Installer avec le module complémentaire GKE

Cette page explique comment installer Config Connector sur un cluster Google Kubernetes Engine (GKE) à l'aide du module complémentaire Config Connector.

Pour en savoir plus sur chaque option d'installation avec ses avantages et ses inconvénients, consultez la page Choisir un type d'installation.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

• Activez l'API Google Kubernetes Engine.
Activer l'API Google Kubernetes Engine
• Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI.

• Sélectionnez ou créez un projet Google Cloud où installer Config Connector.

• Si vous avez déjà installé manuellement Config Connector, désinstallez-le avant d'installer le module complémentaire Config Connector:

  • Désinstaller le mode cluster
  • Désinstaller le mode espace de noms

Installer le module complémentaire Config Connector

Pour utiliser le module complémentaire Config Connector, vous devez créer un nouveau cluster GKE ou l'activer sur un cluster existant. Après avoir installé le module complémentaire Config Connector, vous devez le configurer avec vos comptes de service Google et vos espaces de noms.

Conditions requises

Le module complémentaire Config Connector remplit les conditions suivantes :

• Vous devez utiliser une des versions GKE suivantes :

  • 1.15.11-gke.5 et versions ultérieures
  • 1.16.8-gke.8 et versions ultérieures
  • 1.17.4-gke.5 et versions ultérieures

• Vous devez activer un pool Workload Identity et Kubernetes Engine Monitoring sur les clusters sur lesquels vous activez Config Connector.

Configurer un cluster GKE

Vous pouvez utiliser le module complémentaire Config Connector sur un cluster nouveau ou existant.

Créer un cluster avec le module complémentaire Config Connector activé

Vous pouvez créer un cluster GKE à l'aide de gcloud CLI ou de la console Google Cloud.

gcloud container clusters create CLUSTER_NAME \
    --release-channel CHANNEL \
    --addons ConfigConnector \
    --workload-pool=PROJECT_ID.svc.id.goog \
    --logging=SYSTEM \
    --monitoring=SYSTEM

Une fois le cluster créé, passez à la section Créer une identité.

Activer le module complémentaire Config Connector sur un cluster existant

Vous pouvez activer le module complémentaire Config Connector sur un cluster GKE existant à l'aide de gcloud ou de la console Google Cloud.

Prérequis

L'activation du module complémentaire Config Connector sur un cluster existant a les prérequis suivants :

• Vous avez besoin d'un cluster qui répond aux exigences du module complémentaire Config Connector.

• Configurez Workload Identity sur le cluster sur lequel vous souhaitez installer Config Connector.

Pour activer Workload Identity pour un pool de nœuds, utilisez l'outil de ligne de commande gcloud :

gcloud container node-pools update NODE_POOL \
    --workload-metadata=GKE_METADATA \
    --cluster CLUSTER_NAME

Remplacez les éléments suivants :

• NODE_POOL par le nom de votre pool de nœuds
• Remplacez CLUSTER_NAME par le nom de votre cluster.

Activer le module complémentaire Config Connector

Vous pouvez activer le module complémentaire Config Connector dans un cluster GKE existant à l'aide de Google Cloud CLI ou de la console Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --update-addons ConfigConnector=ENABLED

Créer une identité

Config Connector crée et gère les ressources Google Cloud en s'authentifiant avec un compte de service de gestion de l'authentification et des accès (IAM) et en utilisant Workload Identity de GKE pour lier des comptes de service IAM aux comptes de service Kubernetes.

Pour créer l'identité, procédez comme suit :

1. Créer un compte de service IAM Si vous avez un compte de service existant, vous pouvez l'utiliser et ignorer cette étape.
   
   Pour créer le compte de service, exécutez la commande suivante :

     gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

   Remplacez SERVICE_ACCOUNT_NAME par le nom de votre compte de service.

Pour en savoir plus sur la création de comptes de service, consultez la page Créer et gérer des comptes de service.

