Installer avec le cluster GKE module complémentaire

Cette page explique comment installer Config Connector sur un cluster Google Kubernetes Engine (GKE) à l'aide du module complémentaire Config Connector.

Pour en savoir plus sur chaque option d'installation, avec ses avantages et ses inconvénients, voir Choisir un type d'installation

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

• Activez l'API Google Kubernetes Engine.
Activer l'API Google Kubernetes Engine
• Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

• Sélectionnez ou créez un projet Google Cloud où installer Config Connector.

• Si vous avez déjà Config Connector installé manuellement, désinstallez-la avant d'installer le module complémentaire Config Connector:

  • Désinstaller le mode cluster
  • Désinstaller le mode espace de noms

Installer le module complémentaire Config Connector

Pour utiliser le module complémentaire Config Connector, vous devez créer un nouveau cluster GKE ou l'activer sur un cluster existant. Après avoir installé le module complémentaire Config Connector, vous devez le configurer avec vos comptes de service Google et vos espaces de noms.

Exigences

Le module complémentaire Config Connector remplit les conditions suivantes :

• Vous devez utiliser une des versions GKE suivantes :

  • 1.15.11-gke.5 et versions ultérieures
  • 1.16.8-gke.8 et versions ultérieures
  • 1.17.4-gke.5 et versions ultérieures

• Vous devez activer un pool Workload Identity et Kubernetes Engine Monitoring sur les clusters sur lesquels vous activez Config Connector.

Configurer un cluster GKE

Vous pouvez utiliser le module complémentaire Config Connector sur un cluster nouveau ou existant.

Créer un cluster avec le module complémentaire Config Connector activé

Vous pouvez créer un cluster GKE à l'aide de la CLI gcloud ou de la console Google Cloud.

gcloud container clusters create CLUSTER_NAME \
    --release-channel CHANNEL \
    --addons ConfigConnector \
    --workload-pool=PROJECT_ID.svc.id.goog \
    --logging=SYSTEM \
    --monitoring=SYSTEM

Une fois le cluster créé, passez à la section Créer une identité.

Activer le module complémentaire Config Connector sur un cluster existant

Vous pouvez activer le module complémentaire Config Connector sur un cluster GKE existant avec gcloud ou la console Google Cloud.

Prérequis

L'activation du module complémentaire Config Connector sur un cluster existant a les prérequis suivants :

• Vous avez besoin d'un cluster qui répond aux exigences du module complémentaire Config Connector.

• Configurez Workload Identity sur le cluster sur lequel vous souhaitez installer Config Connector.

Pour activer Workload Identity pour un pool de nœuds, utilisez l'outil de ligne de commande gcloud :

gcloud container node-pools update NODE_POOL \
    --workload-metadata=GKE_METADATA \
    --cluster CLUSTER_NAME

Remplacez les éléments suivants :

• NODE_POOL par le nom de votre pool de nœuds
• Remplacez CLUSTER_NAME par le nom de votre cluster.

Activer le module complémentaire Config Connector

Vous pouvez activer le module complémentaire Config Connector dans un cluster GKE existant à l'aide de la CLI Google Cloud ou de la console Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --update-addons ConfigConnector=ENABLED

Créer une identité

Config Connector crée et gère les ressources Google Cloud en s'authentifiant GKE Identity and Access Management (IAM) et à l'aide Workload Identity pour lier les comptes de service IAM à Kubernetes des comptes de service.

Pour créer l'identité, procédez comme suit :

1. Créer un compte de service IAM Si vous avez un compte de service existant, vous pouvez l'utiliser et ignorer cette étape.
   
   Pour créer le compte de service, exécutez la commande suivante :

     gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

   Remplacez SERVICE_ACCOUNT_NAME par le nom que vous souhaitez donner à votre compte de service.

Pour en savoir plus sur la création de comptes de service, consultez la page Créer et gérer des comptes de service.

2. Accordez au compte de service IAM des autorisations avec privilèges élevés sur votre projet :

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \
       --role="roles/editor"

   Remplacez les éléments suivants:
   • PROJECT_ID par votre ID de projet.
   • SERVICE_ACCOUNT_NAME par le nom de votre compte de service.
3. Créez une liaison de stratégie IAM entre le compte de service IAM et le compte de service Kubernetes prédéfini exécuté par Config Connector :

   gcloud iam service-accounts add-iam-policy-binding \
   SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --member="serviceAccount:PROJECT_ID.svc.id.goog[cnrm-system/cnrm-controller-manager]" \
       --role="roles/iam.workloadIdentityUser"

   Remplacez les éléments suivants:
   • SERVICE_ACCOUNT_NAME par le nom de votre compte de service.
   • PROJECT_ID par votre ID de projet.

Configurer Config Connector

Pour terminer l'installation, créez un fichier de configuration pour la ressource CustomResource ConfigConnector, puis appliquez-le à l'aide de la commande kubectl apply. L'opérateur Config Connector installe les définitions de ressources personnalisées (CRD) de Google Cloud et les composants Config Connector dans votre cluster.

Pour configurer l'opérateur en mode cluster, procédez comme suit :

1. Copiez le fichier YAML suivant dans un fichier nommé configconnector.yaml :

   # configconnector.yaml
   apiVersion: core.cnrm.cloud.google.com/v1beta1
   kind: ConfigConnector
   metadata:
     # the name is restricted to ensure that there is only one
     # ConfigConnector resource installed in your cluster
     name: configconnector.core.cnrm.cloud.google.com
   spec:
     mode: cluster
     googleServiceAccount: "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
     # Setting `stateIntoSpec` to `Absent` is recommended. It means setting `cnrm.cloud.google.com/state-into-spec`
     # annotation to `absent` for all Config Connector resources created in the cluster in the future.
     # It prevents Config Connector from populating unspecified fields into the spec.
     stateIntoSpec: Absent

   Remplacez les éléments suivants :
   • SERVICE_ACCOUNT_NAME par le nom de votre compte de service.
   • PROJECT_ID par votre ID de projet.
2. Appliquez la configuration à votre cluster à l'aide de la commande kubectl apply :

     kubectl apply -f configconnector.yaml

Spécifier l'emplacement où créer les ressources

Config Connector peut organiser les ressources par projet, dossier ou organisation, de la même manière que vous organiseriez les ressources à l'aide de Google Cloud.

