Découvrez comment authentifier vos services Knative serving avec Workload Identity Federation for GKE pour accéder aux API Google Cloud telles que les API Compute, Storage et Database, ou des API de machine learning.
Pour authentifier vos services Knative serving, vous devez effectuer les opérations suivantes :
- Activer Workload Identity Federation for GKE dans votre cluster
- Configurer les autorisations
- Associer votre compte de service Kubernetes (KSA) à un compte de service Google (GSA).
Une fois ces étapes effectuées, vous pouvez déployer un nouveau service Knative serving qui utilise l'identité que vous avez créée.
Activer Workload Identity Federation for GKE sur votre cluster
Pour configurer Workload Identity Federation for GKE avec le service Knative serving, vous pouvez configurer un parc de fédération d'identité de charge de travail au lieu d'utiliser un fichier JSON de compte de service Google Cloud.
Configurer les autorisations pour activer toutes les métriques
Pour activer les métriques, telles que le nombre de requêtes ou la latence des requêtes dans Google Cloud Observability, vous devez définir les autorisations d'écriture pour Cloud Monitoring. Par exemple, vous pouvez accorder le rôle Rédacteur de métriques Monitoring (roles/monitoring.metricWriter
) au compte de service Google associé à Knative serving, car il inclut les autorisations nécessaires pour écrire des données de surveillance. Pour en savoir plus sur la création de comptes de service Google, consultez la page Utiliser des comptes de service.
Lier des comptes de service
Vous devez configurer une relation afin qu'un compte de service Kubernetes (KSA) agisse en tant que compte de service Google (GSA). Toute charge de travail exécutée en tant que KSA que vous associez s'authentifie automatiquement en tant que GSA lors de l'accès aux API Google Cloud. Le KSA que vous associez doit exister dans le cluster et l'espace de noms du service Knative serving pour lequel vous souhaitez utiliser Workload Identity Federation for GKE. Le GSA peut appartenir à un projet Google Cloud différent du projet Google Cloud dans lequel se trouve le cluster.
Si aucun GSA n'existe, créez-en un. Dans le cas contraire, passez à l'étape suivante. Vous pouvez créer un GSA à utiliser avec Knative serving dans n'importe quel projet Google Cloud de votre organisation, puis l'utiliser depuis le projet Google Cloud où vos services Knative serving sont exécutés.
Pour créer un système GSA, exécutez la commande suivante :
gcloud iam service-accounts create GSA_NAME
Remplacez GSA_NAME par le nom du nouveau compte de service Google.
Pour en savoir plus sur l'utilisation des comptes de service Google avec vos services Knative serving, consultez la page Utiliser des comptes de service.
Assurez-vous que votre GSA dispose des rôles IAM dont vous avez besoin. Vous pouvez attribuer des rôles supplémentaires à l'aide de la commande suivante :
gcloud projects add-iam-policy-binding PROJECT_ID \ --member "serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --role "ROLE_NAME"
Remplacez :
- PROJECT_ID par l'ID du projet Google Cloud dans lequel réside votre compte de service Google.
- GSA_NAME par le nom de votre compte de service Google.
- ROLE_NAME par le rôle IAM à attribuer à votre GSA, tel que
roles/monitoring.metricWriter
.
Si aucun compte de service Kubernetes (KSA) n'existe, créez-en un dans le même espace de noms Kubernetes que votre service Knative serving. Sinon, passez à l'étape suivante :
kubectl create serviceaccount --namespace K8S_NAMESPACE KSA_NAME
Liez les comptes de service Kubernetes et Google pour créer l'identité, puis déployez-le sur votre cluster :
Autorisez le KSA à emprunter l'identité du GSA en créant une liaison de stratégie IAM entre les deux.
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:PROJECT_ID.svc.id.goog[K8S_NAMESPACE/KSA_NAME]" \ GSA_NAME@GSA_PROJECT_ID.iam.gserviceaccount.com
Remplacez :
- PROJECT_ID par l'ID du projet Google Cloud pour le cluster où se trouvent votre compte de service Kubernetes et vos services Knative serving.
- K8S_NAMESPACE/KSA_NAME par l'espace de noms et le nom de votre compte de service Kubernetes.
