Présentation technique de GKE Enterprise (Anthos)

GKE Enterprise est la plate-forme de conteneurs axée sur le cloud de Google permettant d'exécuter des applications modernes de manière cohérente et à grande échelle. Ce guide présente le fonctionnement de GKE Enterprise et explique comment le service peut vous aider à proposer des applications gérables, évolutives et fiables.

Pourquoi utiliser GKE Enterprise ?

En règle générale, lorsque les entreprises adoptent des technologies cloud natives telles que les conteneurs, l'orchestration de conteneurs et les maillages de services, elles atteignent un point où l'exécution d'un seul cluster ne suffit plus. Les entreprises choisissent de déployer plusieurs clusters pour atteindre leurs objectifs techniques et commerciaux, et ce pour diverses raisons. Par exemple, pour séparer la production des environnements hors production ou des restrictions réglementaires variables ou séparer les services entre les niveaux, les paramètres régionaux ou les équipes. Toutefois, l'utilisation de plusieurs clusters a ses propres difficultés et contraintes en termes de configuration, de sécurité et de gestion cohérentes. Par exemple, la configuration manuelle d'un cluster à la fois est sujette aux erreurs et il peut être difficile de voir exactement où se produisent ces erreurs.

Les choses peuvent devenir encore plus complexes (et coûteuses) lorsque les clusters ne sont pas tous regroupés au même endroit. De nombreuses organisations qui utilisent Google Cloud souhaitent ou doivent exécuter des charges de travail dans leurs propres centres de données, usines, magasins et même dans d'autres clouds publics. Mais elles ne souhaitent pas créer elles-mêmes de nouvelles plates-formes de conteneurs dans tous ces sites, ni repenser leur conception, ni la manière dont elles configurent, sécurisent, surveillent et optimisent les charges de travail des conteneurs en fonction de l'emplacement d'exécution, avec la possibilité d'environnements incohérents, des risques de sécurité et de mauvaise configuration, et des tâches opérationnelles répétitives.

Exemple :

• Une institution financière développe une plate-forme de services bancaires numériques sur Google Cloud. Elle nécessite des configurations cohérentes, une application stricte des règles de sécurité et une visibilité détaillée sur la manière dont plusieurs applications communiquent. Une grande entreprise de commerce qui crée une plate-forme d'e-commerce moderne présente les mêmes exigences. Ces deux entreprises gèrent plusieurs clusters dans plusieurs régions dans Google Cloud à l'aide de GKE.
• Une autre institution financière mondiale développe des applications complexes de gestion des risques, des applications de transfert interbancaire et de nombreuses autres charges de travail sensibles, dont certaines doivent rester protégées par le pare-feu de l'entreprise et d'autres sont déployées sur GKE sur Google Cloud.
• Un grand magasin de pharmacies développe de nouvelles applications de planification de la vaccination, de messagerie avec les clients et d'engagement numérique afin de moderniser ses activités pharmaceutiques et créer une expérience en magasin plus personnalisée. Ces applications nécessitent des plates-formes de conteneurs en magasin intégrées à des services hébergés par Google Cloud, tels que BigQuery et Retail Search.
• Une entreprise du secteur du multimédia et du divertissement a besoin d'un environnement de conteneurs cohérent dans 30 stratégies, qui sont toutes connectées et gérées depuis Google Cloud, pour collecter et analyser des téraoctets de statistiques de jeu, et pour alimenter l'engagement des fans à la fois à l'intérieur du stade et de manière virtuelle.
• Une entreprise de fabrication de matériel doit tester et optimiser la qualité des produits en usine et la sécurité des travailleurs en analysant les données avec une très faible latence pour prendre des décisions en quasi-temps réel, tout en consolidant les données dans Google Cloud pour une analyse à plus long terme.
• Une entreprise logicielle et Internet qui propose une plate-forme d'intégration dans un modèle Software as a Service (SaaS) doit proposer sa plate-forme sur plusieurs grands clouds publics pour fonctionner lorsque ses clients ont besoin d'être à proximité de services cloud natifs. L'entreprise a besoin d'une méthode unifiée et cohérente pour provisionner, configurer, sécuriser et surveiller les environnements de conteneurs dans plusieurs clouds publics à partir d'un seul plan de gestion, afin d'éviter les coûts opérationnels liés à la gestion de chaque environnement cloud avec différents outils de gestion natifs.

