Présentation technique de GKE Enterprise
GKE Enterprise est la plate-forme de conteneurs axée sur le cloud de Google qui permet d'exécuter des applications modernes de manière cohérente et à grande échelle. Ce guide présente le fonctionnement de GKE Enterprise et la manière dont cet outil peut vous aider à fournir des applications gérables, évolutives et fiables.
Pourquoi utiliser GKE Enterprise ?
En règle générale, lorsque les entreprises adoptent des technologies cloud natives telles que les conteneurs, l'orchestration de conteneurs et les maillages de services, elles atteignent un point où l'exécution d'un seul cluster ne suffit plus. Les entreprises choisissent de déployer plusieurs clusters pour atteindre leurs objectifs techniques et commerciaux, et ce pour diverses raisons. Par exemple, pour séparer la production des environnements hors production ou des restrictions réglementaires variables ou séparer les services entre les niveaux, les paramètres régionaux ou les équipes. Toutefois, l'utilisation de plusieurs clusters a ses propres difficultés et contraintes en termes de configuration, de sécurité et de gestion cohérentes. Par exemple, la configuration manuelle d'un cluster à la fois est sujette aux erreurs et il peut être difficile de voir exactement où se produisent ces erreurs.
Les choses peuvent devenir encore plus complexes (et coûteuses) lorsque les clusters ne sont pas tous au même endroit. De nombreuses organisations qui utilisent Google Cloud souhaitent ou doivent exécuter des charges de travail dans leurs propres centres de données, usines, magasins et même dans d'autres clouds publics. Mais elles ne souhaitent pas créer elles-mêmes de nouvelles plates-formes de conteneurs dans tous ces sites, ni repenser leur conception, ni la manière dont elles configurent, sécurisent, surveillent et optimisent les charges de travail des conteneurs en fonction de l'emplacement d'exécution, avec la possibilité d'environnements incohérents, des risques de sécurité et de mauvaise configuration, et des tâches opérationnelles répétitives.
Exemple :
- Un établissement financier crée une plate-forme de banque numérique sur Google Cloud et a besoin de configurations cohérentes, d'une application stricte des règles de sécurité et d'une visibilité approfondie sur les modes de communication entre différentes applications. Une grande entreprise de vente au détail qui crée une plate-forme d'e-commerce moderne a les mêmes exigences. Les deux entreprises gèrent plusieurs clusters dans plusieurs régions Google Cloud à l'aide de GKE.
- Une autre institution financière mondiale développe des applications complexes de gestion des risques, des applications de transfert interbancaire et de nombreuses autres charges de travail sensibles, dont certaines doivent rester protégées par le pare-feu de l'entreprise et d'autres sont déployées sur GKE sur Google Cloud.
- Un grand magasin de pharmacies développe de nouvelles applications de planification de la vaccination, de messagerie avec les clients et d'engagement numérique afin de moderniser ses activités pharmaceutiques et créer une expérience en magasin plus personnalisée. Ces applications nécessitent des plates-formes de conteneurs auxquels sont intégrés des services hébergés par Google Cloud tels que BigQuery et Retail Search.
- Une entreprise du secteur du multimédia et du divertissement a besoin d'un environnement de conteneurs cohérent dans 30 salles de jeu, toutes connectées à et gérées depuis Google Cloud, pour recueillir et analyser des téraoctets de statistiques de jeu, et pour alimenter l'engagement des fans à la fois dans la salle de jeu et virtuellement.
- Une entreprise de fabrication de matériel doit tester et optimiser la qualité des produits en usine et la sécurité des travailleurs en analysant les données avec une très faible latence pour prendre des décisions en quasi-temps réel, tout en consolidant les données dans Google Cloud pour une analyse à plus long terme.
