Créez et utilisez des identifiants afin d'importer des images depuis Cloud Storage pour l'environnement d'exécution de VM sur Google Distributed Cloud

Ce document explique comment créer et utiliser des identifiants pour accéder à Cloud Storage à l'aide de l'environnement d'exécution des VM sur Google Distributed Cloud. Un plug-in Cloud Storage vous permet d'utiliser Containerized Data Importer (CDI) pour importer des images de VM à partir de buckets Cloud Storage. Vous pouvez ensuite créer des disques virtuels à partir de ces images dans Cloud Storage et les associer à des VM qui s'exécutent dans votre cluster. L'IDC est automatiquement activé dans un cluster qui exécute l'environnement d'exécution de VM sur Google Distributed Cloud.

Avant de commencer

Pour suivre les instructions de ce document, vous devez disposer des ressources suivantes :

Présentation des identifiants

Pour accéder à Cloud Storage, vous devez utiliser un compte de service qui fournit des identifiants au bucket de stockage. Le compte de service nécessite différents privilèges pour accéder à un bucket de stockage :

  • Bucket de stockage public : vous utilisez un compte de service pour vous identifier automatiquement, mais aucune autorisation spécifique n'est requise.
  • Bucket de stockage privé : le compte de stockage nécessite le droit de lecteur ou d'administrateur sur le bucket de stockage.

Il existe deux manières de fournir les identifiants du compte de service à CDI :

  • Configurer les identifiants par défaut de l'application Google sur les nœuds de votre cluster. Pour en savoir plus, consultez la section Authentification en tant que compte de service.
  • Fournir un secret contenant la clé du compte de service pour accéder à Cloud Storage. Le reste de ce document vous explique comment créer une clé de compte de service et un secret.

Créer un secret

Vous transmettez la clé de compte de service à Kubernetes à l'aide d'un secret créé dans l'espace de noms du volume de données. La section data du secret contient une entrée pour creds-gcp.json. Sa valeur correspond aux données encodées en base64 du fichier de clé du compte de service. La CLI crée ces données encodées en base64. Si vous utilisez un fichier manifeste YAML pour créer le secret, commencez par créer un hachage en base64 du contenu du fichier de clé de votre compte de service.

CLI

  • Créez le secret à l'aide de kubectl :

    kubectl create secret generic SECRET_NAME \
      --from-file=creds-gcp.json=SERVICE_ACCOUNT_KEY_PATH \
      --namespace NAMESPACE_NAME
    

    Remplacez les valeurs suivantes :

    • SECRET_NAME : nom de votre secret.
    • SERVICE_ACCOUNT_KEY_PATH : chemin d'accès au fichier de clé de votre compte de service.
    • NAMESPACE_NAME : espace de noms de votre secret.
      • Créez votre secret dans le cluster où CDI s'exécute et dans le même espace de noms que le volume de données. L'IDC est automatiquement activé dans un cluster qui exécute l'environnement d'exécution des VM sur Google Distributed Cloud.

Manifest

  1. Créez un fichier manifeste Secret (my-secret.yaml par exemple) dans l'éditeur de votre choix :

    nano my-secret.yaml
    
  2. Copiez et collez le fichier manifeste YAML suivant :

    apiVersion: v1
    data:
      creds-gcp.json: BASE64_SERVICE_ACCOUNT_FILE
    kind: Secret
    metadata:
      name: SECRET_NAME
      namespace: NAMESPACE_NAME
    type: Opaque
    

    Remplacez les valeurs suivantes :

    • BASE64_SERVICE_ACCOUNT_FILE : hachage en base64 du contenu du fichier de clé de votre compte de service.
    • SECRET_NAME : nom de votre secret.
    • NAMESPACE_NAME : espace de noms de votre secret.
      • Créez votre secret dans le cluster où CDI s'exécute et dans le même espace de noms que le volume de données. L'IDC est automatiquement activé dans un cluster qui exécute l'environnement d'exécution des VM sur Google Distributed Cloud.
  3. Enregistrez et fermez le fichier manifeste de secret dans votre éditeur.

  4. Appliquez le fichier manifeste de secret à l'aide de kubectl :

    kubectl apply -f my-secret.yaml
    

Transférer un secret existant

Au lieu de créer un secret, vous pouvez créer un SecretForwarder pour transférer un secret existant à utiliser. L'objet SecretForwarder accepte le transfert de secrets au sein du même cluster ou entre clusters, par exemple du cluster d'administrateur vers un cluster d'utilisateur.

Pour utiliser le secret cible afin d'accéder à Cloud Storage, celui-ci doit disposer d'une clé creds-gcp.json dans sa section data.

Dans le même cluster

L'exemple de fichier manifeste SecretForwarder suivant transfère un secret dans le même cluster :

apiVersion: baremetal.cluster.gke.io/v1
kind: SecretForwarder
metadata:
  name: cdi-gcs
  namespace: default
spec:
  inClusterTargetSecrets:
    name: gcs-sa
    namespaces:
    - default
  sourceSecret:
    name: gke-connect
    namespace: anthos-creds

Cet exemple effectue les opérations suivantes :

  • Il crée un SecretForwarder nommé cdi-gcs dans l'espace de noms default.
  • Il transfère le secret nommé gke-connect dans l'espace de noms anthos-creds vers un nouveau secret nommé gcs-sa dans l'espace de noms default.
  • Il crée le nouveau secret dans le même cluster.

