Cette page a été traduite par l'API Cloud Translation.

Déployer sur Google Kubernetes Engine

Ce guide explique comment extraire des images d'Artifact Registry pour les déployer Google Kubernetes Engine. Si vous souhaitez déployer des ressources Kubernetes auto-hébergées ou tierces vous devez configurer l'authentification auprès de Google Cloud avant d'extraire des images provenant d'Artifact Registry. Pour s'authentifier auprès de Google Cloud depuis Kubernetes en dehors de Google Cloud, consultez Configurez la fédération d'identité de charge de travail avec Kubernetes.

Google Kubernetes Engine peut extraire des images directement à partir de dépôts Docker. Certaines versions incluent la compatibilité préconfigurée pour l'extraction d'images à partir de dépôts Docker Artifact Registry.

Conditions requises

Cette section décrit les exigences liées à l'intégration à GKE.

Autorisations

GKE utilise les valeurs par défaut suivantes lorsque vous créez des pools de nœuds ou clusters:

Le compte de service Compute Engine par défaut constitue l'identité des nœuds. Ce compte de service par défaut dispose du rôle Lecteur Artifact Registry (roles/artifactregistry.reader) si vous avez désactivé l'attribution du rôle de base Éditeur.
Les nœuds que vous créez avec le compte de service par défaut ont Niveaux d'accès par défaut de Compute Engine, y compris un accès en lecture seule à l'espace de stockage. Vous ne pouvez pas modifier les niveaux d'accès nœuds.

Si vous utilisez ces valeurs par défaut, GKE peut extraire des images Dépôts Artifact Registry dans le même projet Google Cloud. Si vous devez transférer des images à partir de nœuds, extraire ou transférer des images d'un projet à un autre, utiliser un un compte de service fourni par l'utilisateur, ou qui ont d'autres besoins ne sont pas compatibles, consultez la documentation sur le contrôle des accès sur la configuration de l'accès.

Si le message "Autorisation refusée" s'affiche les erreurs, consultez Erreur "Autorisation refusée".

Version de GKE

Le tableau suivant répertorie les versions minimales requises de GKE pour créer des clusters disposant des autorisations par défaut pour extraire des conteneurs de dépôts Docker dans le même projet.

Version	Correctif minimal requis
1,14	1.14.10-gke.22
1.15	1.15.9-gke.8

Si votre version de GKE est antérieure à la version minimale, devez configurer Kubernetes imagePullSecrets pour : à GKE d'extraire des images.

Si GKE se trouve dans un projet différent de celui d'Artifact Registry, accorde les autorisations Artifact Registry que votre nœud GKE utilise. Par défaut, les nœuds utilisent le compte de service par défaut Compute Engine ;

Exécuter une image

Vous pouvez exécuter une image Artifact Registry sur un cluster Google Kubernetes Engine à l'aide de la commande suivante :

kubectl run [NAME] --image=LOCATION-docker.pkg.dev/PROJECT-ID/REPOSITORY/IMAGE:TAG

où :

LOCATION est l'emplacement régional ou multirégional du dépôt.
PROJECT est votre console Google Cloud. ID du projet. Si l'ID du projet contient le signe deux-points (:), consultez la section Projets à l'échelle du domaine.
REPOSITORY est le nom du dépôt où l'image est stockée.
IMAGE est le nom de l'image dans le dépôt.
TAG est le tag de la version de l'image que vous souhaitez extraire.

Pour en savoir plus sur les commandes Kubernetes, consultez la présentation de kubectl.

Résoudre les problèmes liés aux images de nœuds containerd

À partir de la version 1.19 d'un nœud GKE, l'image de nœud par défaut pour les nœuds Linux est Container-Optimized OS, (cos_containerd) au lieu de Container-Optimized OS avec Variante Docker (cos).

Le binaire Docker est disponible sur les nœuds Linux qui utilisent containerd comme environnement d'exécution, nous vous déconseillons de l'utiliser. Docker ne gère pas Kubernetes s'exécute sur des nœuds containerd. Vous ne pouvez donc pas l'utiliser pour afficher ou interagir avec les conteneurs Kubernetes en cours d'exécution à l'aide de commandes Docker ; l'API Docker.

