Présentation technique de GKE Enterprise (Anthos)

GKE Enterprise est la plate-forme de conteneurs axée sur le cloud de Google qui permet d'exécuter des applications modernes de manière cohérente et à grande échelle. Ce guide présente le fonctionnement de GKE Enterprise et la manière dont cet outil peut vous aider à fournir des applications gérables, évolutives et fiables.

Pourquoi utiliser GKE Enterprise ?

Généralement, lorsque les entreprises adoptent des technologies cloud natives telles que les conteneurs, l'orchestration de conteneurs et les maillages de services, elles atteignent un niveau où l'exécution d'un seul cluster ne suffit plus. Les organisations choisissent de déployer plusieurs clusters pour atteindre leurs objectifs techniques et commerciaux pour diverses raisons : par exemple, séparer la production des environnements hors production, des restrictions réglementaires différentes, ou séparer les services entre les niveaux, les régions ou les équipes. Cependant, l'utilisation de plusieurs clusters présente des difficultés et des frais généraux en termes de configuration, de sécurité et de gestion cohérentes. Par exemple, la configuration manuelle d'un cluster à la fois risque de subir des pannes, et il peut être difficile de savoir exactement où se produisent les erreurs.

Les choses peuvent devenir encore plus complexes (et coûteuses) lorsque les clusters ne sont pas tous réunis au même endroit. De nombreuses entreprises qui utilisent Google Cloud souhaitent ou doivent également exécuter des charges de travail dans leurs centres de données, leurs usines, leurs magasins et même dans d'autres clouds publics. Cependant, elles ne veulent pas créer elles-mêmes de nouvelles plates-formes de conteneurs dans tous ces emplacements, ni repenser la façon dont elles configurent, sécurisent, surveillent et optimisent les charges de travail des conteneurs en fonction de l'emplacement d'exécution, avec la possibilité d'environnements incohérents, des risques de sécurité et de mauvaise configuration, et des tâches laborieuses.

Exemple :

• Un établissement financier crée une plate-forme de banque numérique sur Google Cloud et a besoin de configurations cohérentes, d'une application stricte des règles de sécurité et d'une visibilité approfondie sur les modes de communication entre différentes applications. Une grande entreprise de commerce qui crée une plate-forme d'e-commerce moderne doit répondre aux mêmes exigences. Les deux entreprises gèrent plusieurs clusters dans plusieurs régions Google Cloud à l'aide de GKE.
• Un autre établissement financier mondial crée des applications complexes de gestion des risques, des applications de virements interbancaires et de nombreuses autres charges de travail sensibles. Certaines d'entre elles doivent rester protégées du pare-feu de l'entreprise et d'autres sont déployées sur GKE sur Google Cloud.
• Un grand distributeur pharmaceutique crée de nouvelles applications de planification des vaccins, de messages destinés aux clients et d'engagement numérique afin de moderniser ses activités pharmaceutiques et de proposer une expérience en magasin plus personnalisée. Ces applications nécessitent des plates-formes de conteneurs en magasin intégrées à des services hébergés par Google Cloud tels que BigQuery et Retail Search.
• Une entreprise du secteur du multimédia et du divertissement a besoin d'un environnement de conteneurs cohérent dans 30 bases, toutes connectées à Google Cloud et gérées depuis Google Cloud, pour recueillir et analyser des téraoctets de statistiques de jeu, et pour alimenter l'engagement des fans à la fois dans la salle de jeu et virtuellement.
• Une fabricant de matériel doit tester et optimiser la qualité des produits en usine et la sécurité des travailleurs en analysant les données avec une latence très faible afin de prendre des décisions en temps quasi réel, tout en consolidant les données dans Google Cloud pour une analyse à plus long terme.
• Une entreprise de logiciels et d'Internet qui propose une plate-forme d'intégration dans un modèle Software as a Service (SaaS) doit la proposer sur plusieurs grands clouds publics pour fonctionner là où ses clients ont besoin d'être à proximité de services cloud natifs. L'entreprise a besoin d'une méthode unifiée et cohérente pour provisionner, configurer, sécuriser et surveiller les environnements de conteneurs dans plusieurs clouds publics à partir d'un seul plan de gestion, afin d'éviter les coûts opérationnels liés à la gestion de chaque environnement cloud avec différents outils de gestion natifs.