Pour transférer un secret dans le même cluster, procédez comme suit :

  1. Créez un fichier manifeste SecretForwarder, tel que my-forwarded-secret.yaml, dans l'éditeur de votre choix :

    nano my-forwarded-secret.yaml
    
  2. Copiez et collez le fichier manifeste YAML suivant :

    apiVersion: baremetal.cluster.gke.io/v1
    kind: SecretForwarder
    metadata:
      name: SECRET_FORWARDER_NAME
      namespace: NAMESPACE_NAME
    spec:
      inClusterTargetSecrets:
        name: TARGET_SECRET_NAME
        namespaces:
        - TARGET_NAMESPACE_NAME
      sourceSecret:
        name: SOURCE_SECRET_NAME
        namespace: SOURCE_NAMESPACE_NAME
    

    Remplacez les valeurs suivantes :

    • SECRET_FORWARDER_NAME : nom de votre fichier SecretForwarder.
    • NAMESPACE_NAME : espace de noms de votre fichier SecretForwarder.
    • TARGET_SECRET_NAME : nom de votre nouveau secret.
    • TARGET_NAMESPACE_NAME : espace de noms de votre nouveau secret.
      • Créez votre secret dans le cluster où CDI s'exécute et dans le même espace de noms que le volume de données. L'IDC est automatiquement activé dans un cluster qui exécute l'environnement d'exécution des VM sur Google Distributed Cloud.
    • SOURCE_SECRET_NAME : nom du secret source à transférer.
    • SOURCE_NAMESPACE_NAME : espace de noms du secret source à transférer.
  3. Enregistrez et fermez le fichier manifeste SecretForwarder dans votre éditeur.

  4. Appliquez le fichier manifeste SecretForwarder à l'aide de kubectl :

    kubectl apply -f my-forwarded-secret.yaml
    

Sur plusieurs clusters

L'exemple de fichier manifeste SecretForwarder suivant transfère un secret sur plusieurs clusters :

apiVersion: baremetal.cluster.gke.io/v1
kind: SecretForwarder
metadata:
  name: cdi-gcs
  namespace: cluster-user1
spec:
  RemoteClusterTargetSecrets:
    name: gcs-sa
    namespaces:
    - default
  sourceSecret:
    name: gke-connect
    namespace: anthos-creds

Cet exemple effectue les opérations suivantes :

  • Il crée un SecretForwarder nommé cdi-gcs dans l'espace de noms cluster-user1.
  • Il transfère le secret nommé gke-connect dans l'espace de noms anthos-creds vers un nouveau secret nommé gcs-sa dans l'espace de noms default.
  • Il crée le nouveau secret dans le cluster nommé user1.

Pour transférer un secret dans le même cluster, procédez comme suit :

  1. Créez un fichier manifeste SecretForwarder, tel que my-forwarded-secret.yaml, dans l'éditeur de votre choix :

    nano my-forwarded-secret.yaml
    
  2. Copiez et collez le fichier manifeste YAML suivant :

    apiVersion: baremetal.cluster.gke.io/v1
    kind: SecretForwarder
    metadata:
      name: SECRET_FORWARDER_NAME
      namespace: NAMESPACE_NAME
    spec:
      RemoteClusterTargetSecrets:
        name: TARGET_SECRET_NAME
        namespaces:
        - TARGET_NAMESPACE_NAME
      sourceSecret:
        name: SOURCE_SECRET_NAME
        namespace: SOURCE_NAMESPACE_NAME
    

    Remplacez les valeurs suivantes :

    • SECRET_FORWARDER_NAME : nom de votre fichier SecretForwarder dans le cluster distant.
    • NAMESPACE_NAME : espace de noms de votre fichier SecretForwarder dans le cluster distant.
    • TARGET_SECRET_NAME : nom de votre nouveau secret dans le cluster distant.
    • TARGET_NAMESPACE_NAME : espace(s) de noms de votre nouveau secret dans le cluster distant.
      • Créez votre secret dans le cluster où CDI s'exécute et dans le même espace de noms que le volume de données. L'IDC est automatiquement activé dans un cluster qui exécute l'environnement d'exécution des VM sur Google Distributed Cloud.
    • SOURCE_SECRET_NAME : nom du secret source à transférer.
    • SOURCE_NAMESPACE_NAME : espace de noms du secret source à transférer.
  3. Enregistrez et fermez le fichier manifeste SecretForwarder dans votre éditeur.

  4. Appliquez le fichier manifeste SecretForwarder dans le cluster d'administrateur à l'aide de kubectl avec le KUBECONFIG du cluster d'administrateur :

    kubectl apply -f my-forwarded-secret.yaml
    

Utiliser un secret pour importer une image

Pour utiliser le secret pour importer une image depuis Cloud Storage lorsque vous créez un disque virtuel et une VM, procédez comme suit :

  1. Créez un fichier manifeste définissant des fichiers VirtualMachineDisk et VirtualMachine (my-vm.yaml,, par exemple) dans l'éditeur de votre choix :

    nano my-vm.yaml
    
  2. Copiez et collez la définition YAML suivante :

    apiVersion: vm.cluster.gke.io/v1
    kind: VirtualMachineDisk
    metadata:
      name: VM_NAME-boot-dv
    spec:
      size: 20Gi
      source:
        gcs:
          url: IMAGE_URL
          secretRef: SECRET_NAME
    ---
    apiVersion: vm.cluster.gke.io/v1
    kind: VirtualMachine
    metadata:
      name: VM_NAME
    spec:
      interfaces:
        - name: eth0
          networkName: pod-network
          default: true
      disks:
        - boot: true
          virtualMachineDiskName: VM_NAME-boot-dv
    

    Remplacez les valeurs suivantes :

    • VM_NAME : nom de votre VM.
    • IMAGE_URL : URL de votre image disque Cloud Storage, telle que gs://my-images-bucket/disk.qcow2.
    • SECRET_NAME : nom de votre secret.
  3. Enregistrez et fermez le fichier manifeste dans votre éditeur.

  4. Créez la VM et le disque en utilisant kubectl :

    kubectl apply -f my-vm.yaml
    

Étapes suivantes