GKE Enterprise peut aider toutes ces organisations en fournissant une plate-forme cohérente qui leur permet d'effectuer les opérations suivantes:

• Moderniser les applications et l'infrastructure sur place
• Créer un modèle d'exploitation cloud unifié (vue centralisée) pour créer, mettre à jour et optimiser des clusters de conteneurs, où qu'ils se trouvent
• Faites évoluer des applications multicluster volumineuses sous forme de parcs (regroupements logiques d'environnements similaires) avec une sécurité, une configuration et une gestion des services cohérentes
• Appliquer une gouvernance et une sécurité cohérentes à partir d'un plan de contrôle unifié

Pour cela, Google s'appuie sur des outils et des fonctionnalités avisés qui les aident à gouverner, gérer et exploiter des charges de travail conteneurisées à l'échelle de l'entreprise. Elles peuvent ainsi adopter les bonnes pratiques et les principes que nous avons appris en exécutant des services chez Google.

Principes de base de GKE Enterprise

Les fonctionnalités de GKE Enterprise sont basées sur le concept de parc, qui consiste en un regroupement logique de clusters Kubernetes pouvant être gérés ensemble. Un parc peut être entièrement composé de clusters GKE sur Google Cloud ou inclure des clusters situés en dehors de Google Cloud, exécutés sur site et sur d'autres clouds publics, tels qu'AWS et Azure.

Une fois que vous avez créé un parc, vous pouvez utiliser les fonctionnalités compatibles avec le parc de GKE Enterprise pour ajouter de la valeur et simplifier le travail avec plusieurs clusters et fournisseurs d'infrastructure :

• Les outils de gestion de la configuration et des règles vous aident à travailler plus facilement à grande échelle, en ajoutant et mettant à jour automatiquement la même configuration, les mêmes fonctionnalités et les mêmes règles de sécurité dans votre parc, où qu'ils se trouvent.
• Des fonctionnalités de mise en réseau à l'échelle du parc qui vous aident à gérer le trafic sur l'ensemble de votre parc, y compris l'entrée multicluster pour les applications couvrant plusieurs clusters et les fonctionnalités de gestion du trafic du maillage de services.
• Les fonctionnalités de gestion des identités vous aident à configurer l'authentification de manière cohérente pour les charges de travail et les utilisateurs du parc.
• Des fonctionnalités d'observabilité vous permettant de surveiller et de dépanner les clusters et applications de votre parc, y compris leur état, leur utilisation des ressources et leur stratégie de sécurité.
• Les outils de gestion des équipes vous permettent de vous assurer que vos équipes ont accès aux ressources d'infrastructure dont elles ont besoin pour exécuter leurs charges de travail, et offrent aux équipes une vue de leurs ressources et charges de travail à l'échelle de l'équipe.
• Pour les applications basées sur des microservices exécutés dans votre parc, Anthos Service Mesh fournit des outils puissants pour la sécurité, la mise en réseau et l'observabilité des applications sur l'ensemble de votre réseau maillé.

Vous pouvez activer l'utilisation de toutes les fonctionnalités disponibles sur l'ensemble de la plate-forme GKE Enterprise, y compris les fonctionnalités multicloud et cloud hybride, ou créer un parc sur Google Cloud uniquement et payer pour des fonctionnalités d'entreprise supplémentaires selon vos besoins. GKE Enterprise utilise des technologies Open Source standards dans l'industrie, et prend en charge de nombreux fournisseurs d'infrastructure. Vous pouvez ainsi utiliser GKE Enterprise de manière flexible pour répondre aux besoins de votre entreprise et de votre organisation.

