Подключиться
Yandex Managed Service for Kubernetes

Создание кластера Kubernetes

Статья создана
,
улучшена

Создайте кластер Kubernetes, а затем создайте группу узлов.

Перед началом работы

Чтобы создать кластер Kubernetes:

  1. Войдите в консоль управления. Если вы еще не зарегистрированы, перейдите в консоль управления и следуйте инструкциям.

  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

  3. Если у вас еще нет каталога, создайте его.

  4. Установите Kubernetes CLI (kubectl).

  5. Убедитесь, что у вас достаточно свободных ресурсов в облаке.

  6. Если у вас еще нет сети, создайте ее.

  7. Если у вас еще нет подсетей, создайте их в зонах доступности, где будут созданы кластер Kubernetes и группа узлов.

  8. Создайте сервисные аккаунты:

    • Сервисный аккаунт с ролью editor на каталог, в котором создается кластер Kubernetes. От его имени будут создаваться ресурсы, необходимые кластеру Kubernetes.
    • Сервисный аккаунт с ролью container-registry.images.puller на каталог с реестром Docker-образов. От его имени узлы будут скачивать из реестра необходимые Docker-образы.

    Вы можете использовать один и тот же сервисный аккаунт для обеих операций.

  9. Создайте нужные группы безопасности.

  10. Изучите рекомендации по использованию Managed Service for Kubernetes.

Создайте кластер Kubernetes

  1. В консоли управления выберите каталог, в котором нужно создать кластер Kubernetes.

  2. Выберите сервис Managed Service for Kubernetes.

  3. Нажмите кнопку Создать кластер.

  4. Введите имя и описание кластера Kubernetes. Имя кластера должно быть уникальным в рамках Yandex.Cloud.

  5. Укажите Сервисный аккаунт для ресурсов, который будет использоваться для создания ресурсов.

  6. Укажите Сервисный аккаунт для узлов, который будет использоваться узлами для доступа к реестру Docker-образов.

  7. (Опционально) Укажите Ключ шифрования, который будет использоваться для шифрования секретов.

    Важно

    Эту настройку невозможно изменить после создания кластера.

  8. Укажите релизный канал.

  9. В блоке Конфигурация мастера:

    • В поле Версия Kubernetes выберите версию Kubernetes, которая будет установлена на мастере.

    • В поле Публичный адрес выберите способ назначения адреса:

      • Автоматически — чтобы назначить случайный IP-адрес из пула адресов Yandex.Cloud.
      • Без адреса — чтобы не назначать публичный IP-адрес.

    • В поле Тип мастера выберите тип мастера:

      • Зональный — создается в подсети в одной зоне доступности.
      • Региональный — создается распределенно в трех подсетях в каждой зоне доступности.

    • Выберите Зону доступности, в которой будет создан мастер.

      Шаг доступен только для зонального мастера.

    • В поле Облачная сеть выберите сеть, в которой будет создан мастер.

    • В поле Подсеть выберите подсеть, в которой будет создан мастер.

      Для регионального мастера необходимо указать подсеть в каждой зоне доступности.

    • Выберите группы безопасности для сетевого трафика кластера.

      Важно

      От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов.

  10. В блоке Настройки окна обновлений:

    • В поле Частота обновлений / Отключение настройте окно для обновлений:
      • Отключено — отключение автоматических обновлений.
      • В любое время — обновления разрешены в любое время.
      • Ежедневно — обновления будут происходить во временном интервале, указанном в поле Время (UTC) и продолжительность.
      • В выбранные дни — обновления будут происходить во временном интервале, указанном в поле Расписание по дням.

  11. В блоке Сетевые настройки кластера:

    • (опционально) Выберите контроллер сетевых политик:
      • Включить сетевые политики, чтобы задействовать Calico.
      • Включить туннельный режим, чтобы задействовать Cilium.
    • Укажите CIDR кластера — диапазон IP-адресов, из которого будут выделяться IP-адреса для подов.
    • Укажите CIDR сервисов — диапазон IP-адресов, из которого будут выделяться IP-адреса для сервисов.
    • Задайте маску подсети узлов и максимальное количество подов в узле.

  12. Нажмите кнопку Создать кластер.

  1. Если у вас еще нет интерфейса командной строки Yandex.Cloud, установите и инициализируйте его.