GKE Enterprise peut aider toutes ces organisations en leur fournissant une plate-forme cohérente qui leur permet:

• Moderniser les applications et l'infrastructure sur place
• Créez un modèle d'exploitation cloud unifié (vue centralisée) pour créer, mettre à jour et optimiser vos clusters de conteneurs, où qu'ils se trouvent
• Faites évoluer des applications multicluster volumineuses en tant que parcs (regroupements logiques d'environnements similaires) avec une sécurité, une configuration et une gestion des services cohérentes.
• Appliquer une gouvernance et une sécurité cohérentes à partir d'un plan de contrôle unifié

Pour cela, cette entreprise s'appuie sur des outils et des fonctionnalités avisées qui les aident à régir, gérer et exploiter des charges de travail conteneurisées à l'échelle de l'entreprise. Elles peuvent ainsi adopter les bonnes pratiques et les principes que nous avons appris en exécutant des services chez Google.

Principes de base de GKE Enterprise

Les fonctionnalités de GKE Enterprise s'appuient sur le concept de parc: un regroupement logique de clusters Kubernetes qui peuvent être gérés ensemble. Un parc peut être entièrement constitué de clusters GKE sur Google Cloud, ou inclure des clusters extérieurs à Google Cloud s'exécutant sur site et sur d'autres clouds publics tels qu'AWS et Azure.

Une fois que vous avez créé un parc, vous pouvez utiliser les fonctionnalités compatibles avec le parc de GKE Enterprise pour ajouter de la valeur ajoutée et simplifier la collaboration avec plusieurs clusters et fournisseurs d'infrastructure:

• Les outils de gestion de la configuration et des règles vous aident à travailler plus facilement à grande échelle. Ils ajoutent et mettent à jour automatiquement la même configuration, les mêmes fonctionnalités et les mêmes règles de sécurité de manière cohérente dans l'ensemble de votre parc, où que vos clusters se trouvent.
• Les fonctionnalités de mise en réseau à l'échelle du parc vous aident à gérer le trafic sur l'ensemble de votre parc, y compris l'entrée multicluster pour les applications couvrant plusieurs clusters et les fonctionnalités de gestion du trafic du maillage de services.
• Les fonctionnalités de gestion des identités vous aident à configurer de manière cohérente l'authentification pour les charges de travail et les utilisateurs de votre parc.
• Les fonctionnalités d'observabilité vous permettent de surveiller et de dépanner les clusters et les applications de votre parc, y compris leur état, l'utilisation des ressources et la stratégie de sécurité.
• Les outils de gestion des équipes vous permettent de vous assurer que vos équipes ont accès aux ressources d'infrastructure dont elles ont besoin pour exécuter leurs charges de travail, et leur offrent une vue d'ensemble de leurs ressources et charges de travail.
• Pour les applications basées sur des microservices et exécutées dans votre parc, Anthos Service Mesh fournit des outils puissants pour la sécurité, la mise en réseau et l'observabilité des applications sur votre réseau maillé.

Vous pouvez permettre à l'ensemble de la plate-forme GKE Enterprise d'utiliser toutes les fonctionnalités disponibles, y compris les fonctionnalités multicloud et cloud hybride, ou créer un parc sur Google Cloud uniquement et payer pour des fonctionnalités d'entreprise supplémentaires selon vos besoins. GKE Enterprise utilise des technologies Open Source standards dans l'industrie et est compatible avec plusieurs fournisseurs d'infrastructure. Vous bénéficiez ainsi de la flexibilité nécessaire pour utiliser GKE Enterprise en fonction des besoins de votre entreprise et de votre organisation.

