Erstellen eines VPC-Clusters in der Konsole

Erstellen Sie Ihren VPC Kubernetes Cluster mit Hilfe der Konsole IBM Cloud. Befolgen Sie die Konsolenanweisungen, um die folgenden Clusterkonfigurationen vorzunehmen. Um mit der Erstellung Ihres Clusters zu beginnen, navigieren Sie zur Konsole und klicken Sie auf "Cluster erstellen ".

Virtual Private Cloud

Wählen Sie die vorhandene VPC-Instanz ( Virtual Private Cloud ) aus, in der Sie Ihren Cluster erstellen wollen. Wenn Sie keine VPC haben, können Sie eine erstellen.

Standort

Überprüfen Sie die Workerzonen und Teilnetze für Ihren Cluster. Die Zonen werden auf der Grundlage der von Ihnen ausgewählten VPC gefiltert und enthalten die von Ihnen zuvor erstellten VPC-Teilnetze. Wählen Sie je nach gewünschter Verfügbarkeitsstufe für Ihren Cluster eine oder mehrere Zonen aus. Standardmäßig sind Ihre Clusterressourcen für hohe Verfügbarkeit auf drei Zonen verteilt. Sie können später Zonen zu Ihrem Cluster hinzufügen.

Version

Wählen Sie Ihre Clusterversion aus. Standardmäßig werden Cluster mit der Standardversion von Kubernetes erstellt, aber Sie können eine andere unterstützte Version angeben.

Workerpool

Der Cluster-Worker-Pool definiert die Zahl und den Typ der Workerknoten, die Ihre Workload ausführen. Sie können Ihre Worker-Pool-Details jederzeit ändern.

• Workerknoten pro Zone: Für Hochverfügbarkeit werden mindestens 3 Workerknoten pro Zone empfohlen.

• Flavor: Das Flavor definiert die Architektur, die Menge an virtueller CPU, Speicher, GPU und Festplattenspeicher, die in jedem Arbeitsknoten eingerichtet und den Containern zur Verfügung gestellt wird. Die verfügbaren Bare-Metal- und virtuellen Maschinentypen variieren je nach Zone, in der Sie den Cluster implementieren. Eine Liste der verfügbaren Versionen finden Sie unter VPC-Versionen.
• Wenn Sie eine Version in der Konsole auswählen, können Sie verfügbare Versionen nach Maschinentyp, Architektur und Betriebssystem filtern. Die verfügbaren Maschinentypen sind shared und dedicated. Beachten Sie, dass die Option dedicated nur verfügbar ist, wenn Sie bereits einen dedizierten Host-Pool in Ihrem Konto haben. Eine Liste der verfügbaren Betriebssysteme und Architekturen nach Clusterversion finden Sie unter Verfügbare Versionen.

• Lokale Platte verschlüsseln: -Workerknoten verfügen standardmäßig über AES-256-Bit-Plattenverschlüsselung. Sie können die Plattenverschlüsselung inaktivieren, wenn Sie den Cluster erstellen. Wenn Sie die Verschlüsselung aktivieren, wird jeder Workerknoten im Worker-Pool mithilfe der von Ihnen verwalteten KMS-Providerberechtigungsnachweise verschlüsselt. Nur die Knoten des default-Worker-Pools werden verschlüsselt. Wenn Sie nach dem Erstellen des Clusters weitere Workerpools erstellen, müssen Sie die Verschlüsselung in jedem Pool separat aktivieren. Jeder Workerpool in Ihrem Cluster kann dieselbe KMS-Instanz mit Rootschlüssel bzw. dieselbe KMS-Instanz mit verschiedenen Rootschlüsseln oder verschiedene Instanzen verwenden.

• Sekundärer Speicher: Sie können eine sekundäre Platte für Ihre Workerknoten bereitstellen, z. B. eine 900gb.5iops-tier-Blockspeicherplatte. Wenn Sie eine sekundäre Platte hinzufügen, wird diese Platte für die Containerlaufzeit verwendet, während die primäre Platte für das Betriebssystem verwendet wird. Sekundäre Platten sind in Szenarios nützlich, in denen mehr Containerspeicher benötigt wird, wie z. B. die Ausführung von Pods mit großen Images. Beachten Sie, dass bei der Verwendung von Sekundärspeicher die Pods aufgrund der Overlay-Dateisysteme möglicherweise nicht die volle IOPS/Bandbreite der Volumes nutzen können. Sekundäre Platten werden in Ihrem Konto bereitgestellt und Sie können sie in der VPC-Konsole anzeigen. Die Gebühren für diese Platten sind getrennt von den Kosten für jeden Mitarbeiter und werden als unterschiedliche Position auf Ihrer Rechnung angezeigt. Diese sekundären Datenträger werden auch bei der Kontingentnutzung Ihres Kontos berücksichtigt. Wenn Sie planen, sekundären Speicher auf Knoten zu verwenden, denen persistente Datenträger zugeordnet werden könnten, wird dringend empfohlen, die 10-iops-Schichten oder höher zu verwenden. Dies liegt daran, dass die Speicherbandbreitenzuordnung für die Knoten von sekundären Speicherdatenträgern und allen angeschlossenen PVCs gemeinsam genutzt wird. Bei Verwendung von 5 E/A-Operationen pro Sekunde kann dies zu einer verminderten Leistung beim Extrahieren von Images oder beim Schreiben von Pods in den Speicher führen. Weitere Informationen zur Bandbreitenzuordnung finden Sie unter Bandbreitenzuordnung in virtuellen Serverinstanzen.

