Les parcs vous permettent de gérer simultanément les fonctionnalités d'entreprise et d'autres fonctionnalités des parcs sur plusieurs clusters. Vous pouvez ainsi, par exemple, appliquer un ensemble commun de règles ou créer un maillage de services unique sur l'ensemble de votre parc de clusters. Cette page offre un aperçu de la façon dont vous pouvez gérer les fonctionnalités de votre parc. Pour plus d'informations sur la configuration et l'utilisation des fonctionnalités individuelles, consultez la documentation correspondante.
Si vous avez activé Google Kubernetes Engine, vous pouvez gérer les fonctionnalités dans la Google Cloud console. Tous les utilisateurs du parc peuvent gérer les fonctionnalités à l'aide de la ligne de commande.
Certaines fonctionnalités vous permettent de créer une configuration de fonctionnalités par défaut au niveau du parc pour vos clusters de parc. Par exemple, vous pouvez vous assurer que Policy Controller est installé et configuré pour chaque cluster que vous créez dans votre parc.
Pour en savoir plus sur le fonctionnement de la gestion des fonctionnalités au niveau du parc sur vos clusters , consultez la section Autorisation des fonctionnalités.
Fonctionnalités au niveau du parc
Vous pouvez gérer les fonctionnalités suivantes au niveau du parc :
- Cloud Service Mesh géré
- Stratégie de sécurité
- Config Sync
- Policy Controller
- Service d'identité GKE
- Entrée multicluster
- Services multiclusters (clusters GKE uniquement)
- Validation continue pour l'autorisation binaire
Cette liste n'inclut pas toutes les fonctionnalités qui utilisent ou nécessitent des parcs. Par exemple, la fédération d'identité de charge de travail de parc repose sur des clusters membres d'un parc, mais ne nécessite pas de configuration au niveau du parc. Cloud Service Mesh nécessite l'appartenance à un parc pour tous les plans de contrôle et les options de configuration.
Pour en savoir plus sur les fonctionnalités disponibles dans les environnements, consultez la page Options de déploiement.
Configurer des fonctionnalités au niveau du parc
Les sections suivantes expliquent comment activer et configurer les fonctionnalités au niveau du parc.
Pour utiliser une fonctionnalité au niveau du parc, vous devez dans la plupart des cas l'activer pour votre parc et la configurer pour vos membres. Une configuration (ou une autre configuration supplémentaire) est généralement nécessaire pour utiliser cette fonctionnalité avec vos clusters et vos charges de travail.
Vous pouvez créer des configurations de cluster par défaut du parc pour certaines fonctionnalités, ce qui signifie que tous les clusters que vous créez dans votre parc seront créés avec les paramètres spécifiés pour cette fonctionnalité déjà configurés.
Activer des fonctionnalités avec des valeurs par défaut au niveau du parc
Vous pouvez créer des paramètres par défaut au niveau du parc pour vos clusters GKE pour certaines fonctionnalités. Une fois ces paramètres créés, tout cluster GKE que vous enregistrez lors de la création du cluster est automatiquement configuré avec vos configurations au niveau du parc. Ainsi, par exemple, si vous configurez des valeurs par défaut pour Policy Controller, chaque nouveau cluster que vous créez dans votre parc sera installé avec la version spécifiée de Policy Controller, ainsi que les bundles de règles et autres paramètres spécifiés. Les paramètres par défaut de la flotte ne sont pas automatiquement appliqués aux clusters de membres du parc existants . Toutefois, vous pouvez synchroniser les clusters existants avec vos paramètres par défaut à l'aide de la Google Cloud console.
Le processus général d'activation des fonctionnalités avec des valeurs par défaut au niveau du parc est le suivant :
Console
Dans votre projet hôte de parc, accédez à la page Gestionnaire de fonctionnalités :
Accéder au gestionnaire de fonctionnalités
Les fonctionnalités qui permettent de configurer des valeurs par défaut au niveau du parc à l'aide de la Google Cloud console sont répertoriées sous Gestion des fonctionnalités au niveau du parc.
Pour la fonctionnalité de votre choix, cliquez sur Configurer , puis suivez les instructions pour activer et configurer les valeurs par défaut de la fonctionnalité.
Facultatif : Sélectionnez et synchronisez les clusters existants de votre parc avec vos nouveaux paramètres.
gcloud
- Créez un fichier YAML spécifiant les valeurs par défaut du parc que vous avez choisies pour la fonctionnalité.