  2. По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  3. Укажите параметры кластера в команде создания (в примере приведены не все параметры):

    yc managed-kubernetes cluster create \
  --name test-k8s \
  --network-name default \
  --zone ru-central1-a \
  --subnet-name default-a \
  --public-ip \
  --release-channel regular \
  --version 1.13 \
  --cluster-ipv4-range 10.1.0.0/16 \
  --service-ipv4-range 10.2.0.0/16 \
  --security-group-ids enpe5sdn7vs5mu6udl7i,enpj6c5ifh755o6evmu4 \
  --service-account-name default-sa \
  --node-service-account-name default-sa \
  --daily-maintenance-window start=22:00,duration=10h

    Где:

    • --name — имя кластера Kubernetes.

    • --network-name — имя сети.

    • --zone — зона доступности.

    • --subnet-name — имя подсети.

    • --public-ip — флаг, который указывает, если кластеру Kubernetes требуется публичный IP-адрес.

    • --release-channelрелизный канал.

    • --version — версия Kubernetes.

    • --cluster-ipv4-range — диапазон IP-адресов, из которого будут выделяться IP-адреса для подов.

    • --service-ipv4-range — диапазон IP-адресов, из которого будут выделяться IP-адреса для сервисов.

    • --security-group-ids — список идентификаторов групп безопасности кластера.

      Важно

      От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов.

    • --service-account-id — уникальный идентификатор сервисного аккаунта для ресурсов. От его имени будут создаваться ресурсы, необходимые кластеру Kubernetes.

    • --node-service-account-id — уникальный идентификатор сервисного аккаунта для узлов. От его имени узлы будут скачивать из реестра необходимые Docker-образы.

    • --daily-maintenance-window — настройки окна обновлений.

    Результат выполнения команды:

    done (5m47s)
id: cathn0s6qobfa61p3u6k
folder_id: b1g66jflru0ek1omtsu0
...
  service_account_id: aje3932acd0c5ur7gatp
  node_service_account_id: aje3932acd0c5hg8dagp
  release_channel: REGULAR

  4. Чтобы включить контроллер сетевых политик Calico, передайте в команде создания кластера параметр --enable-network-policy:

    yc managed-kubernetes cluster create \
...
--enable-network-policy

  5. Чтобы использовать ключ шифрования для защиты конфиденциальной информации, передайте в команде создания кластера его имя или идентификатор:

    yc managed-kubernetes cluster create \
   ...
   --kms-key-name <имя ключа шифрования> \
   --kms-key-id <идентификатор ключа шифрования> \
   ...

    Важно

    Эту настройку невозможно изменить после создания кластера.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex.Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать. Вы можете добавить несколько записей одновременно.

    • name — имя кластера Kubernetes.

    • description — описание кластера Kubernetes.

    • network_id — идентификатор сети.

    • version — версия Kubernetes.

    • (Опционально) kms_providerключ шифрования Yandex Key Management Service, который будет использоваться для защиты секретов.

      Важно

      Эту настройку невозможно изменить после создания кластера.

    • zonal — параметры зонального мастера:

      • zone — зона доступности.
      • subnet_id — идентификатор подсети. Если он не указан, а в указанной зоне есть только одна подсеть, будет выделен адрес в этой подсети.

    • public_ip — флаг, который указывается, если кластеру Kubernetes требуется публичный IP-адрес.

    • service_account_id — идентификатор сервисного аккаунта для ресурсов. От его имени будут создаваться ресурсы, необходимые кластеру Kubernetes. Указанный аккаунт службы должна иметь роль редактирования в каталоге, в которой будет расположен кластер.

    • node_service_account_id — уникальный идентификатор сервисного аккаунта для узлов. От его имени узлы будут скачивать из реестра необходимые Docker-образы.

    • release_channelрелизный канал.

    Примечание

    Если права доступа для service_account_id или node_service_account_id предоставляются с использованием ресурсов Terraform, то необходимо добавить зависимость от этих ресурсов доступа в конфигурацию кластера в блоке depends_on.

