Gérer des ressources GKE à l'aide de tags

Cette page explique comment utiliser des tags pour gérer vos clusters Google Kubernetes Engine (GKE) et appliquer de manière conditionnelle des stratégies Identity and Access Management aux nœuds.

Présentation

Les tags sont des paires clé/valeur qui vous permettent d'annoter et de gérer vos ressources Google Cloud au niveau de l'organisation ou du projet. Vous pouvez utiliser des tags pour organiser vos ressources et appliquer des stratégies de manière conditionnelle, telles que des pare-feu ou des stratégies IAM. Les tags sont compatibles avec le contrôle des accès IAM, qui vous permet de définir qui peut associer, créer, mettre à jour ou supprimer des tags.

Cas d'utilisation des tags dans GKE

Vous pouvez utiliser des tags dans GKE dans les situations suivantes :

• Appliquez des règles de pare-feu réseau à des nœuds spécifiques de manière conditionnelle. Par exemple, refusez le trafic entrant provenant du réseau Internet public vers tous les nœuds d'un cluster dans des environnements de préproduction ou de test. Pour obtenir des instructions, consultez la section Appliquer de manière sélective les stratégies de pare-feu réseau dans GKE.
• Accordez des rôles IAM de manière conditionnelle en fonction de tags. Par exemple, accordez automatiquement aux sous-traitants l'accès à des environnements spécifiques qui ne seraient normalement disponibles que pour les employés à temps plein. Pour obtenir des instructions, consultez le reste de ce document.
• Auditez et analysez les informations de facturation en fonction des tags appliqués au niveau du projet ou de l'organisation.

Fonctionnement

Pour l'application de la stratégie de pare-feu réseau, vous créez un tag et désignez explicitement le tag pour l'utilisation du pare-feu. À toutes autres fins, vous créez un tag sans définir de désignation de pare-feu.

Après avoir créé le tag, vous devez l'associer à vos ressources GKE en tant que paire clé/valeur. Pour les stratégies de pare-feu réseau, vous utilisez l'API GKE, tandis que tous les autres objectifs utilisent l'API Tags.

Pour chaque clé, vous pouvez associer une valeur à une ressource. Par exemple, si vous avez associé env:dev à un cluster GKE, vous ne pouvez pas également associer env:prod ou env:test. Vous pouvez associer jusqu'à 50 tags sans pare-feu et jusqu'à cinq tags de pare-feu à chaque ressource.

Méthodes d'annotation des ressources dans GKE

Dans GKE, plusieurs méthodes permettent d'annoter vos ressources, comme indiqué dans le tableau suivant :

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

• Activez l'API Google Kubernetes Engine.
Activer l'API Google Kubernetes Engine
• Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

• Assurez-vous de disposer des rôles IAM suivants :

  • roles/resourcemanager.tagAdmin
  • roles/resourcemanager.tagUser

  Pour en savoir plus sur les autorisations accordées par ces rôles, consultez la section Autorisations requises.

• Assurez-vous de disposer d'un cluster GKE en cours d'exécution.

Associer des tags à un cluster

Vous pouvez associer des tags à un cluster existant, si vous disposez des autorisations appropriées, à l'aide de Google Cloud CLI, de la console Google Cloud ou de l'API Tags ou de Terraform.

gcloud alpha resource-manager tags bindings create \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

POST https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": "RESOURCE_ID",
  "tagValue": "TAG_VALUE_ID"
}

{
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.TagBinding",
    "name": "tagBindings///container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME/tagValues/TAG_VALUE_ID",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-tag"
  location = "us-central1"

  enable_autopilot = true

  # Set `deletion_protection` to `true` will ensure that one cannot
  # accidentally delete this instance by use of Terraform.
  deletion_protection = false
}

data "google_project" "default" {}

resource "google_tags_tag_key" "default" {
  parent      = "projects/${data.google_project.default.project_id}"
  short_name  = "env"
  description = "Environment tag key"
}

resource "google_tags_tag_value" "default" {
  parent      = "tagKeys/${google_tags_tag_key.default.name}"
  short_name  = "dev"
  description = "Development environment tag value."
}

resource "google_tags_location_tag_binding" "default" {
  parent    = "//container.googleapis.com/${google_container_cluster.default.id}"
  location  = google_container_cluster.default.location
  tag_value = "tagValues/${google_tags_tag_value.default.name}"
}

Répertorier les tags associés à un cluster

Vous pouvez répertorier les tags associés à un cluster à l'aide de gcloud CLI, de la console Google Cloud ou de l'API Tags.

gcloud alpha resource-manager tags bindings list \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

GET https://LOCATION-cloudresourcemanager.googleapis.com/v3/tagBindings

{
  "parent": RESOURCE_ID,
}

"tagBindings": [
  {
    "name": "tagBindings/%2F%2Fcontainer.googleapis.com%2Fprojects%2Ftags-bugbash-project%2Flocations%2LOCATION%2Fclusters%2Ftestcluster/tagValues/758072120217",
    "parent": "//container.googleapis.com/projects/PROJECT_ID/locations/LOCATION/clusters/CLUSTER_NAME",
    "tagValue": "TAG_VALUE_ID"
  }
]

Dissocier des tags d'un cluster

Vous pouvez dissocier un tag d'un cluster en supprimant la ressource de liaison de tag associée au cluster à l'aide de gcloud CLI, de la console Google Cloud ou de l'API Tags. Si vous devez supprimer un tag, vous devez d'abord dissocier toutes les ressources associées.

gcloud alpha resource-manager tags bindings delete \
    --tag-value=TAG_VALUE_ID \
    --parent=RESOURCE_ID \
    --location=CLUSTER_LOCATION

DELETE https://LOCATION-cloudresourcemanager.googleapis.com/v3/TAG_BINDING_NAME

Supprimer les clés et les valeurs de tag

Avant de supprimer des clés et des valeurs de tags, assurez-vous que les tags sont dissociés de toutes les ressources. Consultez la section Supprimer des tags pour savoir comment supprimer les clés et les valeurs.

Conditions et tags Identity and Access Management

Vous pouvez utiliser des tags et des conditions IAM pour attribuer des liaisons de rôles de manière conditionnelle aux utilisateurs dans la hiérarchie de votre projet. Lorsque vous modifiez ou supprimez le tag associé à un cluster, GKE peut supprimer l'accès des utilisateurs à ce cluster si une stratégie d'autorisation IAM avec des liaisons de rôles conditionnelles a été appliquée.

L'autorisation de lister et de créer des clusters GKE est vérifiée au niveau du projet, et non au niveau du cluster individuel. Si vous utilisez des liaisons de rôles IAM conditionnelles avec des tags au niveau du cluster pour restreindre l'accès à des clusters spécifiques, ces utilisateurs peuvent rencontrer des erreurs lorsqu'ils tentent de lister ou de créer des clusters dans le projet. Pour éviter ces erreurs, associez un tag au projet parent et utilisez une liaison de rôle conditionnelle pour accorder la liste ou créer l'accès. Pour plus d'informations sur les rôles et les autorisations, consultez la documentation de référence sur les rôles IAM.

Pour en savoir plus sur les autorisations d'accès conditionnelles dans IAM, consultez la section Conditions et tags Identity and Access Management.

Étapes suivantes

• Découvrez comment définir une règle d'administration avec des tags.
• Découvrez comment gérer les tags et associer des tags à des ressources.
• Consultez les autres services compatibles avec les tags.
• Apprenez à utiliser des tags avec IAM.