- Une entreprise de logiciels et d'Internet qui propose une plate-forme d'intégration dans un modèle Software as a Service (SaaS) doit proposer sa plate-forme sur plusieurs grands clouds publics pour fonctionner là où ses clients ont besoin de proximité avec les services cloud natifs. L'entreprise a besoin d'une méthode unifiée et cohérente pour provisionner, configurer, sécuriser et surveiller les environnements de conteneurs dans plusieurs clouds publics à partir d'un seul plan de gestion, afin d'éviter les coûts opérationnels liés à la gestion de chaque environnement cloud avec différents outils de gestion natifs.
GKE Enterprise peut aider toutes ces organisations en leur fournissant une plate-forme cohérente qui leur permet de :
- Moderniser les applications et l'infrastructure en place
- Créer un modèle d'exploitation cloud unifié (vue centralisée) pour créer, mettre à jour et optimiser des clusters de conteneurs, où qu'ils se trouvent
- Faites évoluer des applications multicluster volumineuses sous forme de parcs (regroupements logiques d'environnements similaires) avec une sécurité, une configuration et une gestion des services cohérentes
- Appliquer une gouvernance et une sécurité cohérentes à partir d'un plan de contrôle unifié
Pour cela, Google s'appuie sur des outils et des fonctionnalités avisés qui les aident à gouverner, gérer et exploiter des charges de travail conteneurisées à l'échelle de l'entreprise. Elles peuvent ainsi adopter les bonnes pratiques et les principes que nous avons appris en exécutant des services chez Google.
Principes de base de GKE Enterprise
Les fonctionnalités de GKE Enterprise sont basées sur le concept de parc, qui consiste en un regroupement logique de clusters Kubernetes pouvant être gérés ensemble. Un parc peut être entièrement composé de clusters GKE sur Google Cloud ou inclure des clusters situés en dehors de Google Cloud, sur site et sur d'autres clouds publics tels qu'AWS et Azure.
Une fois que vous avez créé un parc, vous pouvez utiliser les fonctionnalités compatibles avec le parc de GKE Enterprise pour ajouter de la valeur et simplifier le travail avec plusieurs clusters et fournisseurs d'infrastructure :
- Les outils de gestion de la configuration et des règles vous aident à travailler plus facilement à grande échelle. Ils ajoutent et mettent à jour automatiquement la même configuration, les mêmes fonctionnalités et règles de sécurité de manière cohérente dans l'ensemble de votre parc, où que vos clusters se trouvent.
- Des fonctionnalités de mise en réseau à l'échelle du parc qui vous aident à gérer le trafic sur l'ensemble de votre parc, y compris l'entrée multicluster pour les applications couvrant plusieurs clusters et les fonctionnalités de gestion du trafic du maillage de services.
- Des fonctionnalités de gestion des identités qui vous aident à configurer de manière cohérente l'authentification pour les charges de travail et les utilisateurs du parc.
- Des fonctionnalités d'observabilité vous permettant de surveiller et de dépanner les clusters et applications de votre parc, y compris leur état, leur utilisation des ressources et leur stratégie de sécurité.
- Les outils de gestion des équipes vous permettent de vous assurer que vos équipes ont accès aux ressources d'infrastructure dont elles ont besoin pour exécuter leurs charges de travail, et offrent aux équipes une vue de leurs ressources et charges de travail à l'échelle de l'équipe.
- Pour les applications basées sur des microservices exécutées dans votre parc, Cloud Service Mesh fournit des outils puissants pour la sécurité, la mise en réseau et l'observabilité des applications sur l'ensemble de votre réseau maillé.
Vous pouvez activer l'intégralité de la plate-forme GKE Enterprise pour utiliser toutes les fonctionnalités disponibles, y compris les fonctionnalités multicloud et cloud hybride, ou seulement créer un parc sur Google Cloud et payer pour les fonctionnalités Entreprise supplémentaires au fur et à mesure de vos besoins. GKE Enterprise utilise des technologies Open Source standards et est compatible avec plusieurs fournisseurs d'infrastructure. Vous pouvez ainsi l'utiliser de manière flexible pour répondre à vos besoins professionnels et organisationnels.