Fonctionnement des parcs

Les parcs permettent à GKE Enterprise de regrouper et de normaliser logiquement des clusters Kubernetes, ce qui facilite l'administration de l'infrastructure. L'adoption des parcs facilite la gestion de niveau supérieur de votre entreprise, qui passe de clusters individuels à des groupes de clusters, avec une vue unique sur l'intégralité de votre parc dans la console Google Cloud. Toutefois, les parcs sont plus que de simples groupes de clusters. Les principes d'uniformité et de confiance supposés au sein d'un parc vous permettent d'utiliser l'ensemble des fonctionnalités compatibles avec les parcs.

Le premier de ces principes concernant le parc est l'uniformité. Cela signifie que, dans un parc de clusters, certains objets Kubernetes tels que les espaces de noms de différents clusters sont traités comme s'ils étaient identiques lorsqu'ils portent le même nom. Cette normalisation facilite la gestion de plusieurs clusters à la fois et est utilisée par les fonctionnalités compatibles avec les parcs de GKE Enterprise. Par exemple, vous pouvez appliquer une stratégie de sécurité avec Policy Controller à tous les services de parc dans l'espace de noms foo, quels que soient les clusters dans lesquels ils se trouvent ou leur emplacement.

Les parcs supposent également l'uniformité des services (tous les services d'un espace de noms portant le même nom peuvent être traités comme le même service, par exemple à des fins de gestion du trafic) et l'uniformité d'identité (les services et charges de travail d'un parc peuvent exploiter une identité commune pour l'authentification et l'autorisation). Le principe d'uniformité du parc fournit également des conseils importants sur la configuration des espaces de noms, des services et des identités, en suivant les bonnes pratiques de nombreuses organisations et Google.

Un autre principe clé est la confiance : l'uniformité des services, l'uniformité d'identité de la charge de travail et celle du maillage reposent toutes sur un principe de confiance élevé entre les membres d'un parc. Cette confiance permet d'assurer une gestion optimale de ces ressources jusqu'au parc, plutôt que de gérer cluster par cluster, et de faire en sorte que la limite du cluster soit moins importante.

La manière dont vous organisez vos parcs dépend de vos besoins organisationnels et techniques. Chaque parc est associé à un projet Google Cloud spécifique, appelé projet hôte de parc, que vous utilisez pour gérer et afficher votre parc, mais qui peut inclure des clusters d'autres projets. Vous pouvez, par exemple, disposer de parcs distincts pour vos environnements de production, de test et de développement, ou des parcs distincts pour différents secteurs d'activité (les différentes équipes en tant que locataires de votre infrastructure peuvent être gérées dans des parcs à l'aide de champs d'application). Les clusters qui disposent de grandes quantités de communication interservices bénéficient le plus de la gestion regroupée dans un parc. Les clusters d'un même environnement (par exemple, votre environnement de production) doivent se trouver dans le même parc. Nous recommandons généralement la plus grande taille de parc pour permettre la confiance et l'uniformité entre les services, tout en gardant à l'esprit qu'Anthos Service Mesh, si vous choisissez de l'utiliser, vous permet d'activer un contrôle d'accès aux services plus précis dans votre parc.

---

Pour en savoir plus :

• Cas d'utilisation de multicluster
• Concepts de parc
• Exemples de parcs

---

Clusters Kubernetes partout

Kubernetes est au cœur de GKE Enterprise, avec plusieurs options de cluster Kubernetes au choix lors de la création de votre parc :

