Mettre à jour un cluster

Ce document explique comment effectuer une mise à jour de cluster qui n'inclut pas de changement de version.

Une mise à jour de cluster correspond à une modification de la configuration du cluster.

Une mise à niveau de cluster est un cas particulier de mise à jour de cluster qui inclut une modification de la version du plan de contrôle ou de la version d'un pool de nœuds. Pour en savoir plus sur la mise à niveau, consultez Mettre à niveau Google Distributed Cloud.

Examiner les règles de pare-feu

Dans les versions 1.29 et ultérieures, les vérifications préliminaires côté serveur sont activées par défaut. Les vérifications préliminaires côté serveur nécessitent des règles de pare-feu supplémentaires. Dans la section Règles de pare-feu pour les clusters d'administrateur, recherchez "Vérifications préaliminaires" et assurez-vous que toutes les règles de pare-feu requises sont configurées.

Avec les vérifications préliminaires côté serveur, lorsque vous mettez à jour un cluster d'utilisateurs à l'aide de gkectl, les vérifications préliminaires sont exécutées sur le cluster d'administration au lieu d'être exécutées localement sur le poste de travail administrateur. Des vérifications préliminaires côté serveur sont exécutées sur le cluster d'administration lorsque vous utilisez la console Google Cloud, Google Cloud CLI ou Terraform pour mettre à jour un cluster.

Lorsque vous mettez à jour un cluster d'administration, Google Distributed Cloud déploie un cluster Kubernetes in Docker (kind) pour héberger temporairement les contrôleurs Kubernetes nécessaires à la mise à jour du cluster d'administration. Ce cluster temporaire est appelé cluster d'amorçage. Les vérifications préliminaires côté serveur sont exécutées sur le cluster d'amorçage lorsque vous mettez à jour un cluster d'administration.

Éléments pouvant être mis à jour

Certaines fonctionnalités et certains paramètres de cluster peuvent être mis à jour, mais d'autres ne le peuvent pas une fois le cluster créé. Pour savoir quelles fonctionnalités peuvent être mises à jour, consultez les pages de référence du fichier de configuration du cluster d'administrateur et du fichier de configuration du cluster d'utilisateur. Les champs pouvant être mis à jour sont marqués comme modifiables, et les champs qui ne peuvent pas être mis à jour sont marqués comme immuables.

Vous pouvez également identifier les fonctionnalités et les paramètres pouvant être mis à jour en exécutant des commandes gkectl.

Pour voir ce qui peut être mis à jour dans un cluster d'administrateur:

gkectl update admin --help

Exemple de résultat :

Update the admin cluster. Only the following updates are supported and they can
only be updated one at a time:
- Enabling/Disabling Vsphere Resource Metrics
- Adding static IPs
- Updating vCenter CA certificate
- Registering Admin Cluster
- Enabling/Disabling Cloud Audit Logging
- Enabling/Disabling Stackdriver
- Enabling/Disabling Auto Repair
- Enabling/Disabling Auto Resize for Addon Nodes
- Enabling/Disabling GKE OnPrem API
- Updating OS Image Type
- Enabling/Disabling AntiAffinityGroups
- Update Secrets Encryption Configuration
- [Preview] Enabling/Disabling Cluster Backup
- [Preview] Update Cluster Backup configs

Pour voir ce qui peut être mis à jour dans un cluster d'utilisateurs:

gkectl update cluster --help

Exemple de résultat :

Update a GKE On-Prem cluster. Only the following updates are supported and they
can only be updated one at a time:
- Adding static IPs
- Updating node pool
- Updating user master cpu and memory
- Enabling/Disabling Vsphere Resource Metrics
- Enabling/Disabling vSphere CSI deployment
- Enabling/Disabling Auto Repair
- Enabling/Disabling Cloud Audit Logging
- Enabling/Disabling Stackdriver
- Enabling/Disabling GKE OnPrem API
- Registering User Cluster
- Updating vCenter CA certificate
- Updating MetalLB Address Pools
- Enabling/Disabling Auto Resizing on user master
- Updating NodePoolUpdatePolicy
- Enabling/Disabling AntiAffinityGroups
- [Preview] Enabling/Disabling Node Network Policy
- Updating Secrets Encryption
- Enabling/Disabling DataplaneV2 forwardMode

Mettre à jour une chose à la fois

Ne modifiez qu'une seule fonctionnalité ou un seul paramètre à la fois. Par exemple, supposons que vous souhaitiez mettre à jour le processeur et la mémoire principaux et que vous souhaitiez également désactiver la réparation automatique.