Fonctionnement des parcs

Grâce aux parcs, GKE Enterprise vous permet de regrouper et de normaliser des clusters Kubernetes de manière logique, ce qui facilite l'administration de l'infrastructure. L'adoption de parcs permet à votre organisation de passer de clusters individuels à des groupes de clusters, avec une vue unique de l'ensemble de votre parc dans la console Google Cloud. Cependant, les parcs ne sont pas que de simples groupes de clusters. Les principes d'uniformité et de confiance qui sous-tendent pour un parc vous permettent d'utiliser toutes les fonctionnalités de parc.

Le premier de ces principes concernant les parcs est l'uniformité. Cela signifie que, dans un parc de clusters, certains objets Kubernetes tels que les espaces de noms de différents clusters sont traités comme s'ils étaient identiques lorsqu'ils portaient le même nom. Cette normalisation facilite la gestion de plusieurs clusters à la fois et est utilisée par les fonctionnalités de parc GKE Enterprise. Par exemple, vous pouvez appliquer une règle de sécurité avec Policy Controller à tous les services de parc dans l'espace de noms foo, quels que soient les clusters dans lesquels ils se trouvent ou leur emplacement.

Les parcs supposent également l'uniformité des services (tous les services d'un espace de noms portant le même nom peuvent être traités comme le même service, par exemple pour gérer le trafic) et l'uniformité des identités (les services et les charges de travail d'un parc peuvent utiliser une identité commune pour l'authentification et l'autorisation). Le principe d'uniformité du parc fournit également des conseils importants sur la configuration des espaces de noms, des services et des identités, conformément à ce que de nombreuses organisations et Google implémentent déjà comme des bonnes pratiques.

Un autre principe clé est la confiance : l'uniformité des services, de l'identité de la charge de travail et de l'identité du maillage repose sur un principe de confiance élevée entre les membres d'un parc. Cette confiance permet d'améliorer la gestion des ressources du parc au lieu de gérer cluster par cluster, ce qui réduit l'importance des limites des clusters.

La façon dont vous organisez vos parcs dépend de vos besoins organisationnels et techniques. Chaque parc est associé à un projet Google Cloud spécifique, appelé projet hôte de parc, que vous utilisez pour gérer et afficher votre parc, mais qui peut inclure des clusters d'autres projets. Vous pouvez, par exemple, disposer de parcs distincts pour vos environnements de production, de test et de développement, ou des parcs distincts pour différents secteurs d'activité (différentes équipes en tant que locataires de votre infrastructure peuvent être gérées dans des parcs à l'aide de champs d'application). Les clusters qui comportent de grandes quantités de communications entre les services ont le plus intérêt à être gérés ensemble dans un parc. Les clusters du même environnement (par exemple, votre environnement de production) doivent appartenir au même parc. Nous recommandons généralement d'utiliser la plus grande taille de parc qui permette la confiance et l'uniformité entre les services. Gardez toutefois à l'esprit qu'Anthos Service Mesh, si vous choisissez de l'utiliser, vous permet d'activer un contrôle des accès aux services plus précis au sein de votre parc.

---

En savoir plus:

• Cas d'utilisation multicluster
• Concepts liés au parc
• Exemples de parc

---

Des clusters Kubernetes omniprésents

Kubernetes est au cœur de GKE Enterprise. Vous pouvez choisir parmi différentes options de clusters Kubernetes lorsque vous créez votre parc:

• Google Kubernetes Engine (GKE) est l'implémentation Kubernetes gérée de Google. Les options suivantes sont disponibles pour les utilisateurs de GKE Enterprise :
  • Sur Google Cloud, GKE dispose d'un plan de contrôle hébergé dans le cloud et de clusters constitués d'instances Compute Engine. Bien que GKE sur Google Cloud, à lui seul, vous aide à déployer, faire évoluer et gérer automatiquement Kubernetes, le regroupement de clusters GKE dans un parc vous permet de travailler plus facilement à grande échelle et d'utiliser les fonctionnalités de GKE Enterprise en plus des puissantes fonctionnalités de gestion des clusters déjà proposées par GKE.
  • En dehors de Google Cloud, GKE est étendu pour être utilisé avec d'autres fournisseurs d'infrastructure, comme Azure et AWS, ainsi qu'avec votre propre matériel sur site (sur VMware ou sur une solution Bare Metal). Avec ces options, le plan de contrôle Kubernetes fourni par Google s'exécute dans votre centre de données ou votre fournisseur de services cloud avec vos nœuds de cluster. Vos clusters sont connectés au projet hôte de votre parc dans Google Cloud.
• Google Distributed Cloud Edge vous permet également d'ajouter des clusters GKE sur site à votre parc. Ils s'exécutent cette fois sur du matériel fourni et entretenu par Google, et sont compatibles avec un sous-ensemble de fonctionnalités GKE Enterprise.
• Les clusters GKE ne sont pas votre seule option. GKE Enterprise offre également la possibilité d'enregistrer des clusters Kubernetes tiers conformes dans votre parc, tels que les clusters EKS et AKS, appelés clusters associés. Avec cette option, vous pouvez continuer à exécuter des charges de travail existantes là où elles se trouvent tout en ajoutant de la valeur avec un sous-ensemble de fonctionnalités de GKE Enterprise. GKE Enterprise ne gère pas le plan de contrôle ni les composants de nœuds Kubernetes, mais uniquement les services GKE Enterprise qui s'exécutent sur ces clusters.

Pour tous les clusters basés sur GKE, y compris les clouds sur site et publics, GKE Enterprise fournit des outils de gestion des clusters et leur cycle de vie (création, mise à jour, suppression et mise à niveau), y compris des utilitaires de ligne de commande et, pour certains types de clusters, une gestion à partir de la console Google Cloud.

Configuration du cluster

Où que se trouvent vos clusters, Config Sync vous permet de gérer de manière cohérente la configuration des clusters sur l'ensemble de votre parc, y compris les clusters associés. Config Sync utilise l'approche de la "configuration sous forme de données": l'état souhaité de votre environnement est défini de manière déclarative, maintenu en tant que source d'informations unique sous contrôle des versions et appliqué directement avec des résultats reproductibles. Config Sync surveille un dépôt Git central contenant votre configuration et applique automatiquement toutes les modifications aux clusters cibles spécifiés, quel que soit l'endroit où elles sont en cours d'exécution. Tout code YAML ou JSON pouvant être appliqué avec des commandes kubectl peut être géré avec Config Sync et appliqué à n'importe quel cluster Kubernetes.

Migration et VM

Pour les entreprises qui souhaitent migrer leurs applications vers des conteneurs et Kubernetes dans le cadre de leur processus de modernisation, GKE Enterprise inclut Migrate to Containers, ainsi que les outils permettant de convertir les charges de travail basées sur des VM en conteneurs s'exécutant sur GKE. Sur les plates-formes GKE Enterprise Bare Metal (GKE sur Bare Metal et Cloud Edge distribué), les organisations peuvent également utiliser l'environnement d'exécution des VM sur Google Distributed Cloud pour exécuter des VM sur Kubernetes de la même manière qu'elles exécutent des conteneurs. Elles peuvent ainsi continuer à utiliser les charges de travail existantes basées sur des VM, tout en développant et en exécutant de nouvelles applications basées sur des conteneurs. Une fois prêts, ils pourront migrer ces charges de travail basées sur des VM vers des conteneurs et continuer à utiliser les mêmes outils de gestion GKE Enterprise.

---

En savoir plus:

• GKE
• Clusters GKE
• Clusters associés
• Cloud Edge distribué
• Config Sync

---

Fonctionnalités de GKE Enterprise

Le reste de ce guide présente les fonctionnalités fournies par GKE Enterprise pour vous aider à gérer vos parcs et les applications exécutées dans ceux-ci. Vous pouvez consulter la liste complète des fonctionnalités disponibles pour chaque type de cluster Kubernetes compatible dans Options de déploiement de GKE Enterprise.

Mise en réseau, authentification et sécurité

Une fois que vous avez créé votre parc, GKE Enterprise vous aide à gérer le trafic, l'authentification et le contrôle des accès, ainsi qu'à appliquer systématiquement les règles de sécurité et de conformité à l'ensemble de votre parc.