• Google Kubernetes Engine (GKE) est l'implémentation Kubernetes gérée de Google, avec les options suivantes disponibles pour les utilisateurs de GKE Enterprise :
  • Sur Google Cloud, GKE dispose d'un plan de contrôle hébergé dans le cloud et de clusters composés d'instances Compute Engine. Alors que GKE sur Google Cloud seul vous permet de déployer, faire évoluer et gérer automatiquement Kubernetes, le regroupement des clusters GKE dans un parc vous permet de travailler plus facilement à grande échelle et vous permet d'utiliser les fonctionnalités GKE Enterprise en plus des puissantes fonctionnalités de gestion de clusters déjà proposées par GKE.
  • En dehors de Google Cloud, GKE est étendu pour être utilisé avec d'autres fournisseurs d'infrastructure, y compris Azure, AWS et sur votre propre matériel sur site (sur VMware ou sur bare metal). Dans ces options, le plan de contrôle Kubernetes fourni par Google s'exécute dans votre centre de données ou votre fournisseur cloud, avec vos nœuds de cluster, vos clusters étant connectés à votre projet hôte de parc dans Google Cloud.
• Cloud Edge distribué de Google vous permet également d'ajouter à votre parc des clusters GKE sur site. Ces clusters s'exécutent cette fois sur du matériel fourni et géré par Google, et acceptant un sous-ensemble de fonctionnalités de GKE Enterprise.
• Les clusters GKE ne sont pas votre seule option. GKE Enterprise offre également la possibilité d'enregistrer des clusters Kubernetes tiers conformes dans votre parc, tels que des clusters EKS et AKS, appelés clusters associés. Avec cette option, vous continuez à exécuter des charges de travail existantes là où elles se trouvent tout en ajoutant de la valeur avec un sous-ensemble de fonctionnalités GKE Enterprise. GKE Enterprise ne gère pas le plan de contrôle ni les composants de nœud Kubernetes, mais seulement les services GKE Enterprise qui s'exécutent sur ces clusters.

Pour tous les clusters basés sur GKE, y compris les clouds sur site et publics, GKE Enterprise fournit des outils de gestion et de cycle de vie des clusters (création, mise à jour, suppression et mise à niveau), y compris des utilitaires de ligne de commande et, pour certains types de clusters, la gestion de Google Cloud Console.

Configuration du cluster

Où qu'ils se trouvent, Config Sync permet de gérer de manière cohérente la configuration des clusters sur l'ensemble de votre parc, y compris les clusters associés. Config Sync utilise l'approche de "configuration en tant que données": l'état souhaité de votre environnement est défini de manière déclarative, est conservé comme une source unique de vérité sous le contrôle des versions et appliqué directement avec des résultats reproductibles. Config Sync surveille un dépôt Git central contenant votre configuration et applique automatiquement toutes les modifications aux clusters cibles spécifiés, où qu'ils soient en cours d'exécution. Tout code YAML ou JSON pouvant être appliqué à l'aide de commandes kubectl peut être géré avec Config Sync et appliqué à tout cluster Kubernetes.

Migration et VM

Pour les entreprises qui souhaitent migrer leurs applications vers des conteneurs et Kubernetes dans le cadre de leur processus de modernisation, GKE Enterprise inclut Migrate to Containers, avec des outils permettant de convertir les charges de travail basées sur des VM en conteneurs s'exécutant sur GKE. Sur les plates-formes GKE Enterprise Bare Metal (GKE sur solution Bare Metal et Cloud Edge distribué), les entreprises peuvent également utiliser l'environnement d'exécution des VM sur Google Distributed Cloud pour exécuter des VM sur Kubernetes de la même manière qu'elles exécutent des conteneurs, ce qui leur permet de continuer à utiliser les VM existantes lors du développement et de l'exécution de nouvelles applications basées sur des conteneurs. Lorsqu'elles seront prêtes, elles pourront migrer ces charges de travail basées sur des VM vers des conteneurs tout en continuant à utiliser les mêmes outils de gestion GKE Enterprise.

---

Pour en savoir plus :

• GKE
• Clusters GKE
• Clusters associés
• Service Cloud Edge distribué
• Config Sync

---

Fonctionnalités de GKE Enterprise

Le reste de ce guide présente les fonctionnalités fournies par GKE Enterprise pour vous aider à gérer vos parcs et les applications qui y sont exécutées. Vous pouvez consulter la liste complète des fonctionnalités disponibles pour chaque type de cluster Kubernetes compatible dans les options de déploiement de GKE Enterprise.

Mise en réseau, authentification et sécurité

Une fois que vous avez créé votre parc, GKE Enterprise vous aide à gérer le trafic, l'authentification et le contrôle des accès, et à appliquer des règles de sécurité et de conformité de manière cohérente sur l'ensemble de votre parc.