Fonctionnement des parcs
Grâce aux parcs, GKE Enterprise vous permet de regrouper et de normaliser vos clusters Kubernetes de manière logique, ce qui facilite l'administration de l'infrastructure. L'adoption des parcs facilite la gestion de votre entreprise en passant de clusters individuels à des groupes de clusters, avec une vue unique sur l'ensemble de votre parc dans la console Google Cloud. Cependant, les parcs ne sont pas que de simples groupes de clusters. Les principes d'uniformité et de confiance supposés au sein d'un parc vous permettent d'utiliser l'ensemble des fonctionnalités de parc.
Le premier de ces principes concernant les parcs est l'uniformité. Cela signifie que, dans un parc de clusters, certains objets Kubernetes tels que les espaces de noms de différents clusters sont traités comme s'ils étaient identiques lorsqu'ils portent le même nom. Cette normalisation facilite la gestion simultanée de plusieurs clusters et est utilisée par les fonctionnalités de parc GKE Enterprise. Par exemple, vous pouvez appliquer une règle de sécurité avec Policy Controller à tous les services de parc dans l'espace de noms foo, quel que soit le cluster dans lequel ils se trouvent ou leur emplacement.
Les parcs supposent également l'uniformité des services (tous les services d'un espace de noms portant le même nom peuvent être traités comme le même service, par exemple à des fins de gestion du trafic) et l'uniformité d'identité (les services et charges de travail d'un parc peuvent exploiter une identité commune pour l'authentification et l'autorisation). Le principe d'uniformité des parcs fournit également des conseils précis sur la configuration des espaces de noms, des services et des identités, conformément aux bonnes pratiques déjà mises en œuvre par de nombreuses organisations et par Google.
Un autre principe clé est la confiance : l'uniformité des services, l'uniformité d'identité des charges de travail et l'uniformité d'identité du maillage reposent sur un principe de confiance élevé entre les membres d'un parc. Cette confiance permet d'améliorer la gestion des ressources du parc plutôt que de gérer individuellement chaque cluster, ce qui réduit l'importance des limites des clusters.
La façon dont vous organisez vos parcs dépend de vos besoins organisationnels et techniques. Chaque parc est associé à un projet Google Cloud spécifique, appelé projet hôte de parc, que vous utilisez pour gérer et afficher votre parc, mais qui peut inclure des clusters d'autres projets. Vous pouvez, par exemple, disposer de parcs distincts pour vos environnements de production, de test et de développement, ou des parcs distincts pour différents secteurs d'activité (les différentes équipes en tant que locataires de votre infrastructure peuvent être gérées dans des parcs à l'aide de champs d'application). Les clusters qui disposent de grandes quantités de communication interservices bénéficient le plus de la gestion regroupée dans un parc. Les clusters d'un même environnement (par exemple, votre environnement de production) doivent se trouver dans le même parc. Nous vous recommandons généralement de choisir la taille de parc la plus grande possible pour garantir la confiance et l'uniformité des services. Gardez à l'esprit que Cloud Service Mesh, si vous choisissez de l'utiliser, vous permet d'activer un contrôle d'accès plus précis aux services au sein de votre parc.
Pour en savoir plus :
Clusters Kubernetes partout
Kubernetes est au cœur de GKE Enterprise, avec plusieurs options de cluster Kubernetes au choix lors de la création de votre parc :
- Google Kubernetes Engine (GKE) est l'implémentation Kubernetes gérée par Google. Les options suivantes sont disponibles pour les utilisateurs de GKE Enterprise :
- Sur Google Cloud, GKE dispose d'un plan de contrôle hébergé dans le cloud et de clusters composés d'instances Compute Engine. Alors que GKE sur Google Cloud seul vous permet de déployer, faire évoluer et gérer automatiquement Kubernetes, le regroupement des clusters GKE dans un parc vous permet de travailler plus facilement à grande échelle et vous permet d'utiliser les fonctionnalités GKE Enterprise en plus des puissantes fonctionnalités de gestion de clusters déjà proposées par GKE.