Se connecter à votre parc

Pour gérer la connexion à Google dans les parcs hybrides et multicloud, Google fournit un déploiement Kubernetes appelé Connect Agent. Une fois installé dans un cluster lors de l'enregistrement du parc, l'agent établit une connexion entre votre cluster en dehors de Google Cloud et le projet hôte de son parc Google Cloud. Vous pouvez ainsi gérer vos clusters et charges de travail Google, et utiliser les services Google.

Dans les environnements sur site, la connectivité à Google peut utiliser l'Internet public, un VPN haute disponibilité, une interconnexion publique ou une interconnexion dédiée, en fonction des exigences de latence, de sécurité et de bande passante de vos applications lors de leurs interactions avec Google Cloud.

---

En savoir plus:

• Agent Connect
• Associer des fonctionnalités de sécurité
• Se connecter à Google pour les clusters sur site

---

Équilibrage de charge

Pour gérer le trafic vers et au sein de votre parc, GKE Enterprise fournit les solutions d'équilibrage de charge suivantes:

• Les clusters GKE sur Google Cloud peuvent utiliser les options suivantes :
  • Par défaut, GKE utilise des équilibreurs de charge réseau passthrough externes pour la couche 4 et des équilibreurs de charge d'application externes pour la couche 7. Il s'agit de services gérés qui ne nécessitent aucune configuration supplémentaire ni provisionnement de votre part.
  • Entrée multicluster vous permet de déployer un équilibreur de charge qui diffuse une application sur plusieurs clusters de parc.
• Avec les clusters GKE sur site, vous avez le choix entre différents modes d'équilibrage de charge adaptés à vos besoins, y compris un équilibreur de charge MetalLB groupé et la possibilité de configurer manuellement l'équilibrage de charge pour utiliser vos solutions existantes.
• Cloud Edge distribué inclut l'équilibrage de charge MetalLB groupé
• Les clusters GKE sur d'autres clouds publics utilisent des équilibreurs de charge natifs de plate-forme

---

En savoir plus:

• Entrée multicluster
• Équilibrage de charge pour :
  • GKE sur VMware
  • GKE sur solution Bare Metal
  • Cloud Edge distribué
  • GKE sur AWS
  • GKE sur Azure

---

Authentification et contrôle des accès

La gestion de l'authentification et de l'autorisation représente un défi important lorsque vous travaillez avec plusieurs clusters appartenant à plusieurs fournisseurs d'infrastructure. Pour l'authentification auprès des clusters de votre parc, GKE Enterprise vous propose des options d'authentification cohérente, simple et sécurisée lorsque vous interagissez avec vos clusters depuis la ligne de commande avec kubectl et la console Google Cloud.

• Utiliser l'identité Google:Connect Gateway permet aux utilisateurs et aux comptes de service de s'authentifier auprès des clusters de votre parc avec leur ID Google, quel que soit l'endroit où se trouvent les clusters. Vous pouvez utiliser cette fonctionnalité pour vous connecter directement aux clusters, ou l'exploiter avec des pipelines de compilation et d'autres systèmes d'automatisation DevOps.
• Utiliser une identité tierce:le service GKE Identity Service de GKE Enterprise vous permet de configurer l'authentification avec des fournisseurs d'identité tiers, ce qui permet à vos équipes de continuer à utiliser les noms d'utilisateur, mots de passe et groupes de sécurité existants de fournisseurs OIDC (et LDAP s'ils sont compatibles) tels que Microsoft AD FS et Okta sur l'ensemble de votre parc.

Vous pouvez configurer autant de fournisseurs d'identité compatibles que vous le souhaitez pour un cluster.

Une fois l'authentification configurée, vous pouvez utiliser le contrôle des accès basé sur les rôles Kubernetes (RBAC) standard pour autoriser les utilisateurs authentifiés à interagir avec vos clusters, ainsi que Identity and Access Management pour contrôler l'accès aux services Google tels que Connect Gateway.