Connexion à votre parc

Pour gérer la connexion à Google dans les parcs hybrides et multicloud, Google fournit un déploiement Kubernetes appelé l'agent Connect. Une fois installé dans un cluster lors de l'enregistrement du parc, l'agent établit une connexion entre votre cluster en dehors de Google Cloud et son projet hôte de parc Google Cloud, ce qui vous permet de gérer vos clusters et vos charges de travail à partir de Google et d'utiliser les services Google.

Dans les environnements sur site, la connectivité à Google peut utiliser l'Internet public, un VPN haute disponibilité, une interconnexion publique ou une interconnexion dédiée, en fonction des exigences de latence, de sécurité et de bande passante de vos applications lors de l'interaction avec Google Cloud.

---

Pour en savoir plus :

• Agent Connect
• Fonctionnalités de sécurité de Connect
• Se connecter à Google pour les clusters sur site

---

Équilibrage de charge

Pour gérer le trafic vers et au sein de votre parc, GKE Enterprise fournit les solutions d'équilibrage de charge suivantes :

• Les clusters GKE sur Google Cloud peuvent utiliser les options suivantes :
  • Par défaut, GKE utilise des équilibreurs de charge réseau externes à stratégie directe pour la couche 4 et des équilibreurs de charge d'application externes pour la couche 7. Les deux sont des services gérés et ne nécessitent aucune configuration ou gestion des comptes supplémentaire de votre part.
  • Multi Cluster Ingress vous permet de déployer un équilibreur de charge qui diffuse une application sur plusieurs clusters de parc.
• Les clusters GKE sur site vous permettent de choisir parmi plusieurs modes d'équilibrage de charge adaptés à vos besoins, comme un équilibreur de charge MetalLB groupé et la possibilité de configurer manuellement l'équilibrage de charge pour utiliser vos solutions existantes.
• Cloud Edge distribué inclut l'équilibrage de charge MetalLB groupé.
• Les clusters GKE sur d'autres clouds publics utilisent des équilibreurs de charge natifs de la plate-forme.

---

Pour en savoir plus :

• Entrée multicluster
• Équilibrage de charge pour :
  • GKE sur VMware
  • GKE sur solution Bare Metal
  • Service Cloud Edge distribué
  • GKE sur AWS
  • GKE sur Azure

---

Authentification et contrôle des accès

La gestion de l'authentification et de l'autorisation constitue un défi important lorsque vous travaillez avec plusieurs clusters issus de plusieurs fournisseurs d'infrastructure. Pour l'authentification auprès des clusters de votre parc, GKE Enterprise vous offre des options d'authentification cohérente, simple et sécurisée lors de l'interaction avec les clusters depuis la ligne de commande avec kubectl, et depuis la console Google Cloud.

• Utiliser l'identité Google : la passerelle Connect permet aux utilisateurs et aux comptes de service de s'authentifier auprès des clusters de votre parc avec leur ID Google, où qu'ils se trouvent. Vous pouvez utiliser cette fonctionnalité pour vous connecter directement aux clusters, ou l'exploiter avec des pipelines de compilation et d'autres mécanismes d'automatisation DevOps.
• Utiliser l'identité tierce : le service GKE Identity Service de GKE Enterprise vous permet de configurer l'authentification avec des fournisseurs d'identité tiers, ce qui permet à vos équipes de continuer à utiliser les noms d'utilisateur, mots de passe et groupes de sécurité existants d'OIDC (et LDAP, le cas échéant) tels que Microsoft AD FS et Okta sur l'ensemble de votre parc.

Vous pouvez configurer autant de fournisseurs d'identité acceptés que vous le souhaitez pour un cluster.

Une fois l'authentification configurée, vous pouvez utiliser le contrôle d'accès basé sur les rôles (RBAC) standard de Kubernetes pour autoriser les utilisateurs authentifiés à interagir avec vos clusters, ainsi que Identity and Access Management pour contrôler l'accès aux services Google, tels que la passerelle Connect.