• GPU: Wenn Sie planen, KI-, visuelle oder hochwertige Grafikworkloads in Ihrem Cluster bereitzustellen, stellen Sie sicher, dass Sie einen GPU-Workerknotentyp auswählen.

Zusätzliche Geschmackstypen, einschließlich Geschmacksrichtungen mit NVIDIA, V100, A100, H100 und H200 GPUs sind nur für Konten auf der Zulassungsliste verfügbar. Um Zugriff auf andere in der Zulassungsliste aufgeführte Versionen anzufordern, fordern Sie Zugriff auf die Zulassungsliste an.

Verschlüsselung des Worker-Pools

Verwalten Sie die Verschlüsselung Ihrer Arbeitsknoten, indem Sie einen KMS-Anbieter (Key Management Service) auf der Ebene des Arbeitsknotenpools aktivieren. Wählen Sie Ihre KMS-Instanz und CRN aus.

Endpunkt für Master-Service

Serviceendpunkte ermöglichen die Kommunikation mit dem Master. Sie können Ihren Cluster mit einem privaten Serviceendpunkt oder sowohl einem öffentlichen als auch einem privaten Cloud-Serviceendpunkt konfigurieren. Weitere Informationen darüber, welche Konfiguration erforderlich ist, um mit dem Internet verbundene Apps auszuführen oder um dafür zu sorgen, dass Ihr Cluster weiterhin privat bleibt, finden Sie in Konfiguration des Clusternetzes planen.

Schutz des ausgehenden Verkehrs

Das Standardverhalten für Cluster der Version 1.30 und höher besteht darin, dass nur der erforderliche Netzdatenverkehr für den Cluster funktioniert und alle anderen abgehenden Verbindungen inaktiviert werden. Wenn Sie Apps oder Services haben, für die eine Verbindung zum öffentlichen Internet erforderlich ist (z. B. GitHub-Repositorys, Docker Hub), müssen Sie entweder den Schutz des abgehenden Datenverkehrs vollständig inaktivieren (damit der gesamte abgehende Datenverkehr zulässig ist) oder Sicherheitsgruppenregeln hinzufügen, um nur den abgehenden Datenverkehr zuzulassen, den Sie benötigen.

Clusterverschlüsselung

Aktivieren Sie die Datenverschlüsselung mit einem Key Management Service (KMS), um geheime Schlüssel und andere sensible Informationen in Ihrem Cluster zu verschlüsseln. Sie können KMS auch später aktivieren.

Verwaltung geheimer Ingress-Schlüssel

IBM Cloud Secrets Manager verwaltet Ingress-Unterdomänenzertifikate und andere geheime Schlüssel in Ihrem Cluster zentral. Während des Clustererstellungsprozesses können Sie eine Secrets Manager-Instanz in Ihrem Cluster registrieren. Sie können auch eine Gruppe geheimer Schlüssel angeben, mit deren Hilfe Sie den Zugriff auf die geheimen Schlüssel in Ihrem Cluster steuern können. Beide Optionen können nach der Erstellung des Clusters konfiguriert oder geändert werden.

VPC-Sicherheitsgruppen

Geben Sie bis zu vier benutzerdefinierte Sicherheitsgruppen an, die auf alle Arbeitsknoten im VPC-Cluster anstelle der Standard-VPC-Sicherheitsgruppe angewendet werden. Die VPC-Standardsicherheitsgruppe wird nicht angewendet. Weitere Informationen finden Sie unter Datenverkehr mit VPC-Sicherheitsgruppen steuern.

Clusterdetails

Sie können den eindeutigen Clusternamen und alle Tags anpassen, die Sie zum Organisieren und Identifizieren Ihrer IBM Cloud-Ressourcen verwenden möchten, z. B. team oder billing department.

Wählen Sie die Ressourcengruppe aus, in der Ihr Cluster erstellt wird. Ein Cluster kann nur in einer Ressourcengruppe erstellt werden; nach der Erstellung des Clusters kann seine Ressourcengruppe nicht geändert werden. Um Cluster in einer anderen Ressourcengruppe als der Standard-Ressourcengruppe zu erstellen, müssen Sie mindestens die **Viewer-**Rollefür die Ressourcengruppe besitzen.