Exécutez la commande
enablepour la fonctionnalité en lui transmettant votre fichier de configuration. Chaque fonctionnalité au niveau du parc possède sa propre commandeenable. Par exemple, pour activer Cloud Service Mesh pour votre parc avec la configuration par défaut spécifiée dansmesh.yaml, exécutez la commande suivante dans le projet hôte du parc :gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
Pour certaines fonctionnalités, vous pouvez également spécifier des valeurs par défaut pour le parc à l'aide de paramètres pour la commande fleet create ou fleet update. Pour en savoir plus, consultez le guide de la fonctionnalité de votre choix.
Terraform
Définissez une ressource google_gke_hub_feature avec un bloc fleet_default_member_config qui spécifie les valeurs par défaut du parc choisi. Pour en savoir plus sur les fonctionnalités de parc compatibles, consultez la documentation Terraform.
Toutes les fonctionnalités ne sont pas compatibles avec la configuration par défaut du parc à l'aide de toutes ces options. Pour savoir comment configurer les paramètres par défaut du parc pour chaque fonctionnalité compatible, consultez la documentation suivante :
- Cloud Service Mesh
- Config Sync
- Policy Controller
- Stratégie de sécurité
- Service d'identité GKE (ligne de commande uniquement)
- Validation continue pour l'autorisation binaire (preview, ligne de commande uniquement)
Activer et configurer des fonctionnalités de parc sur des clusters individuels
Au lieu de la configuration par défaut du parc, vous pouvez choisir de configurer les fonctionnalités du parc séparément sur des clusters individuels. Cette option peut être intéressante dans les cas suivants :
- Vous souhaitez configurer un cluster existant pour utiliser une fonctionnalité.
- Vous souhaitez utiliser des services où la configuration par défaut du parc n'est pas disponible, ou pas disponible avec l'outil de votre choix.
Activer les fonctionnalités
Notez que cette étape n'est pas requise pour toutes les fonctionnalités. Pour en savoir plus, consultez le guide de la fonctionnalité de votre choix.
Console
Vous pouvez activer des fonctionnalités à partir de la page Gestionnaire de fonctionnalités de la Google Cloud console.
Pour activer une fonctionnalité pour votre parc, procédez comme suit :
Dans votre projet hôte de parc, accédez à la page Gestionnaire de fonctionnalités :
Accéder au gestionnaire de fonctionnalités
Les fonctionnalités qui peuvent être activées, mais pas configurées à partir de cette page, sont répertoriées sous Gérer d'autres fonctionnalités adaptées aux entreprises.
Cliquez sur Activer sur la ligne de la fonctionnalité que vous souhaitez activer.
Cliquez sur le bouton Activer dans le panneau de détails qui s'affiche.
gcloud
Chaque fonctionnalité au niveau du parc possède sa propre commande enable. Par exemple, pour activer GKE Identity Service pour votre parc, exécutez la commande suivante dans le projet hôte du parc :
gcloud container fleet identity-service enable
Pour plus de détails, consultez la documentation de référence de Google Cloud SDK (et ses équivalents bêta et alpha) pour obtenir la liste complète des commandes ou les ensembles de documentation sur les fonctionnalités individuelles.
Pour savoir comment vérifier si une fonctionnalité a déjà été activée et afficher l'état d'autres fonctionnalités, consultez la section Afficher l'état des fonctionnalités du parc.
Configurer des clusters individuels
Les étapes de configuration que vous allez suivre dépendent de la fonctionnalité. Pour en savoir plus, consultez les guides suivants :
- Cloud Service Mesh
- Stratégie de sécurité :
- Config Sync
- Policy Controller
- Service d'identité GKE
- Entrée multicluster
Afficher l'état des fonctionnalités du parc
Le moyen le plus simple d'afficher l'état des fonctionnalités du parc consiste à utiliser le tableau de bord Gestionnaire de fonctionnalités de la Google Cloud console.
Accéder au gestionnaire de fonctionnalités
Pour les fonctionnalités compatibles, cette page indique le nombre de clusters de votre parc qui présentent l'état suivant :
- Ont cette fonctionnalité activée
- Ont cette fonctionnalité activée avec succès
- Ont un avertissement pour cette fonctionnalité
- Ont une erreur pour cette fonctionnalité
Vous pouvez également voir si les paramètres par défaut du parc ont été configurés pour la fonctionnalité et le nombre de clusters membres du parc qui disposent de ces paramètres. Pour les fonctionnalités activées, vous pouvez cliquer sur une page de détails qui répertorie les clusters utilisant la fonctionnalité et, si elle est configurée, vous permet de sélectionner et de synchroniser les clusters avec vos paramètres par défaut du parc.
