Gérer les fonctionnalités au niveau du parc

Les parcs vous permettent de gérer simultanément les fonctionnalités d'entreprise et d'autres fonctionnalités des parcs sur plusieurs clusters. Vous pouvez ainsi, par exemple, appliquer un ensemble commun de règles ou créer un maillage de services unique sur l'ensemble de votre parc de clusters. Cette page offre un aperçu de la façon dont vous pouvez gérer les fonctionnalités de votre parc. Pour plus d'informations sur la configuration et l'utilisation des fonctionnalités individuelles, consultez la documentation correspondante.

Si vous avez activé l'édition Google Kubernetes Engine (GKE) Enterprise, vous pouvez gérer les fonctionnalités dans la console Google Cloud. Tous les utilisateurs du parc peuvent gérer les fonctionnalités à l'aide de la ligne de commande.

Certaines fonctionnalités vous permettent de créer une configuration de fonctionnalités par défaut au niveau du parc pour vos clusters de parc. Par exemple, vous pouvez vous assurer que Policy Controller est installé et configuré pour chaque cluster que vous créez dans votre parc. La configuration par défaut au niveau du parc n'est disponible que pour les utilisateurs qui ont activé GKE Enterprise.

Pour en savoir plus sur le fonctionnement de la gestion des fonctionnalités au niveau du parc sur vos clusters, consultez la page Autorisation des fonctionnalités.

Fonctionnalités au niveau du parc

Vous pouvez gérer les fonctionnalités suivantes au niveau du parc :

Cette liste n'inclut pas toutes les fonctionnalités qui utilisent ou nécessitent des parcs. Par exemple, la fédération d'identité de charge de travail de parc repose sur des clusters membres d'un parc, mais ne nécessite pas de configuration au niveau du parc. Anthos Service Mesh nécessite l'appartenance à un parc pour tous les plans de contrôle et les options de configuration.

Si vous avez activé GKE Enterprise, vous pouvez utiliser toutes ces fonctionnalités sans frais supplémentaires. Si vous utilisez le niveau GKE Standard, vous pouvez payer et utiliser un sous-ensemble de ces fonctionnalités séparément. Pour en savoir plus sur les fonctionnalités disponibles dans les environnements, consultez la page Options de déploiement.

Configurer des fonctionnalités au niveau du parc

Les sections suivantes expliquent comment activer et configurer les fonctionnalités au niveau du parc.

Pour utiliser une fonctionnalité au niveau du parc, vous devez dans la plupart des cas l'activer pour votre parc et la configurer pour vos membres. Une configuration (ou une autre configuration supplémentaire) est généralement nécessaire pour utiliser cette fonctionnalité avec vos clusters et vos charges de travail.

Si vous avez activé GKE Enterprise, vous pouvez créer des configurations de cluster par défaut du parc pour certaines fonctionnalités, ce qui signifie que tous les clusters que vous créez dans votre parc seront créés avec les paramètres spécifiés pour cette fonctionnalité déjà configurés. Pour les autres fonctionnalités, ou si vous n'utilisez pas le niveau Entreprise, vous devez configurer la fonctionnalité sur chaque cluster.

Activer les fonctionnalités avec les valeurs par défaut au niveau du parc

Avec GKE Enterprise, vous pouvez créer des paramètres par défaut au niveau du parc pour vos clusters GKE pour certaines fonctionnalités. Une fois ces paramètres créés, tout cluster GKE que vous enregistrez lors de la création du cluster est automatiquement configuré avec vos configurations au niveau du parc. Ainsi, si vous définissez des valeurs par défaut pour Policy Controller, la version spécifiée de Policy Controller sera installée pour chaque nouveau cluster que vous créez dans votre parc, ainsi que les groupes de règles spécifiés et d'autres paramètres. Les paramètres par défaut du parc ne sont pas automatiquement appliqués aux clusters membres existants du parc, mais vous pouvez synchroniser les clusters existants avec vos paramètres par défaut à l'aide de la console Google Cloud.

Le processus général d'activation des fonctionnalités avec les valeurs par défaut au niveau du parc est le suivant:

Console

  1. Dans votre projet hôte de parc, accédez à la page Gestionnaire de fonctionnalités:

    Accéder au gestionnaire de fonctionnalités

    Les fonctionnalités qui permettent de configurer des valeurs par défaut au niveau du parc à l'aide de la console Google Cloud sont répertoriées sous Gestion des fonctionnalités au niveau du parc.

  2. Pour la fonctionnalité choisie, cliquez sur Configurer et suivez les instructions pour activer et configurer les paramètres par défaut de la fonctionnalité.

