Associer votre cluster conforme à CNCF

Avec les clusters associés à GKE, vous pouvez intégrer vos clusters Kubernetes existants (qu'ils soient hébergés sur AWS, Azure ou ailleurs) dans le tableau de bord de l'édition Enterprise de Google Kubernetes Engine (GKE) pour une gestion centralisée. Cela permet d'associer n'importe quel cluster Kubernetes conforme à CNCF.

Clusters Kubernetes compatibles

Vous pouvez ajouter n'importe quel cluster Kubernetes conforme incluant des nœuds x86 à votre parc, puis les afficher dans la console Google Cloud parallèlement à vos clusters GKE.

Bien que Google ne vérifie pas la compatibilité complète des fonctionnalités de chaque distribution Kubernetes, toutes les incompatibilités découvertes sont documentées ici. Pour en savoir plus et obtenir de l'aide pour le dépannage, consultez la page Assistance pour les versions et les mises à niveau de l'édition Enterprise de Google Kubernetes Engine (GKE).

Prérequis

Vérifiez que votre cluster répond aux exigences de cluster.

Lorsque vous associez votre cluster, vous devez spécifier les éléments suivants :

La région administrative est une région Google Cloud à partir de laquelle vous souhaitez administrer le cluster associé. Vous pouvez choisir n'importe quelle région compatible, mais il est recommandé de choisir la région la plus proche de votre cluster. Aucune donnée utilisateur n'est stockée dans la région administrative.

La version de la plate-forme est la version des clusters associés à GKE à installer sur votre cluster. Vous pouvez lister toutes les versions compatibles en exécutant la commande suivante :

gcloud container attached get-server-config  \
  --location=GOOGLE_CLOUD_REGION

Remplacez GOOGLE_CLOUD_REGION par le nom de l'emplacement Google Cloud à partir duquel administrer votre cluster.

Numérotation des versions de la plate-forme

Dans ces documents, la version des clusters associés à GKE est nommée la "version de la plate-forme" pour la distinguer de la version de Kubernetes. Les clusters associés à GKE utilisent la même convention de numérotation de version que GKE (par exemple, 1.21.5-gke.1). Lorsque vous associez ou mettez à jour votre cluster, vous devez choisir une version de plate-forme dont la version mineure est identique ou inférieure d'un niveau à la version Kubernetes de votre cluster. Par exemple, vous pouvez associer un cluster exécutant Kubernetes v1.22.* à la version de plate-forme v1.21.* ou v1.22.* des clusters associés à GKE.

Cela vous permet de passer à la version mineure suivante avant de mettre à niveau les clusters associés à GKE.

Associer votre cluster

Pour associer votre cluster conforme à CNCF à la Gestion de parc Google Cloud, exécutez les commandes suivantes :

  1. Assurez-vous que votre fichier kubeconfig contient une entrée correspondant au cluster que vous souhaitez associer : Les instructions spécifiques varient en fonction de la distribution.

  2. Exécutez la commande suivante pour extraire le contexte kubeconfig de votre cluster et le stocker dans la variable d'environnement KUBECONFIG_CONTEXT :

    KUBECONFIG_CONTEXT=$(kubectl config current-context)
    
  3. La commande permettant d'enregistrer votre cluster varie légèrement selon que votre cluster dispose d'un émetteur OIDC privé ou public. Choisissez l'onglet qui s'applique à votre cluster :

    Émetteur OIDC privé

    Utilisez la commande gcloud container attached clusters register pour enregistrer le cluster :

    gcloud container attached clusters register CLUSTER_NAME \
      --location=GOOGLE_CLOUD_REGION \
      --fleet-project=PROJECT_NUMBER \
      --platform-version=PLATFORM_VERSION \
      --distribution=generic \
      --context=KUBECONFIG_CONTEXT \
      --has-private-issuer \
      --kubeconfig=KUBECONFIG_PATH
    

    Remplacez les éléments suivants :

    • CLUSTER_NAME : nom du cluster
    • GOOGLE_CLOUD_REGION: région Google Cloud depuis laquelle vous administrez votre cluster
    • PROJECT_NUMBER: projet hôte du parc à enregistrer avec votre cluster
    • PLATFORM_VERSION : version de la plate-forme à utiliser pour le cluster
    • KUBECONFIG_CONTEXT: contexte dans le fichier kubeconfig pour accéder au cluster AKS
    • KUBECONFIG_PATH : chemin d'accès à votre fichier kubeconfig

    Émetteur OIDC public

    1. Récupérez l'URL de l'émetteur OIDC de votre cluster et enregistrez-la pour une utilisation ultérieure. Les instructions spécifiques varient en fonction de la distribution.

    2. Exécutez la commande suivante pour extraire le contexte kubeconfig de votre cluster et le stocker dans la variable d'environnement KUBECONFIG_CONTEXT :

      KUBECONFIG_CONTEXT=$(kubectl config current-context)
      
    3. Utilisez la commande gcloud container attached clusters register pour enregistrer le cluster :

      gcloud container attached clusters register CLUSTER_NAME \
        --location=GOOGLE_CLOUD_REGION \
        --fleet-project=PROJECT_NUMBER \
        --platform-version=PLATFORM_VERSION \
        --distribution=generic \
        --issuer-url=ISSUER_URL \
        --context=KUBECONFIG_CONTEXT \
        --kubeconfig=KUBECONFIG_PATH
      

      Remplacez les éléments suivants :

      • CLUSTER_NAME : nom du cluster
      • GOOGLE_CLOUD_REGION : région Google Cloud dans laquelle administrer votre cluster
      • PROJECT_NUMBER : projet hôte du parc dans lequel le cluster sera enregistré.
      • PLATFORM_VERSION : version des clusters associés à GKE à utiliser pour le cluster
      • ISSUER_URL: URL de l'émetteur récupérée précédemment
      • KUBECONFIG_CONTEXT : contexte dans le fichier kubeconfig pour accéder à votre cluster, comme extrait précédemment
      • KUBECONFIG_PATH : chemin d'accès à votre fichier kubeconfig

Autoriser Cloud Logging/Cloud Monitoring

Pour que les clusters associés GKE puissent créer et importer des journaux système et des métriques dans Google Cloud, ils doivent être autorisés.

Pour autoriser l'identité de charge de travail Kubernetes gke-system/gke-telemetry-agent à écrire des journaux dans Google Cloud Logging et des métriques dans Google Cloud Monitoring, exécutez la commande suivante :

gcloud projects add-iam-policy-binding GOOGLE_PROJECT_ID \
  --member="serviceAccount:GOOGLE_PROJECT_ID.svc.id.goog[gke-system/gke-telemetry-agent]" \
  --role=roles/gkemulticloud.telemetryWriter

Remplacez GOOGLE_PROJECT_ID par l'ID de projet Google Cloud du cluster.

Cette liaison IAM permet à tous les clusters du projet du projet Google Cloud d'importer des journaux et des métriques. Vous ne devez l'exécuter qu'après avoir créé votre premier cluster pour le projet.

L'ajout de cette liaison IAM échouera si vous n'avez pas créé au moins un cluster dans votre projet Google Cloud. En effet, le pool Workload Identity auquel il fait référence (GOOGLE_PROJECT_ID.svc.id.goog) n'est pas provisionné avant la création du cluster.