- En dehors de Google Cloud, GKE est étendu pour être utilisé avec d'autres fournisseurs d'infrastructure, comme Azure et AWS, ainsi qu'avec votre propre matériel sur site (sur VMware ou sur solution Bare Metal). Dans ces options, le plan de contrôle Kubernetes fourni par Google s'exécute dans votre centre de données ou votre fournisseur cloud, avec vos nœuds de cluster, vos clusters étant connectés à votre projet hôte de parc dans Google Cloud.
- Les déploiements connectés de Google Distributed Cloud (anciennement Distributed Cloud Edge) vous permettent également d'ajouter des clusters GKE sur site à votre parc. Ils s'exécutent cette fois sur du matériel fourni et entretenu par Google, et sont compatibles avec un sous-ensemble de fonctionnalités GKE Enterprise.
- Les clusters GKE ne sont pas votre seule option. GKE Enterprise vous permet également d'enregistrer des clusters Kubernetes tiers conformes dans votre parc, tels que les clusters EKS et AKS, appelés clusters associés. Cette option vous permet de continuer à exécuter des charges de travail existantes là où elles se trouvent tout en ajoutant de la valeur avec un sous-ensemble de fonctionnalités GKE Enterprise. GKE Enterprise ne gère pas le plan de contrôle ni les composants de nœuds Kubernetes, mais uniquement les services GKE Enterprise exécutés sur ces clusters.
Pour tous les clusters basés sur GKE, y compris les clouds sur site et publics, GKE Enterprise fournit des outils de gestion et de cycle de vie des clusters (création, mise à jour, suppression et mise à niveau), y compris des utilitaires de ligne de commande et, pour certains types de clusters, la gestion de Google Cloud Console.
Configuration du cluster
Où que se trouvent vos clusters, Config Sync offre un moyen cohérent de gérer la configuration des clusters sur l'ensemble de votre parc, y compris les clusters associés. Config Sync utilise l'approche de "configuration en tant que données": l'état souhaité de votre environnement est défini de manière déclarative, est conservé comme une source unique de vérité sous le contrôle des versions et appliqué directement avec des résultats reproductibles. Config Sync surveille un dépôt Git central contenant votre configuration et applique automatiquement toutes les modifications aux clusters cibles spécifiés, quel que soit l'endroit où elles sont en cours d'exécution. Tout code YAML ou JSON pouvant être appliqué à l'aide des commandes kubectl peut être géré avec Config Sync et appliqué à tout cluster Kubernetes.
Migration et VM
Pour les entreprises qui souhaitent migrer leurs applications vers des conteneurs et Kubernetes dans le cadre de leur processus de modernisation, GKE Enterprise inclut Migrate to Containers ainsi que des outils permettant de convertir les charges de travail basées sur des VM en conteneurs s'exécutant sur GKE. Sur les plates-formes GKE Enterprise Bare Metal (Google Distributed Cloud sur solution Bare Metal et Google Distributed Cloud connecté), les entreprises peuvent également utiliser l'environnement d'exécution des VM sur Google Distributed Cloud pour exécuter des VM sur Kubernetes de la même manière qu'elles exécutent des conteneurs, ce qui leur permet de continuer à utiliser les VM existantes lors du développement et de l'exécution de nouvelles applications basées sur des conteneurs. Lorsqu'elles seront prêtes, elles pourront migrer ces charges de travail basées sur des VM vers des conteneurs tout en continuant à utiliser les mêmes outils de gestion GKE Enterprise.
Pour en savoir plus :
- GKE sur Google Cloud
- Clusters GKE en dehors de Google Cloud
- Clusters associés
- Cloud distribué de Google connecté
- Config Sync
Fonctionnalités de GKE Enterprise
Le reste de ce guide vous présente les fonctionnalités de GKE Enterprise qui vous aident à gérer vos parcs et les applications qui y sont exécutées. Vous pouvez consulter la liste complète des fonctionnalités disponibles pour chaque type de cluster Kubernetes compatible dans Options de déploiement GKE Enterprise.
Mise en réseau, authentification et sécurité
Une fois que vous avez créé votre parc, GKE Enterprise vous aide à gérer le trafic, l'authentification et le contrôle des accès, et à appliquer des règles de sécurité et de conformité de manière cohérente sur l'ensemble de votre parc.