Beobachtbarkeitsintegrationen

Sie können zusätzliche Beobachtbarkeitsintegrationen aktivieren, die Sie in Ihren Cluster einschließen wollen. Einige Integrationen werden automatisch aktiviert, wenn Sie eine vorhandene Plattforminstanz dieser Integration haben. In diesem Fall können Sie die Integration nicht deaktivieren. Wenn Sie eine Integration verwenden möchten und nur eine Anwendungsinstanz dieser Integration vorhanden ist, ist die Integration standardmäßig inaktiviert und Sie müssen sie manuell aktivieren.

• Protokollierung: Sie können IBM Cloud Logs verwenden, um Betriebssystemprotokolle, Anwendungsprotokolle und Plattformprotokolle zu verwalten. Wenn Sie diese Integration später aktivieren möchten, lesen Sie bitte IBM Cloud Logs.

• Überwachung und Schutz der Arbeitslast: Die Integration des Überwachungsdienstes ermöglicht einen operativen Einblick in die Leistung und den Zustand Ihrer Anwendungen, Dienste und Plattformen. Wenn Sie diese Integration deaktivieren und später wieder aktivieren möchten, lesen Sie bitte Überwachung des Clusterzustands. Die Security and Compliance Center Workload Protection Integration findet und priorisiert Software-Schwachstellen, erkennt und reagiert auf Bedrohungen und verwaltet Konfigurationen, Berechtigungen und Compliance von der Quelle bis zur Ausführung. Weitere Informationen finden Sie auf der Seite Workload-Schutz Einstieg.
• Geben Sie den Konfigurationstyp an, um entweder neue oder vorhandene Instanzen von Monitoring und Workload Protection zu verwenden. Wenn Sie vorhandene Instanzen sowohl der Überwachung als auch des Workload-Schutzes verwenden möchten, müssen die Instanzen jeder Integration verbunden werden. In diesem Fall geben Sie entweder die Überwachungs- oder die Workload-Schutz-Instanz an, die Sie verwenden möchten; Sie können nicht beide Instanzen angeben, aber beide Instanzen werden verwendet, solange sie verbunden sind. Sie können bestehende Instanzen von der Detailseite der Überwachung oder Workload Protection Instanz aus verbinden.

Erstellen von VPC-Clustern über die CLI

• Vergewissern Sie sich, dass Sie die Voraussetzungen erfüllen, um Ihr Konto vorzubereiten und Ihr Cluster-Setup zu wählen.
• Installieren Sie die IBM Cloud-CLI sowie das IBM Cloud Kubernetes Service-Plug-in.
• Installieren Sie das VPC-CLI-Plug-in.

1. Melden Sie sich über die Befehlszeile bei Ihrem IBM Cloud-Konto an und geben Sie die IBM Cloud-Region und -Ressourcengruppe an, in der der VPC-Cluster erstellt werden soll. Informationen zu den unterstützten Regionen finden Sie in Abschnitt VPC in einer anderen Region erstellen. Geben Sie Ihre IBM Cloud-Berechtigungsnachweise ein, wenn Sie dazu aufgefordert werden. Wenn Sie eine föderierte ID haben, verwenden Sie die Option --sso, um sich anzumelden.

   ibmcloud login -r <region> [-g <resource_group>] [--sso]
   

2. Erstellen Sie eine VPC in derselben Region, in der Sie den Cluster erstellen möchten. Müssen die Cluster von Workerknoten in Ihrer VPC Informationen an die klassische IBM Cloud-Infrastruktur senden und von ihr empfangen? Sie müssen die Schritte im Abschnitt VPC-Teilnetze für klassischen Zugriff erstellen ausführen, um einen für den klassischen Zugriff aktivierten VPC und VPC-Teilnetze zu erstellen, ohne automatisch Standardadressenpräfixe zu erstellen.

3. Erstellen Sie ein Teilnetz für Ihre VPC.

   • Wenn Sie einen Multizonen-Cluster erstellen möchten, wiederholen Sie diesen Schritt, um zusätzliche Subnetze in allen Zonen zu erstellen, die Sie in Ihren Cluster aufnehmen möchten.
   • VPC-Teilnetze stellen IP-Adressen für Ihre Workerknoten und Services für Lastausgleichsfunktionen bereit. Daher müssen Sie ein VPC-Teilnetz mit einer ausreichenden Anzahl von IP-Adressen erstellen, beispielsweise 256. Sie können die Anzahl der IPs, über die ein VPC-Teilnetz später verfügt, nicht ändern.
   • Die folgenden reservierten Bereiche dürfen nicht verwendet werden: 172.16.0.0/16, 172.18.0.0/16, 172.19.0.0/16 und 172.20.0.0/16.
   • Wenn Workerknoten Zugriff auf öffentliche Endpunkte benötigen, hängen Sie ein öffentliches Gateway an jedes Teilnetz an.
   • Wichtig: Löschen Sie die Teilnetze, die Sie bei der Clustererstellung oder beim Hinzufügen von Workerknoten in einer Zone an Ihren Cluster angehängt haben, nicht. Wenn Sie ein von Ihrem Cluster verwendetes VPC-Teilnetz löschen, können bei allen Lastausgleichsfunktionen, die IP-Adressen aus dem Teilnetz verwenden, Probleme auftreten, und Sie können möglicherweise keine neuen Lastausgleichsfunktionen erstellen.
   • Weitere Informationen finden Sie in Übersicht über den VPC-Netzbetrieb in IBM Cloud Kubernetes Service: Teilnetze.