Pour les charges de travail exécutées sur vos clusters, GKE Enterprise fournit une identité de charge de travail à l'échelle du parc. Cette fonctionnalité permet aux charges de travail sur les clusters membres du parc d'utiliser les identités d'un pool d'identités de charge de travail au niveau du parc lors de l'authentification auprès de services externes tels que les APIs Cloud. Il est ainsi plus simple de configurer l'accès d'une application à ces services que de devoir configurer l'accès cluster par cluster. Par exemple, si vous avez une application avec un backend déployé sur plusieurs clusters du même parc et qu'elle doit s'authentifier auprès d'une API Google, vous pouvez configurer votre application de sorte que tous les services de l'espace de noms "backend" puissent utiliser cette API.

---

En savoir plus:

• S'authentifier avec l'identité Google
• S'authentifier avec une identité tierce
• Utiliser des clusters depuis Google Cloud Console
• Utiliser des clusters à partir de la ligne de commande
• Utiliser la fédération d'identité de charge de travail du parc

---

Gestion des règles

Autre défi à relever lorsque vous travaillez avec plusieurs clusters : appliquer des règles cohérentes concernant la sécurité et la conformité réglementaire pour l'ensemble de votre parc. De nombreuses organisations ont des exigences strictes en termes de sécurité et de conformité, telles que celles qui protègent les informations des consommateurs dans les applications de services financiers. Elles doivent être en mesure de les respecter à grande échelle.

Pour vous aider dans cette tâche, Policy Controller applique une logique métier personnalisée à chaque requête API Kubernetes envoyée aux clusters concernés. Ces règles servent de "garde-fous" et empêchent toute modification de la configuration de l'API Kubernetes d'enfreindre les contrôles de sécurité, opérationnels ou de conformité. Vous pouvez définir des règles pour bloquer activement les requêtes API non conformes dans votre parc, ou simplement pour auditer la configuration de vos clusters et signaler les cas de non-conformité. Vous pouvez facilement exprimer des règles courantes de sécurité et de conformité à l'aide de l'ensemble de règles intégré de Policy Controller. Vous pouvez également écrire vos propres règles à l'aide d'un langage de règles extensible, basé sur le projet Open Source Open Policy Agent.

---

En savoir plus:

• Policy Controller

---

Sécurité au niveau des applications

Pour les applications exécutées dans votre parc, GKE Enterprise fournit des fonctionnalités de défense en profondeur pour le contrôle des accès et l'authentification, par exemple:

• L'autorisation binaire, qui vous permet de vous assurer que seules des images de confiance sont déployées sur les clusters de votre parc.
• La règle de réseau Kubernetes, qui vous permet de spécifier les pods autorisés à communiquer entre eux et avec d'autres points de terminaison du réseau.
• Le contrôle des accès aux services Anthos Service Mesh, qui vous permet de configurer un contrôle d'accès précis pour vos services de maillage en fonction des comptes de service et des contextes de requête.
• L'autorité de certification Anthos Service Mesh (Mesh CA) génère et alterne automatiquement les certificats afin que vous puissiez activer facilement l'authentification TLS mutuelle (mTLS) entre vos services.

---

Observabilité

Pour exploiter et gérer des clusters à grande échelle, il est essentiel de pouvoir surveiller facilement les clusters et les applications de votre parc, y compris leur état, leur utilisation des ressources et leur stratégie de sécurité.

GKE Enterprise dans la console Google Cloud

La console Google Cloud est l'interface Web de Google Cloud qui vous permet de gérer vos projets et vos ressources. GKE Enterprise offre des fonctionnalités d'entreprise et une vue structurée de l'ensemble de votre parc sur les pages de la console Google Cloud de GKE. L'interface intégrée de GKE vous aide à gérer vos applications et vos ressources de façon centralisée. Les pages du tableau de bord vous permettent d'afficher des informations détaillées et d'accéder à des informations détaillées afin d'identifier les problèmes.