2. Accordez au compte de service IAM des autorisations élevées sur votre projet:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \
       --role="roles/editor"

   Remplacez les éléments suivants :
   • PROJECT_ID par votre ID de projet.
   • SERVICE_ACCOUNT_NAME par le nom de votre compte de service.
3. Créez une liaison de stratégie IAM entre le compte de service IAM et le compte de service Kubernetes prédéfini exécuté par Config Connector:

   gcloud iam service-accounts add-iam-policy-binding \
   SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --member="serviceAccount:PROJECT_ID.svc.id.goog[cnrm-system/cnrm-controller-manager]" \
       --role="roles/iam.workloadIdentityUser"

   Remplacez les éléments suivants :
   • SERVICE_ACCOUNT_NAME par le nom de votre compte de service.
   • PROJECT_ID par votre ID de projet.

Configurer Config Connector

Pour terminer l'installation, créez un fichier de configuration pour la ressource CustomResource ConfigConnector, puis appliquez-le à l'aide de la commande kubectl apply. L'opérateur Config Connector installe les CRD de ressources Google Cloud et les composants de Config Connector dans votre cluster.

Pour configurer l'opérateur, procédez comme suit:

1. Copiez le fichier YAML suivant dans un fichier nommé configconnector.yaml:

   # configconnector.yaml
   apiVersion: core.cnrm.cloud.google.com/v1beta1
   kind: ConfigConnector
   metadata:
     # the name is restricted to ensure that there is only one
     # ConfigConnector resource installed in your cluster
     name: configconnector.core.cnrm.cloud.google.com
   spec:
    mode: cluster
    googleServiceAccount: "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
   

   Remplacez les éléments suivants :
   • SERVICE_ACCOUNT_NAME par le nom de votre compte de service.
   • PROJECT_ID par votre ID de projet.
2. Appliquez la configuration à votre cluster à l'aide de la commande kubectl apply :

     kubectl apply -f configconnector.yaml

Spécifier l'emplacement où créer les ressources

Config Connector peut organiser les ressources par projet, dossier ou organisation, de la même manière que vous organiseriez les ressources à l'aide de Google Cloud.

Avant de créer des ressources à l'aide de Config Connector, vous devez configurer où créer vos ressources. Pour déterminer où créer la ressource, Config Connector utilise une annotation sur la configuration de la ressource ou un espace de noms existant. Pour en savoir plus, consultez la section Organiser les ressources.

kubectl create namespace NAMESPACE

Remplacez NAMESPACE par le nom de votre espace de noms. Par exemple, config-connector.

Sélectionnez un onglet pour choisir où vous souhaitez que Config Connector crée des ressources.

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

Lorsque vous annotez votre espace de noms, Config Connector crée des ressources dans le projet, le dossier ou l'organisation correspondant. Pour en savoir plus sur la façon dont Config Connector utilise les espaces de noms Kubernetes, consultez la section Espaces de noms Kubernetes et projets Google Cloud.

Vérifier votre installation

Config Connector exécute tous ses composants dans un espace de noms nommé cnrm-system. Vous pouvez vérifier si les pods sont prêts en exécutant la commande suivante :

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

Si Config Connector est correctement installé, le résultat ressemble à ce qui suit:

pod/cnrm-controller-manager-0 condition met

Mettre à niveau Config Connector

Les mises à niveau du module complémentaire Config Connector de votre cluster sont gérées par Google Cloud.

Les ressources de votre cluster sont conservées à chaque mise à niveau.

Découvrez comment Google Cloud gère les mises à niveau des modules complémentaires Config Connector ou accédez à la page expliquant comment obtenir la dernière version de Config Connector.

Comment Google Cloud gère les mises à niveau des modules complémentaires Config Connector

La version du connecteur de configuration dont dispose un cluster GKE dépend entièrement de la version mineure de GKE du cluster. Exemple :

Toutes les deux semaines, Google Cloud remappe les dernières versions mineures de GKE avec la nouvelle version de Config Connector. Cela est possible pour toutes les versions mineures de GKE suffisamment nouvelles pour être non disponibles en version standard ou stable.

Étant donné que la version du connecteur Config fournie par le cluster dépend de sa version mineure, il existe deux cas dans lesquels Google Cloud met automatiquement à jour le module complémentaire Config Connector d'un cluster:

1. Le cluster est mis à niveau vers une nouvelle version mineure de GKE mappée à une version plus récente de Config Connector.

2. Le cluster utilise une version mineure de GKE suffisamment récente pour être non disponible en version standard ou stable, et Google Cloud associe à nouveau cette version de GKE à une nouvelle version de Config Connector.

