Configurare un Container Registry privato

Questa pagina spiega come configurare un server di registro dei container esistente per Google Distributed Cloud (solo software) per VMware.

Questa pagina è rivolta ad amministratori, architetti e operatori che configurano, monitorano e gestiscono l'infrastruttura tecnologica. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta la pagina Ruoli e attività comuni degli utenti di GKE Enterprise.

Panoramica

Per impostazione predefinita, durante la creazione o l'upgrade del cluster, Google Distributed Cloud estrae le immagini di sistema da gcr.io/gke-on-prem-release utilizzando l'account di servizio di accesso ai componenti. Se vuoi, puoi fornire il tuo server di registro dei container in modo che le immagini di sistema vengano estratte dal tuo server di registro privato.

Google Distributed Cloud non supporta i registri dei container non protetti. Quando avvii il server del registro dei container, devi fornire un certificato e una chiave. Il certificato può essere firmato da un'autorità di certificazione (CA) pubblica oppure può essere autofirmato.

Crea un server del registro dei container

Per scoprire come creare un server Container Registry, consulta la sezione Eseguire un registro accessibile esternamente nella documentazione di Docker.

Configura il registro

Per utilizzare un registro dei container privato, puoi utilizzare lo strumento a riga di comando gkectl o Terraform.

gkectl

Aggiungi la sezione privateRegistry al file di configurazione del cluster di amministrazione prima di creare il cluster.

Quando questa sezione è compilata:

  • Quando esegui il comando gkectl prepare prima della creazione o dell'upgrade del cluster, il comando estrae le immagini dal file tar specificato nel campo bundlePath nel file di configurazione del cluster di amministrazione e invia le immagini al server di registro privato.

  • Durante la creazione o l'upgrade del cluster, le immagini di sistema vengono estratte dal server di registro privato.

Terraform

  1. Segui i passaggi nella scheda Terraform in Creare un cluster di amministrazione per compilare il file di configurazione del cluster di amministrazione.

  2. Aggiungi quanto segue al file di configurazione del cluster di amministrazione:

    private_registry_config {
  address = "ADDRESS"
  ca_cert = "CA_CERT"
}

    Sostituisci quanto segue:

    • "ADDRESS": l'indirizzo IP o il nome di dominio completo (FQDN) della macchina che esegue il registro privato.

    • "CA_CERT": la chiave pubblica del certificato CA per il registro privato.

  3. Continua con i passaggi nella scheda Terraform in Creare un cluster di amministrazione per verificare il file di configurazione e il piano Terraform, quindi crea il cluster di bootstrap.

  4. Quando esegui il comando gkectl register bootstrap, gkectl ti chiede di inserire il nome utente e poi la password per il registro privato.

Durante la creazione del cluster, le immagini di sistema vengono estratte dal server di registro privato.

Limitazioni con i cluster avanzati e il bundle completo

Sono disponibili due pacchetti Google Distributed Cloud: completo e standard. Per determinare quale bundle si trova nella workstation amministrativa, controlla il campo bundlePath nel file di configurazione del cluster di amministrazione. Se il nome del file termina con -full, l'intero bundle si trova sulla workstation di amministrazione. Se il nome file non termina con -full, il bundle normale si trova sulla workstation di amministrazione.

Se hai creato la workstation di amministrazione utilizzando il comando gkeadm, questo comando crea la VM della workstation di amministrazione con il bundle completo e configura il campo bundlePath nel file di configurazione del cluster di amministrazione.

Se è attivato il cluster avanzato, esistono limitazioni all'utilizzo dell'intero bundle con un registro privato, come segue:

  • Versione 1.31: il bundle completo non è supportato con un registro privato. Per utilizzare un registro privato su un cluster avanzato:

    1. Scarica il bundle di dimensioni regolari sulla tua workstation amministrativa.
    2. Aggiorna il nome file nel campo bundlePath del file di configurazione del cluster di amministrazione.

  • Versione 1.32: l'utilizzo dell'intero bundle è supportato, ma il comando gkectl prepare estrae le immagini da gcr.io/gke-on-prem-release anziché dal file tar. Il comando esegue il push delle immagini nel tuo registro privato, in modo che le immagini di sistema vengano estratte dal tuo registro privato durante la creazione o l'upgrade del cluster.

Verifica che le immagini vengano estratte dal server del registro

La modalità di verifica che le immagini vengano estratte dal server di registro dipende dall'attivazione o meno del cluster avanzato.

  • Se il cluster avanzato non è abilitato, esegui questo comando:

    kubectl --kubeconfig ADMIN_CLUSTER_KUBECONFIG get pods \
    --all-namespaces -o jsonpath="{.items[*].spec['initContainers', 'containers'][*].image}"

    Sostituisci ADMIN_CLUSTER_KUBECONFIG con il percorso del file kubeconfig per il cluster di amministrazione.

    L'output di questo comando mostra tutte le immagini nel cluster. Puoi verificare che tutte le immagini di Google Distributed Cloud provengano dal tuo server di registro.

  • Se il cluster avanzato è abilitato, segui questi passaggi:

    Per determinare se containerd estrae le immagini dal registro locale, esamina i contenuti di un file denominato config.toml come mostrato nei seguenti passaggi:

    1. Accedi a un nodo ed esamina i contenuti del file /etc/containerd/config.toml.

    2. Controlla il campo plugins."io.containerd.grpc.v1.cri".registry.mirrors del file config.toml per verificare se il server di registrazione è elencato nel campo endpoint.

      Di seguito è riportato un estratto di un file config.toml di esempio.

      version = 2
root = "/var/lib/containerd"
state = "/run/containerd"
...
[plugins."io.containerd.grpc.v1.cri".registry]
[plugins."io.containerd.grpc.v1.cri".registry.configs]
[plugins."io.containerd.grpc.v1.cri".registry.configs."gcr.io"]
[plugins."io.containerd.grpc.v1.cri".registry.configs."privateregistry2.io".tls]
ca_file = '/etc/containerd/certs.d/privateregistry2.io/ca.crt'
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."gcr.io"]
endpoint = ["http://privateregistry.io", "http://privateregistry2.io"]
...

    3. Se il mirror del registro viene visualizzato nel campo endpoint, il nodo sta estraendo le immagini dal mirror del registro anziché da Artifact Registry.