• Présentation:la vue d'ensemble présente l'utilisation des ressources de votre parc en fonction des informations fournies via Cloud Monitoring. Elle indique l'utilisation du processeur, de la mémoire et du disque agrégée par parc et par cluster, ainsi que la couverture de Policy Controller et de Config Sync à l'échelle du parc.
• Gestion des clusters:la vue des clusters GKE Enterprise fournit une console sécurisée permettant d'afficher l'état de tous les clusters de votre projet et de votre parc, y compris l'état des clusters, d'enregistrer des clusters dans votre parc et de créer des clusters pour votre parc (Google Cloud uniquement). Pour obtenir des informations sur des clusters spécifiques, vous pouvez afficher le détail de cette vue ou consulter d'autres tableaux de bord GKE pour obtenir plus de détails sur vos charges de travail et nœuds de cluster.
• Vue d'ensemble de l'équipe:si vous avez configuré des équipes pour votre parc, la présentation des équipes fournit des informations sur l'utilisation des ressources, les taux d'erreur et d'autres métriques agrégées par équipe. Les administrateurs et les membres de l'équipe peuvent ainsi consulter et corriger plus facilement les erreurs.
• Gestion des fonctionnalités:la vue "Gestion des caractéristiques" vous permet d'afficher l'état des fonctionnalités GKE Enterprise pour vos clusters de parc.
• Service Mesh:si vous utilisez Anthos Service Mesh sur Google Cloud, la vue Service Mesh permet d'observer l'état et les performances de vos services. Anthos Service Mesh collecte et agrège des données sur chaque requête et réponse de service. Vous n'avez donc pas besoin d'instrumenter votre code pour collecter des données de télémétrie ni de configurer manuellement des tableaux de bord et des graphiques. Anthos Service Mesh importe automatiquement les métriques et les journaux dans Cloud Monitoring et Cloud Logging pour l'ensemble du trafic de votre cluster. Cette télémétrie détaillée permet aux opérateurs d'observer le comportement des services, et leur permet de dépanner, de gérer et d'optimiser leurs applications.
• Stratégie de sécurité: la vue "Stratégie de sécurité" affiche des recommandations avisées et exploitables pour améliorer la stratégie de sécurité de votre parc.
• Gestion de la configuration:la vue "Configuration" vous offre un aperçu de l'état de configuration de tous les clusters de votre parc sur lesquels Config Sync est activé. Elle vous permet d'ajouter rapidement la fonctionnalité aux clusters qui n'ont pas encore été configurés. Vous pouvez facilement suivre les modifications de configuration, et voir quelle branche et quel tag de commit ont été appliqués à chaque cluster. Les filtres flexibles permettent d'afficher facilement l'état du déploiement de la configuration par cluster, branche ou tag.
• Gestion des règles:la vue "Règles" vous indique le nombre de clusters dans votre parc sur lesquels Policy Controller est activé, offre un aperçu des cas de non-conformité et vous permet d'ajouter la fonctionnalité à vos clusters de parc.

Journalisation et surveillance

Pour obtenir des informations plus détaillées sur vos clusters et leurs charges de travail, vous pouvez utiliser Cloud Logging et Cloud Monitoring. Cloud Logging offre un espace unifié pour stocker et analyser les données des journaux, tandis que Cloud Monitoring collecte et stocke automatiquement les données de performances, et fournit des outils de visualisation et d'analyse des données. La plupart des types de clusters GKE Enterprise envoient par défaut des informations de journalisation et de surveillance pour les composants système (tels que les charges de travail dans les espaces de noms kube-system et gke-connect) à Cloud Monitoring et Cloud Logging. Vous pouvez configurer Cloud Monitoring et Cloud Logging pour obtenir des informations sur les charges de travail de vos propres applications, créer des tableaux de bord incluant plusieurs types de métriques, créer des alertes, etc.

En fonction des besoins de votre organisation et de votre projet, GKE Enterprise peut également s'intégrer à d'autres outils d'observabilité, comme Prometheus et Grafana Open Source, ainsi qu'à des outils tiers comme Elastic et Splunk.

