Cette documentation concerne la version la plus récente de GKE sur Azure, publiée en novembre 2021. Consultez les notes de version pour plus d'informations.

Conditions d'accès

Cette page décrit les exigences d'Azure et de Google Cloud pour utiliser GKE sur Azure.

Azure

Cette section décrit les autorisations Azure et l'accès réseau requis pour installer et utiliser GKE sur Azure.

Rôles et autorisations d'installation

Pour configurer votre compte Azure pour GKE sur Azure, vous avez besoin des rôles intégrés Azure suivants :

Administrateur d'applications pour créer une application Azure Active Directory et importer des certificats.
Administrateur des accès utilisateur pour accorder l'accès à un groupe de ressources et à des ressources.
Contributeur pour créer des ressources.

Rôles et autorisations pour l'application

Afin d'autoriser GKE sur Azure à gérer les ressources de votre compte Azure, vous devez accorder les autorisations d'enregistrement de l'application. La section suivante décrit ces autorisations.

Pour obtenir des exemples d'attribution de ces autorisations, consultez la section Prérequis.

Créer des rôles personnalisés

GKE sur Azure a besoin des autorisations suivantes pour créer des rôles personnalisés permettant aux plans de contrôle de cluster d'accéder aux ressources du même réseau virtuel.

Champ d'application : votre groupe de ressources VNet

Autorisations :

"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleDefinitions/write",
"Microsoft.Authorization/roleDefinitions/delete",

Rejoindre le réseau VNet

GKE sur Azure a besoin des autorisations suivantes pour joindre des ressources au réseau virtuel (VNet). Il configure également les attributions de rôles pour permettre aux instances de machine virtuelle (VM) du plan de contrôle d'utiliser le réseau virtuel.

Champ d'application : ressource VNet

Autorisations :

"*/read",
"Microsoft.Network/*/join/action",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",

Rôles pour l'identité des VM

GKE sur Azure a besoin des rôles intégrés Azure suivants pour créer des ressources et gérer les attributions de rôles d'identité de VM au sein des groupes de ressources. GKE sur Azure utilise également Azure Key Vault pour distribuer les secrets.

Champ d'application : votre groupe de ressources de cluster

Rôles :

Accès au réseau sortant

Par défaut, les clusters GKE sur Azure sont privés pour votre Azure Virtual Network (VNet). Cela signifie que le trafic entrant provenant d'Internet n'est pas autorisé, et que les VM n'ont pas d'adresses IP publiques.

L'accès Internet sortant limité est requis pour créer et gérer des clusters. La connectivité Internet sortante doit être fournie par une passerelle NAT.

Connexions sortantes

Cette section définit les adresses auxquelles GKE sur Azure doit se connecter pour créer et gérer des clusters.

Connexions générales

Les VM du plan de contrôle et du pool de nœuds doivent pouvoir résoudre le DNS et établir des connexions TCP sortantes sur le port 443.

Noms des hôtes sortants

GKE sur Azure peut se connecter aux points de terminaison suivants :

Point de terminaison	Motif
`storage.googleapis.com`	Pour récupérer des dépendances binaires depuis Cloud Storage lors de l'installation.
`*.gcr.io`	Pour récupérer les dépendances binaires depuis Container Registry lors de l'installation.
`gkeconnect.googleapis.com`	Pour la gestion de plusieurs clusters Google Kubernetes Engine (GKE) Enterprise Edition.
`oauth2.googleapis.com` `sts.googleapis.com`	Pour l'authentification de cluster.
`logging.googleapis.com`	Pour envoyer des journaux à Cloud Logging.
`monitoring.googleapis.com`	Pour envoyer des métriques à Cloud Monitoring.
`opsconfigmonitoring.googleapis.com`	Pour envoyer des métadonnées de ressources à Cloud Monitoring.
`servicecontrol.googleapis.com`	Pour Cloud Audit Logging.

Accès IAP

Cette section décrit les rôles et les autorisations Google Cloud Identity and Access Management (IAM) dont vous avez besoin pour installer GKE sur Azure.

Rôles de gestion de l'authentification et des accès (IAM)

Installer GKE sur Azure

Pour installer la version bêta de GKE sur Azure, l'utilisateur qui active l'API GKE sur Azure doit faire partie d'une liste d'autorisation.

Gestion des clusters

Pour gérer les clusters GKE, vous pouvez utiliser les rôles IAM prédéfinis. Pour plus d'informations, consultez la section Autorisations des API.

API Google Cloud

GKE sur Azure utilise les API suivantes dans votre projet Google Cloud :

gkemulticloud.googleapis.com
anthos.googleapis.com
gkeconnect.googleapis.com
cloudresourcemanager.googleapis.com
containerregistry.googleapis.com
gkehub.googleapis.com
logging.googleapis.com
monitoring.googleapis.com
opsconfigmonitoring.googleapis.com
servicecontrol.googleapis.com
serviceusage.googleapis.com
stackdriver.googleapis.com
storage-api.googleapis.com
storage-component.googleapis.com
securetoken.googleapis.com
iam.googleapis.com
iamcredentials.googleapis.com
sts.googleapis.com

Configurer le poste de travail

Pour installer et mettre à niveau votre installation GKE sur Azure, vous devez avoir accès à un poste de travail exécutant Linux ou macOS. Dans ce document, nous partons du principe que vous utilisez une interface système bash sous Linux ou macOS. Si vous n'avez pas accès à un environnement shell Bash, vous pouvez utiliser Cloud Shell.

Azure

Pour installer GKE sur Azure, vous devez installer Azure CLI. Pour en savoir plus, consultez la page Installer la CLI Azure.

Google Cloud CLI

Installez et gérez des clusters GKE sur Azure avec Google Cloud CLI à partir de la version 347.0.0 de Google Cloud CLI ou d'une version ultérieure. Pour vérifier que gcloud CLI est installé, exécutez la commande suivante :

gcloud version

Si gcloud CLI n'est pas installé, consultez la page Installer Google Cloud CLI.

Étape suivante

Remplissez les conditions préalables à l'installation.