Se connecter à votre parc
Pour gérer la connexion à Google dans les parcs hybrides et multicloud, Google fournit un déploiement Kubernetes appelé Connect Agent. Une fois installé dans un cluster dans le cadre de l'enregistrement d'un parc, l'agent établit une connexion entre votre cluster en dehors de Google Cloud et son projet hôte de parc Google Cloud. Vous pouvez ainsi gérer vos clusters et vos charges de travail depuis Google, et utiliser les services Google.
Dans les environnements sur site, la connectivité à Google peut utiliser l'Internet public, un VPN à haute disponibilité, Public Interconnect ou Dedicated Interconnect, en fonction des exigences de latence, de sécurité et de bande passante de vos applications lors de l'interaction avec Google Cloud.
Pour en savoir plus :
- Agent Connect
- Fonctionnalités de sécurité de Connect
- Se connecter à Google pour les clusters sur site
Équilibrage de charge
Pour gérer le trafic vers et au sein de votre parc, GKE Enterprise fournit les solutions d'équilibrage de charge suivantes :
- Les clusters GKE sur Google Cloud peuvent utiliser les options suivantes :
- Par défaut, GKE utilise des équilibreurs de charge réseau passthrough externes pour la couche 4 et des équilibreurs de charge d'application externes pour la couche 7. Les deux sont des services gérés et ne nécessitent aucune configuration ou gestion des comptes supplémentaire de votre part.
- Multi Cluster Ingress vous permet de déployer un équilibreur de charge qui diffuse une application sur plusieurs clusters de parc.
- Les clusters GKE sur site vous permettent de choisir parmi plusieurs modes d'équilibrage de charge adaptés à vos besoins, comme un équilibreur de charge MetalLB groupé et la possibilité de configurer manuellement l'équilibrage de charge pour utiliser vos solutions existantes.
- Google Distributed Cloud connecté inclut un équilibrage de charge MetalLB groupé
- Les clusters GKE sur d'autres clouds publics utilisent des équilibreurs de charge natifs de plate-forme
Pour en savoir plus :
- Entrée multicluster
- Équilibrage de charge pour :
- Déploiements Google Distributed Cloud (sur site) :
- GKE sur AWS
- GKE sur Azure
Authentification et contrôle des accès
La gestion de l'authentification et de l'autorisation représente un défi important lorsque vous travaillez avec de multiples clusters appartenant à plusieurs fournisseurs d'infrastructure. Pour l'authentification auprès des clusters de votre parc, GKE Enterprise vous offre des options d'authentification cohérente, simple et sécurisée lors de l'interaction avec les clusters depuis la ligne de commande avec kubectl
, et depuis la console Google Cloud.
- Utiliser l'identité Google : la passerelle Connect permet aux utilisateurs et aux comptes de service de s'authentifier auprès des clusters de votre parc avec leur ID Google, où qu'ils se trouvent. Vous pouvez utiliser cette fonctionnalité pour vous connecter directement aux clusters, ou l'exploiter avec des pipelines de compilation et d'autres systèmes d'automatisation DevOps.
- Utiliser l'identité tierce : le service GKE Identity Service de GKE Enterprise vous permet de configurer l'authentification avec des fournisseurs d'identité tiers, ce qui permet à vos équipes de continuer à utiliser les noms d'utilisateur, mots de passe et groupes de sécurité existants d'OIDC (et LDAP, le cas échéant) tels que Microsoft AD FS et Okta sur l'ensemble de votre parc.
Vous pouvez configurer autant de fournisseurs d'identité compatibles que vous le souhaitez pour un cluster.
Une fois l'authentification configurée, vous pouvez utiliser le contrôle des accès basé sur les rôles Kubernetes (RBAC) standard pour autoriser les utilisateurs authentifiés à interagir avec vos clusters, ainsi que IAM pour contrôler l'accès aux services Google tels que Connect Gateway.