  3. Facultatif: Sélectionnez et synchronisez les clusters existants de votre parc avec vos nouveaux paramètres.

gcloud

  1. Créez un fichier YAML spécifiant les valeurs par défaut du parc que vous avez choisies pour la fonctionnalité.
  2. Exécutez la commande enable pour la fonctionnalité en lui transmettant votre fichier de configuration. Chaque fonctionnalité au niveau du parc possède sa propre commande enable. Par exemple, pour activer Anthos Service Mesh pour votre parc avec la configuration par défaut spécifiée dans mesh.yaml, exécutez la commande suivante dans votre projet hôte de parc:

    gcloud container fleet mesh enable --fleet-default-member-config mesh.yaml
    

Pour certaines fonctionnalités, vous pouvez également spécifier les valeurs par défaut du parc à l'aide des paramètres de la commande fleet create ou fleet update. Pour en savoir plus, consultez le guide de la fonctionnalité choisie.

Terraform

Définissez une ressource google_gke_hub_feature avec un bloc fleet_default_member_config qui spécifie les valeurs par défaut du parc que vous avez choisies. Pour en savoir plus et connaître les fonctionnalités de parc compatibles, consultez la documentation Terraform.

Certaines fonctionnalités ne sont pas compatibles avec la configuration par défaut du parc utilisant toutes ces options. Pour obtenir des instructions détaillées sur la configuration par défaut du parc pour chaque fonctionnalité compatible, consultez la documentation suivante:

Activer et configurer des fonctionnalités de parc sur des clusters individuels

Au lieu de la configuration par défaut du parc, vous pouvez choisir de configurer les fonctionnalités du parc séparément sur des clusters individuels. Cette option est judicieuse dans les cas suivants:

  • GKE Enterprise n'est pas activé.
  • Vous souhaitez configurer un cluster existant pour utiliser une fonctionnalité.
  • Vous souhaitez utiliser des services où la configuration par défaut du parc n'est pas disponible, ou pas disponible avec l'outil de votre choix.

Activer les fonctionnalités

Notez que cette étape n'est pas obligatoire pour toutes les fonctionnalités. Pour en savoir plus, consultez le guide de la fonctionnalité choisie.

Console

Si vous avez activé GKE Enterprise, vous pouvez activer des fonctionnalités à partir de la page Gestionnaire de fonctionnalités de la console Google Cloud.

Pour activer une fonctionnalité pour votre parc, procédez comme suit :

  1. Dans votre projet hôte de parc, accédez à la page Gestionnaire de fonctionnalités:

    Accéder au gestionnaire de fonctionnalités

    Les fonctionnalités qui peuvent être activées, mais pas configurées sur cette page, sont répertoriées sous Gérer d'autres fonctionnalités adaptées aux entreprises.

  2. Cliquez sur Activer sur la ligne de la fonctionnalité que vous souhaitez activer.

  3. Cliquez sur le bouton Activer dans le panneau de détails qui s'affiche.

gcloud

Chaque fonctionnalité au niveau du parc possède sa propre commande enable. Par exemple, pour activer GKE Identity Service pour votre parc, exécutez la commande suivante dans votre projet hôte de parc:

gcloud container fleet identity-service enable

Pour plus de détails, consultez la documentation de référence de Google Cloud SDK (et ses équivalents bêta et alpha) pour obtenir la liste complète des commandes ou les ensembles de documentation sur les fonctionnalités individuelles.

Pour savoir comment vérifier si une fonctionnalité a déjà été activée et afficher l'état d'autres fonctionnalités, consultez la section Afficher l'état des fonctionnalités du parc.

Configurer des clusters individuels

Les étapes de configuration que vous allez suivre dépendent de la fonctionnalité. Consultez les guides suivants pour plus d'informations:

Afficher l'état des fonctionnalités du parc

Si vous avez activé GKE Enterprise, le moyen le plus simple d'afficher l'état des fonctionnalités du parc consiste à utiliser le tableau de bord Gestionnaire de fonctionnalités dans la console Google Cloud.

Accéder au gestionnaire de fonctionnalités

Pour les fonctionnalités compatibles, cette page affiche le nombre de clusters de parc présentant l'état suivant:

  • Ont cette fonctionnalité activée
  • Ont cette fonctionnalité activée avec succès
  • Ont un avertissement pour cette fonctionnalité
  • Ont une erreur pour cette fonctionnalité

Vous pouvez également voir si des paramètres par défaut du parc ont été configurés pour la fonctionnalité et combien de clusters membres du parc disposent de ces paramètres. Pour les fonctionnalités activées, vous pouvez accéder à une page d'informations qui répertorie les clusters utilisant la fonctionnalité et, si elle est configurée, vous permet de sélectionner et de synchroniser les clusters avec les paramètres par défaut de votre parc.

