehörige Netzwerk-Tag in der Konfiguration des Maschinenpools der Controlplane angeben.

Interne Firewall-Regeln

Rancher erstellt automatisch eine Firewall-Regel und ein Netzwerk-Tag, um die Kommunikation zwischen den Cluster-Knoten intern innerhalb des angegebenen VPC-Netzwerks zu erleichtern. Diese Regel enthält die minimale Anzahl von Ports, die erforderlich sind, um einen RKE2/K3s-Cluster zu erstellen.

Wenn Sie die Anzahl der intern zwischen den Cluster-Knoten freigegebenen Ports erweitern müssen, sollte eine neue Firewall-Regel manuell erstellt und das zugehörige Netzwerk-Tag den relevanten Maschinenpools zugewiesen werden. Falls gewünscht, kann die automatische Erstellung der internen Firewall-Regel für jeden gegebenen Maschinenpool beim Erstellen oder Aktualisieren des Clusters deaktiviert werden.

Cross-Network-Bereitstellungen

Obwohl es möglich ist, verschiedene Maschinenpools in unterschiedlichen VPC-Netzwerken bereitzustellen, unterstützt die von Rancher standardmäßig erstellte interne Firewall-Regel diese Konfiguration nicht. Um Maschinenpools in verschiedenen Netzwerken zu erstellen, müssen zusätzliche Firewall-Regeln manuell erstellt werden, um die Kommunikation zwischen Knoten in verschiedenen Netzwerken zu ermöglichen.

Optionale nächste Schritte

Nach der Erstellung Ihres Clusters können Sie über die Rancher-Benutzeroberfläche darauf zugreifen. Als bewährte Praxis empfehlen wir, diese alternativen Möglichkeiten zum Zugriff auf Ihren Cluster einzurichten:

  • Zugriff auf Ihren Cluster mit der kubectl Kommandozeilenschnittstelle: Befolgen Sie diese Schritte, um mit kubectl von Ihrer Workstation aus auf Cluster zuzugreifen. In diesem Fall werden Sie über den Authentifizierungsproxy des Rancher-Servers authentifiziert, dann wird Rancher Sie mit dem Downstream-Cluster verbinden. Diese Methode ermöglicht es Ihnen, den Cluster ohne die Rancher-Benutzeroberfläche zu verwalten.

  • Greifen Sie mit der kubectl-Kommandozeilenschnittstelle auf Ihren Cluster zu, indem Sie den autorisierten Cluster-Endpunkt verwenden: Befolgen Sie diese Schritte, um direkt mit kubectl auf Ihren Cluster zuzugreifen, ohne sich über Rancher zu authentifizieren. Wir empfehlen, diese alternative Methode einzurichten, um auf Ihren Cluster zuzugreifen, damit Sie, falls Sie sich nicht mit Rancher verbinden können, dennoch auf den Cluster zugreifen können.