    Права выдаются с некоторой задержкой, поэтому следует в соответствующих ресурсах (в данном примере это yandex_resourcemanager_folder_iam_member), добавить sleep_after = 30s.

    depends_on = [
  "yandex_resourcemanager_folder_iam_member.ServiceAccountResourceName",
  "yandex_resourcemanager_folder_iam_member.NodeServiceAccountResourceName"
]

    Иначе, при удалении ресурсов, Terraform удалит одновременно кластер и права доступа для учетных записей служб. Это может вызвать проблемы при удалении кластера и связанных с ним групп узлов.

    provider "yandex" {
  token     = "key.json"
  cloud_id  = "<идентификатор облака>"
  folder_id = var.folder-id
  zone      = "ru-central1-a"
}

variable "folder-id" {
  default = "<идентификатор каталога>"
}

resource "yandex_kubernetes_cluster" "zonal_cluster_resource_name" {
  name        = "my-cluster"
  description = "my-cluster description"
  network_id = "${yandex_vpc_network.this.id}"

  master {
    version = "1.17"
    zonal {
      zone      = "${yandex_vpc_subnet.subnet_resource_name.zone}"
      subnet_id = "${yandex_vpc_subnet.subnet_resource_name.id}"
    }
    public_ip = true
  }

  service_account_id      = "${yandex_iam_service_account.this.id}"
  node_service_account_id = "${yandex_iam_service_account.this.id}"
  release_channel = "STABLE"
  depends_on = ["yandex_resourcemanager_folder_iam_member.this"]
  kms_provider {
    key_id = "<идентификатор ключа шифрования>"
  }
}

resource "yandex_vpc_network" "this" {}

resource "yandex_vpc_subnet" "subnet_resource_name" {
  network_id     = yandex_vpc_network.this.id
  zone           = "ru-central1-a"
  v4_cidr_blocks = ["192.168.20.0/24"]
}

resource "yandex_iam_service_account" "this" {
  name = "k8-sa"
}

resource "yandex_resourcemanager_folder_iam_member" "this" {
  folder_id = var.folder-id

  member = "serviceAccount:${yandex_iam_service_account.this.id}"
  role   = "editor"
}

locals {
  kubeconfig = <<KUBECONFIG
apiVersion: v1
clusters:
- cluster:
    server: ${yandex_kubernetes_cluster.zonal_cluster_resource_name.master[0].external_v4_endpoint}
    certificate-authority-data: ${base64encode(yandex_kubernetes_cluster.zonal_cluster_resource_name.master[0].cluster_ca_certificate)}
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: yc
  name: ycmk8s
current-context: ycmk8s
users:
- name: yc
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1beta1
      command: yc
      args:
      - k8s
      - create-token
KUBECONFIG
}
output "kubeconfig" {
  value = "${local.kubeconfig}"
}

    Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, смотрите в документации провайдера.

  2. Выполните проверку с помощью команды:

    terraform plan

    Результат выполнения команды:

    Refreshing Terraform state in-memory prior to plan...
The refreshed state will be used to calculate this plan, but will not be
persisted to local or remote state storage.
...
Note: You didn't specify an "-out" parameter to save this plan, so Terraform
can't guarantee that exactly these actions will be performed if
"terraform apply" is subsequently run.

    В терминале будет выведен список ресурсов с параметрами. Это проверочный этап, ресурсы не будут созданы. Если в конфигурации есть ошибки, Terraform на них укажет.

    Внимание

    Все созданные с помощью Terraform ресурсы тарифицируются. Внимательно проверьте план.

  3. Чтобы создать ресурсы, выполните команду:

    terraform apply

    Результат выполнения команды:

    An execution plan has been generated and is shown below.
Resource actions are indicated with the following symbols:
+ create
...
Terraform will perform the actions described above.
Only 'yes' will be accepted to approve.

Enter a value:

  4. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter:

    Enter a value: yes

    Terraform создаст все требуемые ресурсы. В результате выполнения команды, в консоли отобразится содержимое файла конфигурации kubeconfig — его можно использовать с kubectl.

    Примечание

    В системе должен быть установлен и инициализирован CLI — он используется для получения токена.

    apiVersion: v1
clusters:
- cluster:
    server: https://178.154.202.231
    certificate-authority-data: ...JKdkI0dE1ra0RzRVRSOWIzcFJ1NjNHRFRJRj==...
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: yc
  name: ycmk8s
current-context: ycmk8s
users:
- name: yc
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1beta1
      command: yc
      args:
      - k8s
      - create-token

  5. Проверьте ресурсы и их настройки в консоли управления.

Чтобы создать кластер Kubernetes, воспользуйтесь методом create для ресурса Cluster.

Чтобы использовать для защиты секретов ключ шифрования KMS, передайте его идентификатор в параметре kmsProvider.keyId.

В этой статье: