Préparer la configuration de l'API Gateway pour Cloud Service Mesh

Cette page explique comment installer les définitions de ressources personnalisées requises pour la passerelle dans votre cluster.

Limites

  • Il n'est pas possible d'avoir un mélange de clusters gateway config-api et istio config-api dans le même parc. Assurez-vous que l'API de configuration est définie sur gateway pour tous les clusters de votre parc. Utilisez la gcloud container fleet mesh describe --project FLEET_PROJECT_ID commande pour voir ce que vous avez configuré pour votre parc.
  • Détection de services et l'équilibrage de charge multiclusters ne sont pas compatibles avec les clusters gateway config-api.
  • Si un cluster est intégré à l'aide de l'indicateur --management automatic existant, il commence à utiliser l'API de configuration istio et ne peut pas passer à l'API gateway.
  • Seuls les noms de domaine complets sont acceptés. Les noms courts ne sont pas acceptés.

Remarques concernant la gestion du plan de données

Pour les nouveaux pods, Google gère la version du proxy qui est injectée. Notez que le plan de données géré s'appuie sur le version disponible Google Kubernetes Engine (GKE) pour déterminer la version du proxy.

Pour les pods existants, la gestion du proxy est effectuée de manière passive, en fonction du cycle de vie naturel des pods dans le cluster. Pour déclencher la mise à jour et réinjecter de nouvelles versions du proxy, redémarrez vos charges de travail.

Prérequis

Pour commencer, ce guide suppose que vous avez déjà créé un Google Cloud projet et installé kubectl.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Créer et enregistrer un cluster GKE

gcloud

Créez un cluster GKE :

gcloud container clusters create CLUSTER_NAME \
--location=LOCATION \
--enable-ip-alias \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--release-channel=regular \
--project=PROJECT_ID \
--gateway-api=standard \
--workload-pool=PROJECT_ID.svc.id.goog \
--workload-metadata=GKE_METADATA

où :

  • CLUSTER_NAME est le nom du cluster.
  • LOCATION est l'emplacement de votre cluster.
  • PROJECT_ID est l'ID de projet de votre cluster.

Console

  1. Accédez à la page Google Kubernetes Engine dans la Google Cloud console.

    Accéder à Google Kubernetes Engine

  2. Cliquez sur Créer.

  3. Dans la section Standard, cliquez sur Configurer.

  4. Dans la section Paramètres de base du cluster, procédez comme suit :

    1. Saisissez le nom de votre cluster.
    2. Pour le type d'emplacement, sélectionnez une région Compute Engine pour votre cluster.

  5. Dans le volet de navigation, cliquez sur default-pool dans la section Pools de nœuds, puis sélectionnez Sécurité.

  6. Dans la liste Niveaux d'accès, sélectionnez Définir l'accès pour chaque API, et définissez Cloud Platform sur Activé.

  7. Dans le volet de navigation, cliquez sur Mise en réseau dans la section Cluster.

  8. Dans la liste Mise en réseau du cluster, sélectionnez Activer l'API Gateway.

  9. Dans le volet de navigation, cliquez sur Sécurité dans la section Cluster.

  10. Dans la liste Sécurité, sélectionnez Activer Workload Identity.

  11. Cliquez sur Créer.

Une fois le cluster créé,

  1. Enregistrez votre cluster dans un parc :

    gcloud container fleet memberships register CLUSTER_NAME \
--gke-cluster LOCATION/CLUSTER_NAME \
--project=PROJECT_ID

  2. Vérifiez que le cluster est enregistré dans le parc :

    gcloud container fleet memberships list --project=PROJECT_ID

    Le résultat est semblable à :

    NAME            EXTERNAL_ID                             LOCATION
my-cluster      91980bb9-593c-4b36-9170-96445c9edd39    us-west1

Configurer les autorisations

Notez que les commandes suivantes accordent des autorisations à tous les utilisateurs authentifiés, mais vous pouvez utiliser la fédération d'identité de charge de travail pour GKE afin d'accorder des autorisations uniquement à certains comptes. Pour en savoir plus sur le fonctionnement de la fédération d'identité de charge de travail pour GKE, consultez la page À propos de la fédération d'identité de charge de travail pour GKE. Pour configurer la fédération d'identité de charge de travail pour GKE, consultez la page S'authentifier auprès des Google Cloud API à partir de charges de travail GKE.

Attribuez le rôle trafficdirector.client :

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "group:PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/" \
    --role "roles/trafficdirector.client"

Activer Cloud Service Mesh

  1. Activez la fonctionnalité de maillage :

    gcloud container fleet mesh enable --project PROJECT_ID

  2. Mettez à jour le maillage pour utiliser l'API Gateway :

    gcloud alpha container fleet mesh update \
--config-api gateway \
--memberships CLUSTER_NAME \
--project PROJECT_ID

  3. Vérifiez la mise à jour en décrivant l'état de la ressource Cloud Service Mesh :

    gcloud alpha container fleet mesh describe \
--project PROJECT_ID

Définir les nouvelles appartenances à votre parc pour qu'elles utilisent l'API Gateway par défaut (facultatif)

Vous pouvez également créer des paramètres par défaut au niveau du parc pour que les nouveaux clusters GKE enregistrés dans le parc lors de la création du cluster soient automatiquement configurés avec l'API Gateway.

  1. Créez un fichier YAML spécifiant l'utilisation de l'API Gateway :

    echo "configapi: gateway" > mesh.yaml

  2. Mettez à jour votre maillage :

    gcloud alpha container fleet mesh update --project FLEET_PROJECT_ID \
    --fleet-default-member-config mesh.yaml

  3. Créez un cluster et enregistrez-le dans votre parc en une seule étape pour utiliser la configuration par défaut :

    gcloud container clusters create CLUSTER_NAME \
    --project PROJECT_ID \
    --fleet-project FLEET_PROJECT_ID \
    --location=LOCATION \

  4. Activez la fédération d'identité de charge de travail pour GKE et exécutez le serveur de métadonnées GKE sur votre nœud.

Installer des définitions de ressources personnalisées

Générez une entrée kubeconfig pour votre cluster : 

gcloud container clusters get-credentials CLUSTER_NAME --location LOCATION --project PROJECT_ID

où :

  • CLUSTER_NAME est le nom du cluster.
  • LOCATION est l'emplacement de votre cluster.
  • PROJECT_ID est l'ID de projet de votre cluster.

Installez la définition de ressource personnalisée (CRD) GRPCRoute :

curl https://raw.githubusercontent.com/kubernetes-sigs/gateway-api/v1.1.0/config/crd/standard/gateway.networking.k8s.io_grpcroutes.yaml \
| kubectl apply -f -

Le résultat est semblable à :

customresourcedefinition.apiextensions.k8s.io/grpcroutes.gateway.networking.k8s.io created

Étape suivante