4. Erstellen Sie den Cluster in Ihrem VPC. Mit dem Befehl ibmcloud ks cluster create vpc-gen2 können Sie in Ihrem VPC einen Einzelzonencluster mit Workerknoten erstellen, die nur mit einem VPC-Teilnetz verbunden sind. Wenn Sie einen Mehrzonencluster erstellen möchten, können Sie die IBM Cloud-Konsole verwenden. Nach der Erstellung des Clusters können Sie zu Ihrem Cluster aber auch noch weitere Zonen hinzufügen. Die Bereitstellung des Clusters dauert einige Minuten.

   ibmcloud ks cluster create vpc-gen2 --name <cluster_name> --zone <vpc_zone> --vpc-id <vpc_ID> --subnet-id <vpc_subnet_ID> --flavor <worker_flavor> [--version <major.minor.patch>][--workers <number_workers_per_zone>] [--sm-group GROUP] [--sm-instance INSTANCE] [--pod-subnet] [--service-subnet] [--disable-public-service-endpoint] [[--kms-account-id <kms_account_ID>] --kms-instance <KMS_instance_ID> --crk <root_key_ID>] [--secondary-storage STORAGE] [--disable-outbound-traffic-protection] [--operating-system SYSTEM]
   
   

   --name <cluster_name>

   Geben Sie einen Namen für Ihren Cluster an. Der Name muss mit einem Buchstaben beginnen, darf Buchstaben, Ziffern, Punkte (.) und den Bindestrich (-) enthalten und darf maximal 35 Zeichen lang sein. Verwenden Sie einen Namen, der in allen Regionen eindeutig ist. Der vollständig qualifizierte Domänenname für die Ingress-Unterdomäne setzt sich aus dem Clusternamen und der Region zusammen, in der der Cluster bereitgestellt wird. Um sicherzustellen, dass die Ingress-Unterdomäne innerhalb einer Region eindeutig ist, wird der Clustername möglicherweise abgeschnitten und es wird ein beliebiger Wert innerhalb des Ingress-Domänennamens angehängt.

   --zone <zone>

   Geben Sie die IBM Cloud-Zone an, in der Sie Ihren Cluster erstellen wollen. Stellen Sie sicher, dass Sie eine Zone verwenden, deren Standort mit der Stadtmetropole übereinstimmt, die Sie bei der Erstellung Ihrer VPC ausgewählt haben, und dass Sie über ein bestehendes VPC-Teilnetz für diese Zone verfügen. Wenn Sie Ihre VPC zum Beispiel in der Metropole Dallas erstellt haben, muss für Ihre Zone us-south-1, us-south-2 oder us-south-3 festgelegt werden. Zum Auflisten der verfügbaren VPC-Clusterzonen führen Sie den Befehl ibmcloud ks zone ls --provider vpc-gen2 aus. Beachten Sie, dass Sie bei der Auswahl einer Zone außerhalb Ihres Landes möglicherweise eine gesetzliche Genehmigung benötigen, bevor Daten physisch in einem anderen Land gespeichert werden dürfen.

   --vpc-id <vpc_ID>

   Geben Sie die ID der VPC ein, die Sie zuvor erstellt haben. Führen Sie zum Abrufen der ID Ihrer VPC den Befehl ibmcloud ks vpcs aus.

   --subnet-id <subnet_ID>

   Geben Sie die ID des VPC-Teilnetzes ein, das Sie zuvor erstellt haben. Wenn Sie einen VPC-Cluster über die Befehlszeilenschnittstelle (CLI) erstellen, können Sie Ihren Cluster zunächst in einer Zone mit nur einem Teilnetz erstellen. Zur Erstellung eines Multizonen-Clusters fügen Sie mehr Zonen mit den Teilnetzen hinzu, die Sie zuvor für Ihren Cluster erstellt haben, nachdem der Cluster erstellt wurde. Um die IDs Ihrer Teilnetze in allen Ressourcengruppen aufzulisten, führen Sie ibmcloud ks subnets --provider vpc-gen2 --vpc-id &lt,VPC_ID> --zone <subnet_zone> aus.