Vous devez ensuite effectuer deux mises à jour distinctes: une pour le processeur et la mémoire principaux, et une autre pour la réparation automatique. Vérifiez que la première mise à jour a bien été effectuée avant de procéder à la deuxième.

Procédure de mise à jour

Vous pouvez utiliser gkectl, la console Google Cloud ou Google Cloud CLI pour mettre à jour un cluster d'utilisateur. Si vous avez créé le cluster d'utilisateur à l'aide de Terraform, vous pouvez l'utiliser pour le mettre à jour. Dans presque tous les cas, vous devez utiliser gkectl pour mettre à jour les clusters d'administrateur.

Les exemples suivants montrent comment mettre à jour des clusters.

gkectl

La commande gkectl update se présente sous l'une des formes suivantes:

Exemple de cluster d'administrateur (gkectl update admin)

Supposons que vous souhaitiez remplacer la valeur de gkeOnPremAPI.enabled par false dans un cluster d'administrateur.true Commencez par modifier le fichier de configuration du cluster d'administrateur et définissez la valeur sur true:

gkeOnPremAPI:
  enabled: true

Mettez ensuite à jour le cluster d'administrateur:

gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config ADMIN_CLUSTER_CONFIG

Remplacez les éléments suivants :

  • ADMIN_CLUSTER_KUBECONFIG : chemin d'accès au fichier kubeconfig du cluster d'administrateur

  • ADMIN_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'administrateur

Exemple de cluster d'utilisateur (gkectl update cluster)

Supposons que vous souhaitiez remplacer la valeur de stackdriver.vSphereDisableResourceMetrics par false dans un cluster d'utilisateur.true Commencez par modifier le fichier de configuration du cluster d'utilisateur et définissez la valeur sur true:

stackdriver:
  disableVsphereResourceMetrics: true

Mettez ensuite à jour le cluster d'utilisateur:

gkectl update cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG --config USER_CLUSTER_CONFIG

Remplacez les éléments suivants :

  • ADMIN_CLUSTER_KUBECONFIG : chemin d'accès au fichier kubeconfig du cluster d'administrateur

  • USER_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'utilisateur

Exemple de cluster d'utilisateur (gkectl update credentials)

Supposons que vous souhaitiez modifier les identifiants utilisés par un cluster d'utilisateur pour appeler vCenter Server.

Le fichier de configuration du cluster d'utilisateur comporte un champ vCenter.credentials.fileRef.path qui pointe vers un fichier de configuration des identifiants. Dans le fichier de configuration des identifiants, mettez à jour les valeurs de username et password. Exemple :

items:
- name: "vcenter-creds"
  username: "new-vcenter-account"
  password: "U$icUKEW#INE"

Mettez ensuite à jour les identifiants:

gkectl update credentials vsphere \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Remplacez les éléments suivants :

  • USER_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'utilisateur

  • ADMIN_CLUSTER_KUBECONFIG : chemin d'accès au fichier kubeconfig du cluster d'administrateur

Console

  1. Dans la console, accédez à la page Vue d'ensemble des clusters Google Kubernetes Engine.

    Accéder aux clusters GKE

  2. Sélectionnez le projet Google Cloud, puis le cluster que vous souhaitez mettre à jour.

  3. Dans le panneau Détails, cliquez sur Plus de détails.

  4. Les champs qui peuvent être mis à jour dans la console Google Cloud sont accompagnés d'une icône en forme de crayon. Cliquez sur l'une des icônes en forme de crayon. Dans la boîte qui s'affiche, modifiez les valeurs des champs comme vous le souhaitez, puis cliquez sur OK.