Pour les charges de travail exécutées sur vos clusters, GKE Enterprise fournit une identité de charge de travail à l'échelle du parc. Cette fonctionnalité permet aux charges de travail sur les clusters membres du parc d'utiliser les identités d'un pool d'identités de charge de travail au niveau du parc lors de l'authentification auprès de services externes tels que les API Cloud. Cela permet de configurer plus facilement l'accès d'une application à ces services, plutôt que de devoir configurer l'accès cluster par cluster. Ainsi, si vous avez une application avec un backend déployé sur plusieurs clusters dans le même parc et qui doit s’authentifier auprès d'une API Google, vous pouvez facilement la configurer pour que tous les services de l'espace de noms "backend" puissent utiliser cette API.
Pour en savoir plus :
- S'authentifier avec une identité Google
- Authentification avec une identité tierce
- Utiliser des clusters depuis Google Cloud Console
- Utiliser des clusters depuis la ligne de commande
- Utiliser la fédération d'identité de charge de travail de parc
Gestion des règles
L'application de règles de sécurité et de conformité réglementaire cohérentes sur l'ensemble de votre parc est un autre défi à relever lorsque vous utilisez plusieurs clusters. De nombreuses organisations ont des exigences strictes en termes de sécurité et de conformité, par exemple celles qui protègent les informations des consommateurs dans les applications de services financiers, et elles doivent être en mesure de respecter ces exigences à grande échelle.
Pour vous aider, Policy Controller applique une logique métier personnalisée à chaque requête d'API Kubernetes adressée aux clusters concernés. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes de contrevenir aux contrôles de sécurité, opérationnels ou de conformité. Vous pouvez définir des règles pour bloquer activement les requêtes d'API non conformes dans votre parc, ou simplement pour auditer la configuration de vos clusters et signaler les cas de non-respect. Les règles courantes de sécurité et de conformité peuvent être facilement exprimées à l'aide de l'ensemble de règles intégrées de Policy Controller. Vous pouvez également créer vos propres règles à l'aide du langage extensible, basé sur le projet Open Source Open Policy Agent.
Pour en savoir plus :
Sécurité au niveau de l'application
Pour les applications exécutées dans votre parc, GKE Enterprise fournit des fonctionnalités d'authentification et de contrôle d'accès basés sur la défense, y compris :
- L'autorisation binaire, qui vous permet de vous assurer que seules des images de confiance sont déployées sur les clusters de votre parc.
- Stratégie de réseau Kubernetes, qui vous permet de spécifier quels pods sont autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.
- Le contrôle des accès aux services de Cloud Service Mesh, qui vous permet de configurer un contrôle d'accès précis pour vos services de maillage en fonction des comptes de service et des contextes de requête.
- L'autorité de certification Cloud Service Mesh (Mesh CA) qui génère et alterne automatiquement les certificats afin que vous puissiez activer facilement l'authentification TLS mutuelle (mTLS) entre vos services.
Observabilité
Pour exploiter et gérer des clusters à grande échelle, il est essentiel de pouvoir surveiller facilement les clusters et les applications de votre parc, y compris leur état, leur utilisation des ressources et leur stratégie de sécurité.
GKE Enterprise dans la console Google Cloud
La console Google Cloud est l'interface Web de Google Cloud qui vous permet de gérer vos projets et ressources. GKE Enterprise fournit des fonctionnalités d'entreprise et une vue structurée de l'ensemble de votre parc sur les pages de la console Google Cloud de GKE, fournissant ainsi une interface intégrée qui vous aide à gérer vos applications et vos ressources au même endroit. Les pages de tableau de bord vous permettent d'afficher des informations détaillées et de descendre aussi loin que nécessaire pour identifier les problèmes.
- Présentation : la vue d'ensemble de la page fournit un aperçu de l'utilisation des ressources de votre parc en fonction des informations fournies via Cloud Monitoring. Elle indique l'utilisation des processeurs, de la mémoire et des disques agrégée par parc, par cluster, ainsi que par couverture Policy Controller et Config Sync au niveau du parc.