Pour les charges de travail exécutées sur vos clusters, GKE Enterprise fournit une identité de charge de travail à l'échelle du parc. Cette fonctionnalité permet aux charges de travail des clusters membres d'un parc d'utiliser les identités d'un pool d'identités de charge de travail à l'échelle du parc lors de l'authentification auprès de services externes tels que les API Cloud. Il est ainsi plus facile de configurer l'accès d'une application à ces services plutôt que de devoir configurer un accès cluster par cluster. Ainsi, si vous avez une application avec un backend déployé sur plusieurs clusters dans le même parc et qui doit s’authentifier auprès d'une API Google, vous pouvez facilement la configurer pour que tous les services de l'espace de noms "backend" puissent utiliser cette API.

---

Pour en savoir plus :

• S'authentifier avec l'identité Google
• Authentification avec une identité tierce
• Utiliser des clusters depuis Google Cloud Console
• Utiliser des clusters depuis la ligne de commande
• Utiliser la fédération d'identité de charge de travail de parc

---

Gestion des règles

Un autre défi lorsque vous travaillez avec plusieurs clusters consiste à appliquer des règles de sécurité et de conformité réglementaire cohérentes sur l'ensemble de votre parc. De nombreuses organisations sont soumises à des exigences strictes en termes de sécurité et de conformité, telles que celles qui protègent les informations des consommateurs dans les applications de services financiers, et doivent être en mesure de les respecter à grande échelle.

Pour vous aider, Policy Controller applique une logique métier personnalisée à chaque requête API Kubernetes vers les clusters concernés. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes de contrevenir aux contrôles de sécurité, opérationnels ou de conformité. Vous pouvez utiliser ces règles pour bloquer activement les requêtes API non conformes au sein de votre parc, ou simplement pour auditer la configuration de vos clusters et signaler des violations. Vous pouvez facilement exprimer les règles courantes de sécurité et de conformité à l'aide de l'ensemble de règles intégré à Policy Controller. Vous pouvez également créer vos propres règles à l'aide du langage extensible en fonction du projet Open Source Open Policy Agent.

---

Pour en savoir plus :

• Policy Controller

---

Sécurité au niveau de l'application

Pour les applications exécutées dans votre parc, GKE Enterprise fournit des fonctionnalités d'authentification et de contrôle d'accès basés sur la défense, y compris :

• L'autorisation binaire, qui vous permet de vous assurer que seules les images de confiance sont déployées sur les clusters de votre parc.
• Stratégie de réseau Kubernetes, qui vous permet de spécifier quels pods sont autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.
• Le contrôle des accès aux services Anthos Service Mesh, qui vous permet de configurer un contrôle d'accès précis pour vos services de maillage en fonction des comptes de service et des contextes de requête.
• L'autorité de certification Anthos Service Mesh (Mesh CA) qui génère et alterne automatiquement les certificats afin que vous puissiez activer facilement l'authentification TLS mutuelle (mTLS) entre vos services.

---

Observabilité

Un élément clé de l'exploitation et de la gestion des clusters à grande échelle consiste à pouvoir surveiller facilement les clusters et les applications de votre parc, y compris leur état, leur utilisation des ressources et leur stratégie de sécurité.

GKE Enterprise dans la console Google Cloud

La console Google Cloud est l'interface Web de Google Cloud qui vous permet de gérer vos projets et vos ressources. GKE Enterprise fournit des fonctionnalités d'entreprise et une vue structurée de l'ensemble de votre parc sur les pages de la console Google Cloud de GKE, fournissant ainsi une interface intégrée qui vous aide à gérer vos applications et vos ressources au même endroit. Les pages du tableau de bord vous permettent d'afficher des informations détaillées et d'afficher le détail des problèmes afin d'identifier les problèmes.