   --flavor <worker_flavor>

   Geben Sie den Typ von Workerknoten an, den Sie verwenden möchten. Der Typ bestimmt die Menge an virtueller CPU, Hauptspeicher und Festplattenspeicher, die in jedem Workerknoten eingerichtet wird und allen Containern zur Verfügung steht. VPC-Workerknoten können auf gemeinsam genutzten Infrastrukturen nur als virtuelle Maschinen erstellt werden. Bare Metall- oder softwaredefinierte Speichermaschinen werden nicht unterstützt. Um die verfügbaren Flavors anzuzeigen, listen Sie zunächst die verfügbaren VPC-Zonen mit ibmcloud ks zone ls --provider vpc-gen2 auf und verwenden Sie dann die Zone, um die unterstützten Flavors aufzulisten, indem Sie ibmcloud ks flavors --zone <VPC_zone> --provider vpc-gen2 ausführen. Nachdem Sie Ihren Cluster erstellt haben, können Sie verschiedene Varianten hinzufügen, indem Sie einen Workerknoten oder einen Worker-Pool zum Cluster hinzufügen.

   --version <major.minor.patch>

   Die Kubernetes-Version für den Cluster-Masterknoten. Führen Sie den Befehl ibmcloud ks versions aus, um die verfügbaren Versionen anzuzeigen.

   --workers <number>

   Geben Sie die Anzahl der Workerknoten an, die im Cluster eingebunden werden sollen. Wenn Sie diese Option nicht angeben, wird ein Cluster mit dem Mindestwert eins (1) erstellt.

   --operating-system UBUNTU_20_64|UBUNTU_24_64

   Optional. Das Betriebssystem der Workerknoten in Ihrem Cluster. Eine Liste der verfügbaren Betriebssysteme nach Cluster-Version finden Sie in den Versionsinformationen unter Kubernetes. Wenn keine Option angegeben ist, wird das Standardbetriebssystem verwendet, das der Clusterversion entspricht.

   --cluster-security-group <group_ID>

   Optional. Geben Sie mindestens eine Sicherheitsgruppen-ID an, die auf alle Worker im Cluster angewendet werden soll. Für OpenShift Version 4.15 und Kubernetes Version 1.30 und höher werden diese Sicherheitsgruppen zusätzlich zur Sicherheitsgruppe IBM-managed kube-clusterID angewendet. Geben Sie für frühere Clusterversionen die Option --cluster-security-group cluster an, um die kube-clusterID-Sicherheitsgruppe anzuwenden. Wenn kein Wert angegeben wird, wird eine Standardgruppe von Sicherheitsgruppen einschließlich kube-clusterID angewendet. Weitere Informationen finden Sie unter VPC-Sicherheitsgruppen zu Clustern und Worker-Pools während der Erstellung hinzufügen.

   Die auf einen Cluster angewendeten Sicherheitsgruppen können nicht geändert werden, nachdem der Cluster erstellt wurde. Sie können Regeln der Sicherheitsgruppen ändern, die auf den Cluster angewendet werden, aber keine Sicherheitsgruppen auf Clusterebene hinzufügen oder entfernen. Wenn Sie die falschen Sicherheitsgruppen bei der Clustererstellung anwenden, müssen Sie den Cluster löschen und einen neuen erstellen. Weitere Details finden Sie unter VPC-Sicherheitsgruppen zu Clustern und Worker-Pools während der Erstellung hinzufügen, bevor Sie Ihrem Cluster Sicherheitsgruppen hinzufügen.

   --sm-group GROUP

   Optional. Die Geheimgruppen-ID der Instanz Secrets Manager, in der Ihre Geheimnisse gespeichert sind. Informationen zum Abrufen der ID einer Gruppe geheimer Schlüssel finden Sie in der Secrets Manager-CLI-Referenz. Verwenden Sie diese Option, um eine Gruppe geheimer Schlüssel anzugeben, die steuert, wer in Ihrem Team Zugriff auf geheime Clusterschlüssel hat.

   --sm-instance INSTANCE

   Optional. Die CRN der Instanz Secrets Manager. Um den CRN einer Instanz abzurufen, führen Sie ibmcloud ks ingress instance ls --cluster CLUSTER aus. Geben Sie diese Option an, wenn Sie eine Secrets Manager-Instanz im Cluster registrieren möchten.

   --pod-subnet

   Im ersten Cluster, den Sie in einer VPC erstellen, ist 172.17.0.0/18 das Standard-Pod-Teilnetz.

   Im zweiten Cluster, den Sie in dieser VPC erstellen, ist das Standard-Pod-Subnetz 172.17.64.0/18. In jedem weiteren Cluster ist der Podteilnetzbereich das nächste verfügbare Bereich, der keine Überschneidung mit dem Teilnetz /18 hat. Wenn Sie beabsichtigen, Ihren Cluster über IBM Cloud® Direct Link oder einen VPN-Service mit lokalen Netzen zu verbinden, können Sie mögliche Teilnetzkonflikte vermeiden, indem Sie die CIDR-Notation für ein angepasstes Teilnetz angeben, das die privaten IP-Adressen für Ihre Pods zur Verfügung stellt.