Lorsque Google Cloud remappe une version mineure de GKE et met à niveau des clusters existants vers une nouvelle version de Config Connector, la commande indique qu'elle "déploie une nouvelle version de Config Connector" sur la version mineure de GKE.

Google Cloud ne déploie pas de nouvelles versions de Config Connector sur des versions mineures de GKE suffisamment anciennes pour être disponibles sur les versions standards ou stables pour des raisons de stabilité, sauf dans les situations d'urgence où un problème généralisé a été détecté.

Obtenir la dernière version de Config Connector

La version de Config Connector installée via le module complémentaire Config Connector peut être considérablement retardée de 12 mois au maximum si vous n'utilisez pas toujours la dernière version mineure de GKE. Si vous avez besoin de la dernière version de Config Connector, nous vous recommandons de passer à Config Controller ou d'installer manuellement Config Connector. Voici les instructions de migration pour chaque option:

• Pour passer à Config Controller, suivez les instructions de migration de Config Controller pour migrer vos ressources Config Connector vers une instance Config Controller.

• Pour installer manuellement Config Connector, suivez les instructions afin de passer du module complémentaire Config Connector à Installation manuelle.

Si vous souhaitez rester au module complémentaire Config Connector et tenter d'obtenir la dernière version Config Connector, vous devez vous assurer que votre cluster utilise une version mineure de GKE qui est suffisamment récente pour ne pas être disponible en version standard ou stable.

Pour ce faire, il existe deux moyens :

1. Enregistrez votre cluster en version précoce.

   Cette option présente un inconvénient: vous pouvez mettre à niveau votre cluster vers une version mineure de GKE disponible à la fois sur les canaux rapide et standard. Dans ce cas, Config Connector ne sera pas mis à niveau vers la dernière version tant que votre cluster ne sera pas mis à niveau vers une nouvelle version mineure de GKE, disponible uniquement sur Rapid.

2. Mettez à niveau votre cluster manuellement.

Vous pouvez déterminer la version de GKE de votre cluster à l'aide des commandes suivantes:

• Pour les clusters régionaux:

  gcloud container clusters describe NAME \
      --region REGION --format "value(currentMasterVersion)"
  

  Remplacez les éléments suivants :

  • NAME par le nom de votre cluster.
  • REGION par la région de votre cluster.

• Pour les clusters zonaux:

  gcloud container clusters describe NAME \
      --zone ZONE --format "value(currentMasterVersion)"
  

  Remplacez les éléments suivants :

  • NAME par le nom de votre cluster.
  • ZONE par la zone de votre cluster.

Pour déterminer les versions de GKE disponibles en fonction des versions disponibles, consultez la page Afficher les versions par défaut et disponibles pour les versions disponibles.

Désinstaller Config Connector

Pour désinstaller Config Connector, procédez comme suit :

1. Utilisez kubectl delete pour supprimer les CRD Config Connector et les composants du contrôleur :

   kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com --wait=true
   

2. Désactivez le module complémentaire Config Connector dans votre cluster à l'aide de gcloud CLI ou de la console Google Cloud:

   gcloud

   Pour désactiver le module complémentaire Config Connector, exécutez la commande gcloud suivante :

   gcloud container clusters update CLUSTER_NAME --update-addons ConfigConnector=DISABLED
   

   Remplacez CLUSTER_NAME par le nom du cluster dans lequel le module complémentaire Config Connector est installé.

   console Cloud

   Pour désactiver le module complémentaire Config Connector depuis la console Google Cloud, procédez comme suit :

   1. Accédez à la page "Clusters Google Kubernetes Engine" de la console Google Cloud, puis sélectionnez le cluster que vous souhaitez mettre à jour.

      Accéder au menu Google Kubernetes Engine

   2. Cliquez sur Modifier. L'écran permettant de modifier le cluster s'affiche.

   3. Cliquez sur Modules complémentaires.

   4. Sélectionnez Config Connector, puis Désactivé.

   5. Cliquez sur Enregistrer pour mettre à jour le cluster.

Étapes suivantes

• Premiers pas avec Config Connector
• Découvrez comment résoudre les problèmes liés à Config Connector.