Avant de créer des ressources à l'aide de Config Connector, vous devez configurer où créer vos ressources. Pour déterminer où créer la ressource, Config Connector utilise une annotation sur la configuration de la ressource ou un espace de noms existant. Pour en savoir plus, consultez la section Organiser les ressources.

kubectl create namespace NAMESPACE

Remplacez NAMESPACE par le nom de votre espace de noms. Par exemple, config-connector.

Sélectionnez un onglet pour choisir où vous souhaitez que Config Connector crée des ressources.

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

Lorsque vous annotez votre espace de noms, Config Connector crée des ressources dans le projet, le dossier ou l'organisation correspondant. Pour en savoir plus sur la façon dont Config Connector utilise les espaces de noms Kubernetes, consultez la section Espaces de noms Kubernetes et projets Google Cloud.

Vérifier votre installation

Config Connector exécute tous ses composants dans un espace de noms nommé cnrm-system. Vous pouvez vérifier si les pods sont prêts en exécutant la commande suivante :

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

Si Config Connector est installé correctement, le résultat ressemble à ce qui suit :

pod/cnrm-controller-manager-0 condition met

Mettre à niveau Config Connector

Les mises à niveau du module complémentaire Config Connector de votre cluster sont gérées par Google Cloud.

Les ressources de votre cluster sont conservées chaque fois qu'une mise à niveau se produit.

Découvrez comment Google Cloud gère les mises à niveau des modules complémentaires Config Connector ou passez directement à la section Obtenir la dernière version de Config Connector.

Comment Google Cloud gère les mises à niveau des modules complémentaires Config Connector

La version de Config Connector obtenue par un cluster GKE dépend entièrement de la version mineure de GKE du cluster. Exemple :

À mesure que les versions sont éligibles, Google Cloud remappe les dernières versions mineures de GKE sur une nouvelle version de Config Connector. Cela est fait pour toutes les versions mineures de GKE suffisamment récentes pour ne pas être disponibles dans les canaux de publication standards ou stables.

Étant donné que la version de Config Connector obtenue par un cluster dépend de la mineure de GKE, il existe deux cas où un cluster Le module complémentaire Config Connector est automatiquement mis à niveau par Google Cloud:

1. Le cluster est mis à niveau vers une nouvelle version mineure de GKE mappée à une version plus récente de Config Connector.

2. Le cluster utilise une version mineure de GKE suffisamment récente pour ne pas être disponible sur les canaux de publication Standard ou Stable. Google Cloud remappe cette version mineure de GKE sur une nouvelle version de Config Connector.

Lorsque Google Cloud remappe une version mineure de GKE et met à niveau des clusters existants vers une nouvelle version de Config Connector, celui-ci est dit une nouvelle version de Config Connector" vers cette version mineure de GKE.

Google Cloud ne déploie pas de nouvelles versions de Config Connector sur versions mineures de GKE suffisamment anciennes pour être disponibles sur le Des versions standards ou stables des versions disponibles pour des raisons de stabilité, sauf dans situations d'urgence où un problème généralisé a été détecté.

Obtenir la dernière version de Config Connector

La version de Config Connector installée via le module complémentaire Config Connector peut être soit 12 mois de retard. Si vous avez besoin de la dernière version de Config Connector, nous vous recommandons de passer à Config Controller ou d'installer manuellement Config Connector et d'effectuer vous-même les mises à niveau. Voici les instructions de migration pour chaque option :

• Pour passer à Config Controller, suivez les instructions de migration vers Config Controller pour migrer vos ressources Config Connector existantes vers une instance Config Controller.

• Pour installer manuellement Config Connector, suivez les instructions pour passer du module complémentaire Config Connector à l'installation manuelle.

Désinstaller Config Connector

Pour désinstaller Config Connector, procédez comme suit :

1. Utilisez kubectl delete pour supprimer les CRD Config Connector et les composants du contrôleur :

   kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com --wait=true
   

2. Désactivez le module complémentaire Config Connector dans votre cluster à l'aide de gcloud CLI ou la console Google Cloud:

   gcloud

   Pour désactiver le module complémentaire Config Connector, exécutez la commande gcloud suivante :

   gcloud container clusters update CLUSTER_NAME --update-addons ConfigConnector=DISABLED
   

   Remplacez CLUSTER_NAME par le nom du cluster dans lequel le module complémentaire Config Connector est installé.

   Cloud Console

   Pour désactiver le module complémentaire Config Connector à l'aide de Google Cloud Console, procédez comme suit :

   1. Accédez à la page "Clusters Google Kubernetes Engine" de la console Google Cloud, puis sélectionnez le cluster que vous souhaitez mettre à jour.

      Accéder au menu Google Kubernetes Engine

   2. Cliquez sur Modifier. L'écran permettant de modifier le cluster s'affiche.

   3. Cliquez sur Modules complémentaires.

   4. Sélectionnez Config Connector, puis Désactivé.

   5. Cliquez sur Enregistrer pour mettre à jour le cluster.

Étape suivante

• Premiers pas avec Config Connector
• Découvrez comment résoudre les problèmes liés à Config Connector.