  5. En haut de la page, dans la barre de progression, cliquez sur Afficher les détails. Attendez que la mise à jour soit terminée.

CLI gcloud

Exécutez la commande de mise à jour applicable. Spécifiez uniquement les indicateurs de la configuration que vous souhaitez modifier:

Mettre à jour les utilisateurs administrateur d'un cluster d'utilisateur

Le serveur d'API Kubernetes de chaque cluster doit pouvoir autoriser les requêtes qu'il reçoit. Pour configurer l'autorisation, vous devez configurer des stratégies de contrôle des accès basé sur les rôles (RBAC) Kubernetes sur chaque cluster. Un utilisateur administrateur est un utilisateur auquel le rôle cluster-admin a été attribué dans le cluster d'utilisateur. Ce rôle accorde à l'utilisateur un accès administratif complet au cluster.

Supposons qu'Alice et Bob soient les seuls utilisateurs administrateurs du cluster d'utilisateur appelé cluster-1 dans la région us-west1. Supposons qu'Alice souhaite ajouter Trent en tant qu'administrateur supplémentaire. Alice peut exécuter la commande suivante:

gcloud container vmware clusters update cluster-1 \
    --project example-project-id-12345 \
    --location us-west1 \
    --admin-users alice@example.com \
    --admin-users bob@example.com \
    --admin-users trent@example.com

La commande précédente conserve Alice et Bob dans la liste des utilisateurs administrateurs et ajoute Trent à la liste des utilisateurs administrateurs. Notez qu'Alice et Bob doivent être listés dans la commande, car elle écrase la liste actuelle des utilisateurs administrateurs par la liste spécifiée dans la commande. Notez également que chaque indicateur --admin-users ne spécifie qu'un seul utilisateur. Vous ne pouvez pas spécifier plusieurs utilisateurs dans un seul indicateur.

Terraform

  1. Modifiez les valeurs des champs applicables dans le fichier de configuration Terraform que vous avez utilisé pour créer le cluster ou le pool de nœuds. Pour obtenir des descriptions détaillées des champs, consultez la documentation de référence de Terraform:

  2. Mettez à jour la configuration en exécutant terraform apply.

Mettre à jour les utilisateurs administrateur d'un cluster d'utilisateur

Le serveur d'API Kubernetes de chaque cluster doit pouvoir autoriser les requêtes qu'il reçoit. Pour configurer l'autorisation, vous devez configurer des stratégies de contrôle des accès basé sur les rôles (RBAC) Kubernetes sur chaque cluster. Un utilisateur administrateur est un utilisateur auquel le rôle cluster-admin a été attribué dans le cluster d'utilisateur. Ce rôle accorde à l'utilisateur un accès administratif complet au cluster.

Supposons qu'Alice et Bob soient les seuls utilisateurs administrateurs d'un cluster d'utilisateur particulier. Supposons qu'Alice souhaite ajouter Trent en tant qu'administrateur supplémentaire. Alice peut ajuster la configuration Terraform comme suit, puis exécuter terraform apply:

authorization {
  admin_users {
    username = "alice@example.com"
    username = "bob@example.com"
    username = "trent@example.com"
  }
}

L'ajustement précédent conserve Alice et Bob dans la liste des utilisateurs administrateurs et ajoute Trent à la liste des utilisateurs administrateurs. Notez qu'Alice et Bob doivent être listés dans la nouvelle configuration, car la commande terraform apply remplace la liste actuelle des utilisateurs administrateur par la liste spécifiée dans la configuration.

En savoir plus

Les documents répertoriés dans cette section fournissent des informations supplémentaires sur la mise à jour des clusters.

Mettre à jour le cluster/administrateur

Les documents suivants expliquent comment utiliser gkectl update admin et gkectl update cluster pour mettre à jour les fonctionnalités et les paramètres:

Mettre à jour des identifiants

Les documents suivants expliquent comment utiliser gkectl update credentials pour mettre à jour les clés et les certificats:

Étape suivante

Mettre à niveau un cluster