• Présentation : la vue d'ensemble de la page fournit un aperçu de l'utilisation des ressources de votre parc en fonction des informations fournies via Cloud Monitoring. Elle indique l'utilisation des processeurs, de la mémoire et des disques agrégée par parc, par cluster, ainsi que par couverture Policy Controller et Config Sync au niveau du parc.
• Gestion des clusters : la vue "Clusters GKE Enterprise" fournit une console sécurisée permettant d'afficher l'état de tous les clusters de votre projet et de votre parc, y compris l'état des clusters, d'enregistrer des clusters dans votre parc et de créer des clusters pour votre parc (Google Cloud uniquement). Pour en savoir plus sur des clusters spécifiques, vous pouvez afficher le détail de cette vue ou consulter d'autres tableaux de bord GKE pour obtenir plus d'informations sur vos nœuds et charges de travail de cluster.
• Présentation de l'équipe : si vous avez configuré des équipes pour votre parc, la présentation des équipes fournit des informations sur l'utilisation des ressources, les taux d'erreur et d'autres métriques agrégées par équipe. Il est ainsi plus facile pour les administrateurs et les membres d'équipe d'afficher et de résoudre les erreurs.
• Gestion des fonctionnalités : la vue de gestion des fonctionnalités vous permet d'afficher l'état des fonctionnalités de GKE Enterprise pour vos clusters de parc.
• Service Mesh : si vous utilisez Anthos Service Mesh sur Google Cloud, la vue Service Mesh offre une visibilité sur l'état et les performances de vos services. Anthos Service Mesh collecte et agrège des données sur chaque requête et réponse de service. Vous n'avez donc pas besoin d'instrumenter votre code pour collecter des données de télémétrie, ni de configurer manuellement des tableaux de bord et des graphiques. Anthos Service Mesh importe automatiquement les métriques et les journaux dans Cloud Monitoring et Cloud Logging pour l'ensemble du trafic de votre cluster. Cette télémétrie détaillée permet aux opérateurs d'observer le comportement du service et leur permet de résoudre des problèmes, de gérer et d'optimiser leurs applications.
• Stratégie de sécurité : la vue de stratégie de sécurité vous fournit des recommandations avisées et exploitables pour améliorer la stratégie de sécurité de votre parc.
• Gestion de la configuration : la vue de configuration vous donne un aperçu rapide de l'état de configuration de tous les clusters du parc sur lesquels Config Sync est activé et vous permet d'ajouter rapidement cette fonctionnalité aux clusters non définis pour le moment. Vous pouvez suivre facilement les modifications de la configuration et voir quelle branche et quel tag de commit ont été appliqués à chaque cluster. Des filtres flexibles permettent d'afficher facilement l'état du déploiement de la configuration par cluster, branche ou tag.
• Gestion des règles : la vue de gestion des règles vous indique le nombre de clusters dans votre parc sur lesquels Policy Controller est activé. Elle offre un aperçu des cas de non-conformité et vous permet d'ajouter cette fonctionnalité aux clusters du parc.

Journalisation et surveillance

Pour obtenir des informations plus détaillées sur vos clusters et leurs charges de travail, vous pouvez utiliser Cloud Logging et Cloud Monitoring. Cloud Logging fournit un emplacement unifié pour stocker et analyser les données des journaux, tandis que Cloud Monitoring collecte et stocke automatiquement les données de performances, et fournit des outils de visualisation et d'analyse des données. La plupart des types de clusters GKE Enterprise envoient par défaut des informations de journalisation et de surveillance pour les composants système (tels que les charges de travail des espaces de noms kube-system et gke-connect) à Cloud Monitoring et Cloud Logging. Vous pouvez configurer Cloud Monitoring et Cloud Logging pour obtenir des informations sur les charges de travail de vos propres applications, créer des tableaux de bord incluant plusieurs types de métriques, créer des alertes, etc.

En fonction des besoins de votre organisation et de votre projet, GKE Enterprise accepte également l'intégration avec d'autres outils d'observabilité, y compris les outils Open Source Prometheus et Grafana, ainsi qu'avec des outils tiers tels que Elastic et Splunk.