Pour les fonctionnalités qui ne peuvent pas être configurées à l'aide de cette page (répertoriées dans la section Gérer d'autres fonctionnalités adaptées aux entreprises), vous pouvez voir si la fonctionnalité a été activée pour votre parc et afficher un panneau de détails qui montre combien de clusters ont la fonctionnalité installée et d'autres informations pertinentes.
Afficher l'état des fonctionnalités à l'aide de gcloud
gcloud
Exécutez la commande suivante pour répertorier toutes les fonctionnalités actuellement activées :
gcloud container fleet features list
Désactiver une fonctionnalité au niveau du parc
Pour désactiver une fonctionnalité au niveau du parc, procédez comme suit dans le projet hôte associé au parc :
Console
Seules les fonctionnalités du parc répertoriées sous Gérer d'autres fonctionnalités adaptées aux entreprises peuvent être désactivées à partir de la Google Cloud console.
Dans votre projet hôte de parc, accédez à la page Gestionnaire de fonctionnalités :
Cliquez sur Détails sur la ligne de la fonctionnalité que vous souhaitez désactiver.
Cliquez sur le bouton Désactiver dans le panneau de détails qui s'affiche.
gcloud
Chaque fonctionnalité au niveau du parc possède sa propre commande disable. Par exemple, pour désactiver Cloud Service Mesh pour votre parc, exécutez la commande suivante dans le projet hôte du parc :
gcloud container fleet mesh disable
Pour plus de détails, consultez la documentation de référence de Google Cloud SDK (et ses équivalents bêta et alpha) pour obtenir la liste complète des commandes ou les ensembles de documentation sur les fonctionnalités individuelles.
Pour connaître le comportement attendu après la désactivation d'une fonctionnalité pour votre parc, consultez la documentation sur les fonctionnalités correspondantes. Dans de nombreux cas, la configuration appropriée existe toujours sur votre cluster, mais vous ne pouvez plus gérer cette fonctionnalité de manière centralisée à l'aide des commandes de parc ni de la Google Cloud console.
Autorisation des fonctionnalités
Pour gérer les fonctionnalités au niveau du parc, elles doivent être autorisées via le contrôle des accès basé sur les rôles afin d'exécuter leurs fonctions sur les clusters. Google Cloud utilise un service nommé "Outil d'autorisation de fonctionnalités" qui définit et met automatiquement à jour les autorisations pour les fonctionnalités activées au niveau du parc. Vous évitez ainsi d'avoir à définir manuellement les autorisations pour chaque cluster, en particulier lorsque Google publie des mises à jour de fonctionnalités.
Lorsque vous enregistrez un cluster,
le fichier manifeste appliqué au cluster contient un
ClusterRoleBinding
qui donne à l'approbateur de fonctionnalités le rôle cluster-admin sur le cluster,
et ce rôle est associé à un compte de service nommé
service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.
Lorsque vous désactivez une fonctionnalité activée par le parc dans votre projet, l'outil de validation des fonctionnalités supprime les rôles ClusterRole et ClusterRoleBinding correspondants à la fonctionnalité, ce qui empêche la fonctionnalité d'opérer sur le cluster.
Afficher l'outil d'autorisation des fonctionnalités dans les journaux d'audit
Pour afficher l'activité de l'outil d'autorisation des fonctionnalités dans les journaux d'audit GKE , procédez comme suit:
Ouvrez l'explorateur de journaux dans la Google Cloud console.
Exécutez la requête avancée suivante:
resource.type="k8s_cluster" resource.labels.cluster_name="CLUSTER_NAME" resource.labels.location="CLUSTER_LOCATION" protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa" protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
Remplacez les éléments suivants :
CLUSTER_NAME: nom du cluster pour lequel vous souhaitez afficher les journaux.CLUSTER_LOCATION:emplacement dans lequel Google Cloud le cluster a été créé.PROJECT_NUMBER:numéro de projet du projet propriétaire du cluster. Google Cloud
Pour les clusters non GKE, découvrez où les journaux d'audit Kubernetes sont stockés et exécutez une requête similaire.