Pour déboguer les nœuds Linux ou résoudre les problèmes associés, vous pouvez interagir avec containerd à l'aide de l'outil de ligne de commande portable crictl conçu pour les environnements d'exécution de conteneurs Kubernetes. crictl offre des fonctionnalités courantes telles que l'affichage des conteneurs et des images, la consultation des journaux et l'exécution de commandes dans les conteneurs.

Pour en savoir plus, consultez le guide de l'utilisateur de crictl et la documentation GKE sur containerd.

Pour les nœuds Windows Server, le daemon containerd s'exécute en tant que service Windows nommé containerd. Les journaux sont disponibles dans le répertoire des journaux suivant : C:\etc\kubernetes\logs\containerd.log. Ils s'affichent dans l'explorateur de journaux sous LOG NAME: "container-runtime".

Effectuer une extraction depuis un dépôt Artifact Registry public

Une fois que vous avez déployé une image dans un cluster GKE avec containerd, vous pouvez vous connecter à une instance de VM à l'aide de SSH et exécuter crictl à des fins de dépannage.

Les dépôts Artifact Registry publics ne nécessitent pas d'authentification. crictl peut également servir à extraire des images dans des dépôts Artifact Registry privés.

Console

Dans Google Cloud Console, accédez à la page Instances de VM.

Accéder à la page "Instances de VM"
Dans la liste des instances de machine virtuelle, cliquez sur la flèche à côté de SSH sur la ligne de l'instance que vous souhaitez connecter auxquelles vous souhaitez vous connecter.

Remarque : Lorsque vous vous connectez à des VM à l'aide de la console Google Cloud, Compute Engine crée une clé SSH éphémère. Pour en savoir plus, sur les clés SSH, consultez Connexions SSH aux VM Linux
Sélectionnez "Ouvrir dans la fenêtre du navigateur". ou la méthode de connexion de votre choix dans les options du menu déroulant.
La console Google Cloud ouvre une nouvelle fenêtre de terminal. Utilisez crictl pour extrayez une image d'Artifact Registry:
```
crictl pull IMAGE_LOCATION:TAG
```
La sortie ressemble à ceci :
```
Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5
```
Lorsque vous extrayez une image d'un dépôt privé Artifact Registry, vous devez vous authentifier auprès du dépôt. Vous pouvez utiliser un jeton d'accès pour fournir vos identifiants.

gcloud

Vérifiez que vous disposez de la dernière version de la Google Cloud CLI
```
gcloud components update
```
Connectez-vous à la VM :
```
gcloud compute ssh --project=PROJECT_ID \
 --zone=ZONE \
 VM_NAME
```
Remplacez l'élément suivant :
- PROJECT_ID : ID du projet contenant la VM
- ZONE : nom de la zone dans laquelle se trouve la VM.
- VM_NAME : nom de la VM
Si vous avez défini les propriétés par défaut de la CLI Google Cloud, vous pouvez omettre les options --project et --zone de cette commande. Exemple :
```
gcloud compute ssh VM_NAME
```
Si vous n'avez pas encore créé de clé SSH, le générateur de clés SSH en génère une pour vous. Saisissez une phrase secrète ou laissez ce champ vide lorsque vous y êtes invité.
Utilisez crictl pour extraire une image d'Artifact Registry:
```
crictl pull IMAGE_LOCATION:TAG
```
La sortie ressemble à ceci :
```
Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5
```
Lorsque vous extrayez une image d'un dépôt privé Artifact Registry, vous devez vous authentifier auprès du dépôt. Vous pouvez utiliser un jeton d'accès pour fournir vos identifiants.

Effectuer une extraction depuis un dépôt Artifact Registry privé

Console

Dans Google Cloud Console, accédez à la page Instances de VM.