   Sie können die Teilnetzgröße angeben, indem Sie sie in die Option --pod-subnet einschließen. Beispiel: --pod-subnet 0.0.0.0/X, wobei X die erforderliche Teilnetzgröße des Pods ist. Anschließend wird das Pod-Teilnetz automatisch ausgewählt. Bei der automatischen Zuordnung des Pod-Teilnetzes beginnt die Zuordnung bei 172.17.0.0, das größte Teilnetz ist auf 13 begrenzt und die kleinste Teilnetzgröße ist auf 23 begrenzt.

   Berücksichtigen Sie bei der Festlegung der Teilnetzgröße die Größe des Clusters, den Sie erstellen wollen, und die Anzahl der Workerknoten, die Sie möglicherweise später hinzufügen. Das Subnetz muss einen CIDR von mindestens /23 haben, der genügend Pod-IP-Adressen für maximal vier Arbeitsknoten in einem Cluster bereitstellt. Für größere Cluster verwenden Sie /22, um genügend Pod-IP-Adressen für acht Workerknoten zu haben, /21, um genügend Pod-IP-Adressen für 16 Workerknoten zu haben, usw. Beachten Sie, dass sich Pod- und Serviceteilnetze nicht überschneiden dürfen. Wenn Sie benutzerdefinierte Subnetze für Ihre Arbeitsknoten verwenden, müssen Sie sicherstellen, dass sich die Subnetze Ihrer Arbeitsknoten nicht mit dem Pod-Subnetz Ihres Clusters überschneiden. Das ausgewählte Teilnetz muss sich in einem der folgenden Bereiche befinden: 172.17.0.0 - 172.17.255.255, 172.21.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255, 198.18.0.0 - 198.19.255.255.

   --service-subnet

   Allen Services, die auf dem Cluster bereitgestellt werden, wird standardmäßig eine private IP-Adresse im Bereich 172.21.0.0/16 zugeordnet. Wenn Sie beabsichtigen, Ihren Cluster über IBM Cloud Direct Link oder einen VPN-Service mit lokalen Netzen zu verbinden, können Sie mögliche Teilnetzkonflikte vermeiden, indem Sie die CIDR-Notation für ein angepasstes Teilnetz angeben, das die privaten IP-Adressen für Ihre Services zur Verfügung stellt. Das Teilnetz muss im CIDR-Format mit einer Länge von mindestens /24 angegeben werden. Auf diese Weise sind maximal 255 Services (oder mehr) im Cluster zulässig. Das ausgewählte Teilnetz muss sich in einem der folgenden Bereiche befinden: 172.17.0.0 - 172.17.255.255, 172.21.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255, 198.18.0.0 - 198.19.255.255. Beachten Sie, dass sich Pod-und Serviceteilnetze nicht überschneiden dürfen.

   --disable-public-service-endpoint

   Schließen Sie diese Option in Ihren Befehl ein, um Ihren VPC-Cluster nur mit einem Private-Cloud-Serviceendpunkt zu erstellen. Wenn Sie diese Option nicht angeben, wird Ihr Cluster mit einem öffentlichen und einem privaten Cloud-Serviceendpunkt eingerichtet. Der Serviceendpunkt bestimmt, wie Ihr Kubernetes-Master und die Workerknoten kommunizieren, wie Ihr Cluster auf andere IBM Cloud-Services und -Anwendungen jenseits des Clusters zugreift und wie sich Ihre Benutzer mit Ihrem Cluster verbinden. Weitere Informationen finden Sie in Konfiguration des Clusternetzes planen.

   --kms-account-id <KMS_acount_ID>

   Optional: Muss eingeschlossen werden, wenn die Optionen --kms-instance-id und --crk bereitgestellt werden und sich die KMS-Instanz in einem anderen Konto als dem Konto des Clusters befindet. Andernfalls kann sie weggelassen werden. Die Einrichtung der Verschlüsselung mithilfe eines KMS aus einem anderen Konto ist nur für Konten verfügbar, die in der Zulassungsliste aufgeführt sind. Um zur Zulassungsliste hinzugefügt zu werden, öffnen Sie einen Fall mit Unterstützung.

   --kms-instance <KMS_instance_ID>

   Optional: Geben Sie die ID einer KMS-Instanz (Key Management Service) an, die zum Verschlüsseln der lokalen Platte auf den Workerknoten im default-Workerpool verwendet wird. Um die verfügbaren KMS-Instanzen aufzulisten, führen Sie den Befehl ibmcloud ks kms instance ls aus. Wenn Sie diese Option einschließen, müssen Sie auch die Option --crk einschließen. Bevor Sie die KMS-Verschlüsselung verwenden können, müssen Sie eine KMS-Instanz erstellen und die erforderliche Serviceberechtigung in IAM einrichten. Siehe Verwaltung von Verschlüsselungen für Workerknoten in Ihrem Cluster.