---

Pour en savoir plus :

• Cloud Logging
• Cloud Monitoring
• Journaux et métriques disponibles sur Google Cloud
• Journaux et métriques disponibles sur Google Distributed Cloud Virtual (sur site) :
  • Sur VMware
  • Sur solution Bare Metal
• Journaux et métriques disponibles sur d'autres clouds publics :
  • Journalisation et surveillance sur Azure
  • Journalisation et surveillance sur AWS
  • Journalisation et surveillance sur les clusters associés à AKS
  • Journalisation et surveillance sur les clusters associés à EKS

---

Gestion du service

Dans Kubernetes, un service est un moyen abstrait d'exposer une application s'exécutant sur un ensemble de pods en tant que service réseau, avec une seule adresse DNS pour le trafic vers les charges de travail du service. Dans une architecture de microservices moderne, une seule application peut être composée de nombreux services, dont chacun peut avoir plusieurs versions déployées simultanément. Dans ce type d'architecture, la communication de service à service s'effectue sur le réseau. Les services doivent donc être en mesure de gérer les particularités du réseau et autres problèmes d'infrastructure sous-jacents.

Pour faciliter la gestion des services de votre parc, vous pouvez utiliser Anthos Service Mesh. Anthos Service Mesh est basé sur Istio, une mise en œuvre Open Source de la couche d'infrastructure du maillage de services. Grâce à des outils cohérents et puissants, les maillages de services éliminent les préoccupations courantes liées à l'exécution d'un service tel que la surveillance, la mise en réseau et la sécurité. Les opérateurs et les développeurs de services peuvent ainsi se concentrer sur la création et la gestion de leurs applications plus facilement. Avec Anthos Service Mesh, ces fonctions sont extraites du conteneur principal de l'application et mises en œuvre dans un proxy commun hors processus fourni par un conteneur séparé dans le même pod. Ce modèle dissocie l'application ou la logique métier des fonctions réseau et permet aux développeurs de se concentrer sur les fonctionnalités dont l'entreprise a besoin. Les maillages de services permettent également aux équipes chargées des opérations et du développement de dissocier leur travail les unes des autres.

Anthos Service Mesh offre de nombreuses fonctionnalités en plus de toutes celles d'Istio :

• Les métriques et journaux de service pour l'intégralité du trafic dans le cluster GKE de votre maillage sont automatiquement ingérés dans Google Cloud.
• Les tableaux de bord générés automatiquement affichent une télémétrie détaillée dans le tableau de bord Anthos Service Mesh, qui vous permet d'explorer vos métriques et journaux, en filtrant et en segmentant vos données en fonction d'une grande variété d'attributs.
• Relations de service à service en bref : identifiez les utilisateurs qui se connectent à chaque service et les services dont ils dépendent.
• Sécuriser votre trafic interservices : l'autorité de certification Anthos Service Mesh (Mesh CA) permet de générer et de faire pivoter automatiquement les certificats afin que vous puissiez activer facilement l'authentification TLS mutuelle (mTLS) avec les règles Istio.
• Consultez rapidement la stratégie de sécurité de la communication concernant non seulement votre service, mais aussi ses relations avec d'autres services.
• Examinez plus en détail les métriques de service et combinez-les avec d'autres métriques Google Cloud à l'aide de Cloud Monitoring.
• Obtenez des informations claires et simples sur l'état de votre service grâce aux objectifs de niveau de service (SLO), qui vous permettent de définir et d'alerter facilement en fonction de vos propres normes d'état de service.

Anthos Service Mesh vous permet de choisir entre un plan de contrôle de maillage de services entièrement géré dans Google Cloud (pour les maillages exécutés sur des clusters membres de parc sur Google Cloud uniquement) ou un plan de contrôle au sein du cluster que vous installez vous-même. Pour en savoir plus sur les fonctionnalités disponibles pour chaque option, consultez la documentation d'Anthos Service Mesh.

---

Pour en savoir plus :

• Anthos Service Mesh

---

Étape suivante

• Consultez nos guides de configuration pour découvrir comment configurer GKE Enterprise.
• Consultez Options de déploiement de GKE Enterprise pour en savoir plus sur les fonctionnalités d'entreprise disponibles pour la configuration choisie.
• Consultez la page Tarifs de GKE Enterprise pour en savoir plus sur les options de tarification.