Accéder à la page "Instances de VM"
Dans la liste des instances de machine virtuelle, cliquez sur la flèche à côté de SSH sur la ligne de l'instance que vous souhaitez connecter auxquelles vous souhaitez vous connecter.

Remarque : Lorsque vous vous connectez à des VM à l'aide de la console Google Cloud, Compute Engine crée une clé SSH éphémère. Pour en savoir plus, sur les clés SSH, consultez Connexions SSH aux VM Linux
Sélectionnez "Ouvrir dans la fenêtre du navigateur". dans les options du menu déroulant.

La console Google Cloud ouvre une nouvelle fenêtre de terminal. Générer un Jeton d'accès au compte de service Compute Engine utilisant curl.

curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"

Le résultat ressemble à l'exemple suivant :

"access_token":"ya29.c.KpkBCQgdwv6LrZ2tjrCpG6snWwPMX29LzMeUmAV_Hq_XaxUurfXcCfGZfASGh_KbdmUYTvkuV3sh-WaSBplEskdP6Tc
HDsTv4B9hMyvoL4M9HrzKHuKTa1ZGj_3iQ1lwq_dAMxAPGjxEVKexatwN2KP0EAWyb6R55Cuu8ItgLf9f4pm9lC5zH4Qo0fkxPUsnCGRBe4AYxEpN6T
sh","expires_in":3526,"token_type":"Bearer"}

Copiez la valeur de access_token à partir de la sortie renvoyée, sans les guillemets.

Extrayez l'image à l'aide de crictl pull --creds et de la valeur access_token. copiées à l'étape précédente.

crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" IMAGE_LOCATION:TAG

La sortie ressemble à ceci :

Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5

gcloud

Vérifiez que vous disposez de la dernière version de la Google Cloud CLI
```
gcloud components update
```
Connectez-vous à la VM :
```
gcloud compute ssh --project=PROJECT_ID \
 --zone=ZONE \
 VM_NAME
```
Remplacez les variables suivantes :
- PROJECT_ID : ID du projet contenant la VM
- ZONE : nom de la zone dans laquelle se trouve la VM.
- VM_NAME : nom de la VM
Si vous avez défini les propriétés par défaut de la CLI Google Cloud, vous pouvez omettre les options --project et --zone de cette commande. Exemple :
```
gcloud compute ssh VM_NAME
```
Si vous n'avez pas encore créé de clé SSH, le générateur de clés SSH en génère une pour vous. Saisissez une phrase secrète ou laissez ce champ vide lorsque vous y êtes invité.

Générer un jeton d'accès au compte de service Compute Engine à l'aide de curl

curl -s "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token" -H "Metadata-Flavor: Google"

La sortie ressemble à ceci :

"access_token":"ya29.c.KpkBCQgdwv6LrZ2tjrCpG6snWwPMX29LzMeUmAV_Hq_XaxUurfXcCfGZfASGh_KbdmUYTvkuV3sh-WaSBplEskdP6Tc
HDsTv4B9hMyvoL4M9HrzKHuKTa1ZGj_3iQ1lwq_dAMxAPGjxEVKexatwN2KP0EAWyb6R55Cuu8ItgLf9f4pm9lC5zH4Qo0fkxPUsnCGRBe4AYxEpN6T
sh","expires_in":3526,"token_type":"Bearer"}

Copiez la valeur de access_token à partir de la sortie renvoyée, sans les guillemets.

Extrayez l'image à l'aide de crictl pull --creds et de la valeur access_token. copiées à l'étape précédente.

crictl pull --creds "oauth2accesstoken:ACCESS_TOKEN" IMAGE_LOCATION:TAG

La sortie ressemble à ceci :

Image is up to date for sha256:0f25067aa9c180176967b4b50ed49eed096d43fa8c17be9a5fa9bff05933bee5

crictl permet aux développeurs de déboguer leur environnement d'exécution sans avoir à configurer les composants Kubernetes. Pour obtenir la liste complète des commandes, consultez la documentation sur crictl. et la documentation sur le débogage de Kubernetes.