   --crk <root_key>

   Optional: Schließen Sie die ID des Rootschlüssels in die KMS-Instanz ein, um die lokale Platte auf den Workerknoten im default-Workerpool zu verschlüsseln. Um die verfügbaren Rootschlüssel aufzulisten, führen Sie den Befehl ibmcloud ks kms crk ls --instance-id aus. Wenn Sie diese Option einschließen, müssen Sie auch die Option --kms-instance einschließen. Bevor Sie die KMS-Verschlüsselung verwenden können, müssen Sie eine KMS-Instanz erstellen und die erforderliche Serviceberechtigung in IAM einrichten. Siehe Verwaltung von Verschlüsselungen für Workerknoten in Ihrem Cluster.

   --secondary-storage STORAGE

   Optional. Die Speichermöglichkeit für den Geschmack. Beispiel: 900gb.5iops-tier. Wenn Sie eine sekundäre Platte hinzufügen, wird diese Platte für die Containerlaufzeit verwendet, während die primäre Platte für das Betriebssystem verwendet wird. Führen Sie den Befehl ibmcloud ks flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 aus, um die Speicheroption für eine Version anzuzeigen. Eine Liste der VPC-Workerknotentypen finden Sie unter VPC-Typen.

   --disable-outbound-traffic-protection

   Optional.

5. Prüfen Sie, ob die Erstellung des Clusters angefordert wurde. Es kann einige Minuten dauern, bis die Maschinen mit den Workerknoten angewiesen werden und der Cluster in Ihrem Konto eingerichtet und bereitgestellt wird.

   ibmcloud ks cluster ls
   

   Wenn die Bereitstellung des Kubernetes-Masters abgeschlossen ist, ändert sich der Zustand (State) Ihres Clusters in normal. Nachdem der Kubernetes-Master fertig ist, werden Ihre Workerknoten eingerichtet.

   NAME         ID                                   State      Created          Workers    Zone      Version     Resource Group Name   Provider
   mycluster    aaf97a8843a29941b49a598f516da72101   normal   20170201162433   3          Dallas     1.32.5_1526      Default               vpc-gen2
   

6. Überprüfen Sie den Status der Workerknoten.

   ibmcloud ks worker ls --cluster <cluster_name_or_ID>
   

   Wenn die Workerknoten bereit sind, ändert sich der **Status des Worker-Knoten ** in normal und der Status ändert sich in Ready. Wenn der Status des Knotens Ready (Bereit) lautet, können Sie auf den Cluster zugreifen. Beachten Sie, dass selbst bei Bereitschaft des Clusters einige seiner Teile, die von anderen Services wie den geheimen Ingress-Schlüsseln oder geheimen Schlüsseln für Registry-Image-Pull-Operationen verwendet werden, möglicherweise noch in Verarbeitung sind.

   ID                                                     Public IP        Private IP     Flavor              State    Status   Zone    Version
   kube-blrs3b1d0p0p2f7haq0g-mycluster-default-000001f7   169.xx.xxx.xxx  10.xxx.xx.xxx   b3c.4x16.encrypted  normal   Ready    dal10   1.32.5_1526
   

   Jedem Workerknoten werden eine eindeutige Workerknoten-ID und ein Domänenname zugewiesen, die nach dem Erstellen des Clusters nicht manuell geändert werden dürfen. Wenn Sie die ID oder den Domänennamen ändern, kann der Kubernetes-Master Ihren Cluster nicht verwalten.

Beispielbefehle zum Erstellen von VPC-Clustern

Versionen mit Instanzspeicher sind für Konten mit Zulassungsliste verfügbar. Um zur Zulassungsliste hinzugefügt zu werden, öffnen Sie einen Fall mit Unterstützung.

Beispielbefehl zum Erstellen eines VPC-Clusters mit drei Workerknoten in us-east-1.

ibmcloud ks cluster create vpc-gen2 --name my_cluster --version 1.32_openshift --zone us-east-1 --vpc-id VPC-ID --subnet-id VPC-SUBNET-ID --flavor bx2.4x16 --workers 3

Beispielbefehl zum Erstellen eines VPC-Clusters mit 3 Workerknoten in us-east-1 mit einem Teilnetz und einer Größe des Kundenpods.

ibmcloud ks cluster create vpc-gen2 --name my_cluster --version 1.32_openshift --zone us-east-1 --vpc-id VPC-ID --subnet-id VPC-SUBNET-ID --flavor bx2.4x16 --workers 3  -pod-subnet 0.0.0.0/15

Beispielbefehl zum Hinzufügen von Arbeitsknoten durch Hinzufügen einer Zone zu einem Multizonen-VPC-Cluster.

ibmcloud ks zone add vpc-gen2 --zone ZONE --cluster <cluster_name_or_ID> --worker-pool WORKER-POOL --subnet-id SUBNET-ID

VPC-Cluster mit Terraform erstellen

Terraform auf IBM Cloud ermöglicht eine vorhersehbare und konsistente Bereitstellung der Infrastruktur und Ressourcen der IBM Cloud-Plattform, einschließlich VPC-Clustern. Um einen VPC-Cluster mit Terraform zu erstellen, erstellen Sie zunächst eine Terraform-Konfigurationsdatei, die den Typ der Clusterressource deklariert, die Sie erstellen möchten. Anschließend wenden Sie die Terraform-Konfigurationsdatei an. Weitere Informationen zu Terraform finden Sie unter Informationen zu Terraform auf IBM Cloud.