- Gestion des clusters : la vue "Clusters GKE Enterprise" fournit une console sécurisée permettant d'afficher l'état de tous les clusters de votre projet et de votre parc, y compris l'état des clusters, d'enregistrer des clusters dans votre parc et de créer des clusters pour votre parc (Google Cloud uniquement). Pour obtenir des informations sur des clusters spécifiques, vous pouvez afficher le détail de cette vue ou consulter d'autres tableaux de bord GKE pour obtenir plus de détails sur vos charges de travail et nœuds de cluster.
- Présentation de l'équipe : si vous avez configuré des équipes pour votre parc, la présentation des équipes fournit des informations sur l'utilisation des ressources, les taux d'erreur et d'autres métriques agrégées par équipe. Il est ainsi plus facile pour les administrateurs et les membres d'équipe d'afficher et de résoudre les erreurs.
- Gestion des fonctionnalités : la vue de gestion des fonctionnalités vous permet d'afficher l'état des fonctionnalités de GKE Enterprise pour vos clusters de parc.
- Service Mesh : si vous utilisez Cloud Service Mesh sur Google Cloud, la vue Service Mesh offre une visibilité sur l'état et les performances de vos services. Cloud Service Mesh collecte et regroupe des données sur chaque requête et réponse de service. Cela signifie que vous n'avez pas besoin d'instrumenter votre code pour collecter des données de télémétrie, ni de configurer manuellement des tableaux de bord et des graphiques. Cloud Service Mesh importe automatiquement les métriques et les journaux dans Cloud Monitoring et Cloud Logging pour l'ensemble du trafic de votre cluster. Cette télémétrie détaillée permet aux opérateurs d'observer le comportement du service et leur permet de résoudre des problèmes, de gérer et d'optimiser leurs applications.
- Stratégie de sécurité : la vue de stratégie de sécurité vous fournit des recommandations avisées et exploitables pour améliorer la stratégie de sécurité de votre parc.
- Gestion de la configuration : la vue de configuration vous donne un aperçu rapide de l'état de configuration de tous les clusters du parc sur lesquels Config Sync est activé et vous permet d'ajouter rapidement cette fonctionnalité aux clusters non définis pour le moment. Vous pouvez suivre facilement les modifications de la configuration et voir quelle branche et quel tag de commit ont été appliqués à chaque cluster. Des filtres flexibles permettent d'afficher facilement l'état du déploiement de la configuration par cluster, branche ou tag.
- Gestion des règles : la vue de gestion des règles vous indique le nombre de clusters dans votre parc sur lesquels Policy Controller est activé. Elle offre un aperçu des cas de non-conformité et vous permet d'ajouter cette fonctionnalité aux clusters du parc.
Journalisation et surveillance
Pour obtenir des informations plus détaillées sur vos clusters et leurs charges de travail, vous pouvez utiliser Cloud Logging et Cloud Monitoring. Cloud Logging fournit un emplacement unifié pour stocker et analyser les données de journaux, tandis que Cloud Monitoring collecte et stocke automatiquement les données de performances, et fournit des outils de visualisation et d'analyse des données. La plupart des types de clusters GKE Enterprise envoient par défaut des informations de journalisation et de surveillance des composants système (telles que les charges de travail dans les espaces de noms kube-system
et gke-connect
) à Cloud Monitoring et Cloud Logging. Vous pouvez configurer plus en détail Cloud Monitoring et Cloud Logging pour obtenir des informations sur vos propres charges de travail d'application, créer des tableaux de bord incluant plusieurs types de métriques, créer des alertes, etc…
En fonction de vos besoins organisationnels et de vos projets, GKE Enterprise est également compatible avec d'autres outils d'observabilité, y compris les outils Open Source Prometheus et Grafana, ainsi que des outils tiers tels qu'Elastic et Splunk.