- GSA_NAME@GSA_PROJECT_ID par le nom de votre compte de service Google et l'ID du projet Google Cloud. Vous pouvez utiliser n'importe quel compte de service Google dans votre organisation. Pour afficher vos comptes de service Google, consultez la page Répertorier les comptes de service.
Ajoutez l'annotation
iam.gke.io/gcp-service-account=GSA_NAME@GSA_PROJECT_ID
au KSA à l'aide de l'adresse e-mail du GSA.kubectl annotate serviceaccount \ --namespace K8S_NAMESPACE KSA_NAME \ iam.gke.io/gcp-service-account=GSA_NAME@GSA_PROJECT_ID.iam.gserviceaccount.com
Remplacez :
- K8S_NAMESPACE/KSA_NAME par l'espace de noms et le nom du compte de service Kubernetes pour lequel vous avez créé une liaison.
- GSA_NAME@GSA_PROJECT_ID par le nom de votre compte de service Google et l'ID du projet Google Cloud pour lequel vous avez créé une liaison.
Déployer un nouveau service pour qu'il utilise Workload Identity Federation for GKE
Déployez un nouveau service Knative serving qui utilise Workload Identity Federation for GKE que vous avez activé.
Console
Accédez à Knative serving dans la console Google Cloud :
Cliquez sur Créer un service si vous configurez un nouveau service sur lequel effectuer un déploiement. Si vous configurez un service existant, cliquez sur celui-ci, puis sur Modifier et déployer la nouvelle révision.
Sous Paramètres avancés, cliquez sur Conteneur.
Cliquez sur le menu déroulant Service account (Compte de service), puis sélectionnez le compte de service souhaité.
Cliquez sur Next (Suivant) pour passer à la section suivante.
Dans la section Configurer la manière dont ce service est déclenché, sélectionnez la connectivité que vous souhaitez utiliser pour appeler le service.
Cliquez sur Créer pour déployer l'image sur Knative serving et attendez la fin du déploiement.
Ligne de commande
Pour les services existants, définissez le compte de service Kubernetes en exécutant la commande
gcloud run services update
avec les paramètres suivants :gcloud run services update SERVICE --service-account KSA_NAME
Remplacez :
- SERVICE par le nom de votre service Knative serving ;
- KSA_NAME par le compte de service Kubernetes que vous avez utilisé pour créer la fonctionnalité Workload Identity.
Pour les nouveaux services, définissez le compte de service Kubernetes en exécutant la commande
gcloud run deploy
avec le paramètre--service-account
:gcloud run deploy --image IMAGE_URL --service-account KSA_NAME
Remplacez :
- IMAGE_URL par une référence à l'image de conteneur, par exemple
gcr.io/cloudrun/hello
. - KSA_NAME par le compte de service Kubernetes que vous avez utilisé pour créer la fonctionnalité Workload Identity.
- IMAGE_URL par une référence à l'image de conteneur, par exemple
YAML
Vous pouvez télécharger la configuration d'un service existant dans un fichier YAML avec la commande gcloud run services describe
à l'aide de l'option --format=export
.
Vous pouvez ensuite modifier ce fichier YAML et déployer ces modifications à l'aide de la commande gcloud run services replace
.
Veillez à ne modifier que les attributs spécifiés.
Téléchargez la configuration de votre service dans un fichier nommé
service.yaml
sur l'espace de travail local :gcloud run services describe SERVICE --format export > service.yaml
Remplacez SERVICE par le nom de votre service Knative serving.
Dans votre fichier local, mettez à jour l'attribut
serviceAccountName:
:apiVersion: serving.knative.dev/v1 kind: Service metadata: name: SERVICE spec: template: spec: serviceAccountName: KSA_NAME
Remplacer
- SERVICE par le nom de votre service Knative serving ;
- KSA_NAME par le compte de service Kubernetes que vous avez utilisé pour créer la fonctionnalité Workload Identity.
Déployez la configuration sur votre service Knative serving en exécutant la commande suivante :
gcloud run services replace service.yaml
Migrer des services existants pour qu'ils utilisent Workload Identity Federation for GKE
Si vous avez activé Workload Identity Federation for GKE sur un cluster existant, chaque service de ce cluster pour lequel vous souhaitez l'utiliser doit être migré. Découvrez comment migrer des services existants.
Étapes suivantes
Découvrez comment gérer l'accès à vos services.