Vorbereitende Schritte

• Installieren Sie die Terraform-CLI und das IBM Cloud Provider-Plug-in.
• Stellen Sie sicher, dass Sie über einen IBM Cloud -API-Schlüssel verfügen.

1. Erstellen Sie eine Terraform-Anbieterdatei. Speichern Sie die Datei im Terraform-Verzeichnis. Weitere Informationen finden Sie in der Terraform-Dokumentation zu IBM Cloud Provider.

   Beispieldatei für Terraform-Provider.

   terraform {
   required_providers {
       ibm = {
       source = "IBM-Cloud/ibm"
       version = "1.53.0"
       }
   }
   }
   
   provider "ibm" {
   region = "us-south"
   ibmcloud_api_key = "<api-key>"
   }
   

2. Erstellen Sie eine Terraform-Konfigurationsdatei für einen VPC-Cluster. Speichern Sie die Datei im Terraform-Verzeichnis. Weitere Informationen und Optionen zur Clusterkonfiguration finden Sie in der Dokumentation zu Terraform ibm_container_cluster.

   Beispiel für eine Terraform-Konfigurationsdatei.

   resource "ibm_container_vpc_cluster" "cluster" {
   name              = "tf-vpc"
   vpc_id            = "<vpc_id>"
   flavor            = "bx2.16x64"
   worker_count      = "3"
   operating_system  = "UBUNTU_20_64"
   kube_version      = "1.28.2"
   resource_group_id = "<resource_group_id>"
   zones {
       subnet_id = "<subnet_id>"
       name      = "us-south-1"
       }
   }
   

   name

   Erforderlich. Der Name des Clusters.

   vpc_id

   Erforderlich. Die ID der VPC, die Sie für Ihren Cluster verwenden möchten. Um die verfügbaren VPCs aufzulisten, führen Sie ibmcloud is vpcs aus.

   flavor

   Erforderlich. Der Typ des Workerknotens. Der Typ bestimmt die Menge an Hauptspeicher, CPU und Plattenspeicher, die Ihren Workerknoten zur Verfügung steht. Eine Liste der verfügbaren Workerknotentypen finden Sie unter ibmcloud ks flavors --zone <zone> --provider classic oder unter Klassische Typen.

   worker_count

   Die Anzahl der Workerknoten, die zum Standard-Worker-Pool hinzugefügt werden sollen

   operating_system

   Das Betriebssystem der Workerknoten im Worker-Pool. Eine Liste der unterstützten Betriebssysteme nach Clusterversion finden Sie unter Kubernetes-Versionsinformationen.

   kube_version

   Die Kubernetes Version Ihres Clusters. Standardmäßig werden Cluster mit der Standardversion von Kubernetes erstellt, aber Sie können eine andere unterstützte Version angeben.

   resource_group_id

   Die ID der Ressourcengruppe. Um die verfügbaren Ressourcengruppen zu sehen, führen Sie ibmcloud resource groups aus. Wenn kein Wert angegeben wird, wird die Standardressourcengruppe verwendet.

   zones

   Ein verschachtelter Block, der die Zonen des Standardworker-Pools des VPC-Clusters beschreibt.

   • subnet_id: Erforderlich. Die ID des VPC-Teilnetzes, das Sie für Ihre Workerknoten verwenden möchten Führen Sie ibmcloud ks subnets --provider classic --zone <zone> aus, um vorhandene Teilnetze zu suchen.

   • name: Erforderlich. Der Zonenname für den Standardworker-Pool. Um die verfügbaren Zonen zu sehen, führen Sie ibmcloud ks zones --provider vpc-gen2 aus.

3. Navigieren Sie in der Befehlszeilenschnittstelle zum Terraform-Verzeichnis.

   cd <terraform_directory>
   

4. Führen Sie die Befehle zum Initialisieren und Planen Ihrer Terraform-Aktionen aus. Überprüfen Sie die Planausgabe, um sicherzustellen, dass die richtigen Aktionen ausgeführt werden.

   terraform init
   

   terraform plan
   

5. Wenden Sie die Terraform-Dateien an, um den Cluster zu erstellen. Navigieren Sie anschließend zur IBM Cloud-Konsole, um zu überprüfen, ob der Cluster bereitgestellt wird.

   terraform apply