Pour les fonctionnalités qui ne peuvent pas être configurées à l'aide de cette page (répertoriées dans la section Gérer d'autres fonctionnalités adaptées aux entreprises), vous pouvez voir si la fonctionnalité a été activée pour votre parc et afficher un panneau de détails qui montre combien de clusters ont la fonctionnalité installée et d'autres informations pertinentes.

Afficher l'état des fonctionnalités à l'aide de gcloud

gcloud

Exécutez la commande suivante pour répertorier toutes les fonctionnalités actuellement activées :

gcloud container fleet features list

Désactiver une fonctionnalité au niveau du parc

Pour désactiver une fonctionnalité au niveau du parc, procédez comme suit dans le projet hôte associé au parc :

Console

Seules les fonctionnalités du parc répertoriées sous Gérer d'autres fonctionnalités adaptées aux entreprises peuvent être désactivées à partir de la console Google Cloud.

  1. Dans votre projet hôte de parc, accédez à la page Gestionnaire de fonctionnalités:

    Accéder au gestionnaire de fonctionnalités

  2. Cliquez sur Détails sur la ligne de la fonctionnalité que vous souhaitez désactiver.

  3. Cliquez sur le bouton Désactiver dans le panneau de détails qui s'affiche.

gcloud

Chaque fonctionnalité au niveau du parc possède sa propre commande disable. Par exemple, pour désactiver Anthos Service Mesh pour votre parc, exécutez la commande suivante dans le projet hôte du parc :

gcloud container fleet mesh disable

Pour plus de détails, consultez la documentation de référence de Google Cloud SDK (et ses équivalents bêta et alpha) pour obtenir la liste complète des commandes ou les ensembles de documentation sur les fonctionnalités individuelles.

Pour connaître le comportement attendu après la désactivation d'une fonctionnalité pour votre parc, consultez la documentation sur les fonctionnalités correspondantes. Dans de nombreux cas, la configuration appropriée existe toujours sur votre cluster, mais vous ne pouvez plus gérer cette fonctionnalité de manière centralisée à l'aide des commandes de parc ni de la console Google Cloud.

Autorisation des fonctionnalités

Pour gérer les fonctionnalités au niveau du parc, vous devez leur attribuer des autorisations via un contrôle des accès basé sur les rôles afin qu'elles exécutent leurs fonctions sur les clusters. Google Cloud utilise un service nommé "Outil d'autorisation de fonctionnalités" qui définit et met automatiquement à jour les autorisations pour les fonctionnalités activées au niveau du parc. Vous évitez ainsi d'avoir à définir manuellement les autorisations pour chaque cluster, en particulier lorsque Google publie des mises à jour de fonctionnalités.

Lorsque vous enregistrez un cluster, le fichier manifeste appliqué au cluster contient un ClusterRoleBinding qui donne à l'approbateur de fonctionnalités le rôle cluster-admin sur le cluster, et ce rôle est associé à un compte de service nommé service-project-number@gcp-sa-gkehub.iam.gserviceaccount.com.

Lorsque vous désactivez une fonctionnalité activée par le parc dans votre projet, l'outil de validation des fonctionnalités supprime les rôles ClusterRole et ClusterRoleBinding correspondants à la fonctionnalité, ce qui empêche la fonctionnalité d'opérer sur le cluster.

Afficher l'outil d'autorisation des fonctionnalités dans les journaux d'audit

Pour afficher l'activité de l'outil d'autorisation des fonctionnalités dans les journaux d'audit GKE, procédez comme suit:

  1. Ouvrez l'explorateur de journaux dans la console Google Cloud.

    Accéder à la page Journaux

  2. Exécutez la requête avancée suivante:

    resource.type="k8s_cluster"
    resource.labels.cluster_name="CLUSTER_NAME"
    resource.labels.location="CLUSTER_LOCATION"
    protoPayload.authenticationInfo.principalEmail="system:serviceaccount:gke-connect:connect-agent-sa"
    protoPayload.authenticationInfo.authoritySelector="service-PROJECT_NUMBER@gcp-sa-gkehub.iam.gserviceaccount.com"
    

    Remplacez les éléments suivants :

    • CLUSTER_NAME: nom du cluster pour lequel vous souhaitez afficher les journaux.
    • CLUSTER_LOCATION: emplacement Google Cloud dans lequel le cluster a été créé.
    • PROJECT_NUMBER: numéro du projet Google Cloud propriétaire du cluster.

Pour les clusters non GKE, découvrez où les journaux d'audit Kubernetes sont stockés et exécutez une requête similaire.