---

En savoir plus:

• Cloud Logging
• Cloud Monitoring
• Journaux et métriques disponibles sur Google Cloud
• Journaux et métriques disponibles sur Google Distributed Cloud Virtual (sur site) :
  • Sur VMware
  • Sur une solution Bare Metal
• Journaux et métriques disponibles sur d'autres clouds publics :
  • Journalisation et monitoring sur Azure
  • Journalisation et monitoring sur AWS
  • Journalisation et monitoring sur les clusters associés à AKS
  • Journalisation et monitoring sur les clusters associés à EKS

---

Gestion du service

Dans Kubernetes, un service est un moyen abstrait d'exposer une application s'exécutant sur un ensemble de pods en tant que service réseau, avec une seule adresse DNS pour le trafic vers les charges de travail du service. Dans une architecture de microservices moderne, une seule application peut être composée de nombreux services, et chaque service peut avoir plusieurs versions déployées simultanément. Dans ce type d'architecture, la communication de service à service s'effectue sur le réseau. Les services doivent donc pouvoir gérer les caractéristiques du réseau et autres problèmes d'infrastructure sous-jacente.

Pour faciliter la gestion des services de votre parc, vous pouvez utiliser Anthos Service Mesh. Anthos Service Mesh est basé sur Istio, qui est une implémentation Open Source d'une couche d'infrastructure de maillage de services. Les maillages de services prennent en compte les préoccupations courantes liées à l'exécution d'un service, telles que la surveillance, la mise en réseau et la sécurité, à l'aide d'outils cohérents et puissants. Les développeurs et opérateurs de services peuvent ainsi se concentrer plus facilement sur la création et la gestion de leurs applications. Avec Anthos Service Mesh, ces fonctions sont extraites du conteneur principal de l'application et implémentées dans un proxy commun hors processus fourni sous la forme d'un conteneur distinct dans le même pod. Ce modèle dissocie la logique d'application ou métier des fonctions réseau, et permet aux développeurs de se concentrer sur les fonctionnalités dont l'entreprise a besoin. Les maillages de services permettent également aux équipes chargées des opérations et du développement de dissocier leur travail les uns des autres.

Anthos Service Mesh fournit de nombreuses fonctionnalités en plus de toutes les fonctionnalités d'Istio:

• Les métriques de service et les journaux de tout le trafic au sein du cluster de votre maillage sont automatiquement ingérés dans Google Cloud.
• Les tableaux de bord générés automatiquement affichent des données de télémétrie détaillées dans le tableau de bord Anthos Service Mesh. Vous pouvez ainsi explorer en détail vos métriques et vos journaux, en filtrant et en segmentant vos données en fonction d'une grande variété d'attributs.
• Les relations entre les services, en un coup d'œil, vous permettent de comprendre ce qui se connecte à chaque service et les services dont ils dépendent.
• Sécurisez votre trafic interservices: l'autorité de certification Anthos Service Mesh (Mesh CA) génère et alterne automatiquement les certificats pour vous permettre d'activer facilement l'authentification TLS mutuelle (mTLS) avec les règles Istio.
• Visualisez rapidement la stratégie de sécurité des communications de votre service, mais aussi ses relations avec d'autres services.
• Approfondissez vos connaissances sur les métriques de vos services et combinez-les avec d'autres métriques Google Cloud à l'aide de Cloud Monitoring.
• Obtenez des insights clairs et simples sur l'état de votre service grâce aux objectifs de niveau de service (SLO, Service Level Objectives), qui vous permettent de définir facilement vos propres normes d'état du service et d'envoyer des alertes le concernant.

Anthos Service Mesh vous permet de choisir entre un plan de contrôle de maillage de services entièrement géré dans Google Cloud (pour les maillages exécutés sur les clusters membres du parc sur Google Cloud uniquement) ou un plan de contrôle de cluster que vous installez vous-même. Pour en savoir plus sur les fonctionnalités disponibles pour chaque option, consultez la documentation Anthos Service Mesh.

---

En savoir plus:

• Anthos Service Mesh

---

Étape suivante

• Consultez nos guides de configuration pour apprendre à configurer GKE Enterprise.
• Consultez la section Options de déploiement de GKE Enterprise pour en savoir plus sur les fonctionnalités d'entreprise disponibles pour la configuration choisie.
• Consultez les tarifs de GKE Enterprise pour en savoir plus sur les options tarifaires.