Pour en savoir plus :
- Cloud Logging
- Cloud Monitoring
- Journaux disponibles sur Google Cloud
- Métriques disponibles sur Google Cloud
- Métriques et journaux disponibles sur Google Distributed Cloud (sur site) :
- Journaux et métriques disponibles sur d'autres clouds publics :
- Journalisation et surveillance sur Azure
- Journalisation et surveillance sur AWS
- Journalisation et surveillance sur les clusters associés à AKS
- Journalisation et surveillance sur les clusters associés à EKS
Gestion du service
Dans Kubernetes, un service est un moyen abstrait d'exposer une application s'exécutant sur un ensemble de pods en tant que service réseau, avec une seule adresse DNS pour le trafic vers les charges de travail du service. Dans une architecture de microservices moderne, une seule application peut être composée de nombreux services, dont chacun peut avoir plusieurs versions déployées simultanément. Dans ce type d'architecture, la communication de service à service s'effectue sur le réseau. Les services doivent donc être capables de gérer les particularités du réseau et d'autres problèmes d'infrastructure sous-jacents.
Pour faciliter la gestion des services de votre parc, vous pouvez utiliser Cloud Service Mesh. Cloud Service Mesh est basé sur Istio, une implémentation Open Source de la couche d'infrastructure du maillage de services. Les maillages de services prennent en compte les préoccupations courantes liées à l'exécution d'un service, telles que la surveillance, la mise en réseau et la sécurité, à l'aide d'outils cohérents et puissants. Les développeurs et opérateurs de services peuvent ainsi se concentrer plus facilement sur la création et la gestion de leurs applications. Avec Cloud Service Mesh, ces fonctions sont extraites du conteneur principal de l'application et mises en œuvre dans un proxy commun hors processus fourni par un conteneur séparé dans le même pod. Ce modèle dissocie l'application ou la logique métier des fonctions réseau et permet aux développeurs de se concentrer sur les fonctionnalités dont l'entreprise a besoin. Les maillages de services permettent également aux équipes chargées des opérations et du développement de dissocier leur travail les unes des autres.
Cloud Service Mesh offre de nombreuses fonctionnalités en plus de toutes celles d'Istio :
- Les métriques et journaux de service pour l'intégralité du trafic dans le cluster GKE de votre maillage sont automatiquement ingérés dans Google Cloud.
- Les tableaux de bord générés automatiquement affichent une télémétrie détaillée dans le tableau de bord Cloud Service Mesh, qui vous permet d'explorer vos métriques et journaux, en filtrant et en segmentant vos données en fonction d'une grande variété d'attributs.
- Relations de service à service en bref : identifiez les utilisateurs qui se connectent à chaque service et les services dont ils dépendent.
- Sécuriser votre trafic interservices : l'autorité de certification Cloud Service Mesh (Mesh CA) permet de générer et de faire pivoter automatiquement les certificats afin que vous puissiez activer facilement l'authentification TLS mutuelle (mTLS) avec les règles Istio.
- Consultez rapidement la stratégie de sécurité de la communication concernant non seulement votre service, mais aussi ses relations avec d'autres services.
- Examinez plus en détail les métriques de service et combinez-les avec d'autres métriques Google Cloud à l'aide de Cloud Monitoring.
- Obtenez des informations claires et simples sur l'état de votre service grâce aux objectifs de niveau de service (SLO), qui vous permettent de définir et d'alerter facilement en fonction de vos propres normes d'état de service.
Cloud Service Mesh vous permet de choisir entre un plan de contrôle de maillage de services entièrement géré dans Google Cloud (pour les maillages exécutés sur des clusters membres de parc sur Google Cloud uniquement) ou un plan de contrôle au sein du cluster que vous installez vous-même. Pour en savoir plus sur les fonctionnalités disponibles pour chaque option, consultez la documentation de Cloud Service Mesh.
Pour en savoir plus :
Étape suivante
- Consultez nos guides de configuration pour découvrir comment configurer GKE Enterprise.
- Consultez la section Options de déploiement de GKE Enterprise pour en savoir plus sur les fonctionnalités d'entreprise disponibles pour la configuration choisie.
- Consultez les tarifs de GKE Enterprise pour en savoir plus sur les options tarifaires.