Configurer vous-même votre projet et votre cluster GKE
Lorsque vous installez Anthos Service Mesh à l'aide de asmcli
, la commande peut également configurer votre projet et votre cluster GKE sur Google Cloud si vous incluez --enable_all
ou des options d'activation plus précises.
Si vous préférez effectuer la configuration vous-même plutôt que de demander à asmcli
d'effectuer les modifications, suivez les étapes décrites sur cette page.
Si une version précédente d'Anthos Service Mesh est déjà installée, vous n'avez pas besoin de modifier votre projet ou votre cluster avant d'utiliser asmcli
pour passer à à la dernière version d'Anthos Service Mesh.
Par défaut, asmcli
n'installe pas la istio-ingressgateway
. Nous vous recommandons de déployer et de gérer le plan de contrôle et les passerelles séparément.
Anthos Service Mesh est compatible avec l'injection automatique pour les déploiements de passerelles, ce qui facilite les mises à niveau d'Anthos Service Mesh. Après avoir mis à niveau Anthos Service Mesh, vous redémarrez les passerelles de la même manière que vos services pour récupérer la nouvelle configuration de plan de contrôle.
Pour en savoir plus, consultez la section Installer et mettre à niveau des passerelles.
Avant de commencer
- Passez en revue les conditions préalables et la configuration requise.
- Planifiez l'installation ou la mise à niveau.
- Installez les outils nécessaires.
Configurer votre projet
Obtenez l'ID et le numéro du projet dans lequel le cluster a été créé.
gcloud
Exécutez la commande suivante :
gcloud projects list
Console
Accédez à la page Tableau de bord de la console Google Cloud.
Cliquez sur la liste déroulante en haut de la page. Sélectionnez votre projet dans la fenêtre Sélectionner qui s'affiche.
L'ID et le numéro du projet sont tous deux affichés sur la fiche Informations sur le projet du tableau de bord du projet.
Créez les variables d'environnement suivantes :
Définissez le pool de charges de travail à l'aide de l'ID du projet :
export WORKLOAD_POOL=PROJECT_ID.svc.id.goog
Définissez l'ID de maillage à l'aide du numéro de projet :
export MESH_ID="proj-PROJECT_NUMBER"
Définissez les rôles IAM (gestion de l'authentification et des accès). Si vous êtes un propriétaire de projet, vous disposez de toutes les autorisations nécessaires pour terminer l'installation. Si vous n'êtes pas un propriétaire de projet, quelqu'un doit vous accorder les rôles IAM spécifiques suivants. Dans la commande suivante, remplacez
PROJECT_ID
par l'ID du projet de l'étape précédente etGCP_EMAIL_ADDRESS
par le compte que vous utilisez pour vous connecter à Google Cloud.ROLES=( 'roles/servicemanagement.admin' \ 'roles/serviceusage.serviceUsageAdmin' \ 'roles/meshconfig.admin' \ 'roles/compute.admin' \ 'roles/container.admin' \ 'roles/resourcemanager.projectIamAdmin' \ 'roles/iam.serviceAccountAdmin' \ 'roles/iam.serviceAccountKeyAdmin' \ 'roles/gkehub.admin') for role in "${ROLES[@]}" do gcloud projects add-iam-policy-binding PROJECT_ID \ --member "user:GCP_EMAIL_ADDRESS" \ --role="$role" done
Si vous incluez l'option
--enable_all
ou--enable_gcp_iam_roles
lorsque vous exécutezasmcli
, celle-ci définit les rôles IAM requis pour vous.Activez les API Google requises :
gcloud services enable \ --project=PROJECT_ID \ mesh.googleapis.com
Outre
mesh.googleapis.com
, cette commande active également les API suivantes :API Description meshconfig.googleapis.com
Relaie les données de configuration de votre réseau maillé vers Google Cloud. Vous pouvez également accéder aux pages Anthos Service Mesh dans la console Google Cloud et utiliser l'autorité de certification Anthos Service Mesh (Mesh CA). meshca.googleapis.com
API Anthos Service Mesh Certificate Authority. Permet d'utiliser un fournisseur de certificats géré, inclus dans Anthos Service Mesh. Cette API est activée même si vous utilisez Certificate Authority Service ou Istio CA. container.googleapis.com
Permet de créer et de gérer des applications basées sur des conteneurs, via la technologie Open Source de Kubernetes. monitoring.googleapis.com
Gère vos données et configurations Cloud Monitoring. Permet de stocker les données de télémétrie d'application affichées dans la console Google Cloud. gkehub.googleapis.com
Permet de configurer le champ d'application de votre réseau maillé. Pour en savoir plus, consultez la documentation sur la gestion de parc. stackdriver.googleapis.com
Utilisé par la suite Google Cloud Operations pour collecter des signaux sur les applications, les plates-formes et les services Google Cloud internes et externes. opsconfigmonitoring.googleapis.com
Collecte, agrège et indexe les ressources dans Google Cloud, ce qui permet d'activer l'UI d'Anthos Service Mesh. connectgateway.googleapis.com
Permet à l'infrastructure de Google de se connecter en toute sécurité à vos clusters GKE enregistrés dans plusieurs environnements cloud et hybrides. L'activation des API peut prendre une minute ou plus. Lorsque les API sont activées, un résultat semblable au suivant s'affiche :
Operation "operations/acf.601db672-88e6-4f98-8ceb-aa3b5725533c" finished successfully.
Si vous incluez l'option
--enable_all
ou--enable_apis
lorsque vous exécutez la commandeasmcli
, celle-ci active les API requises pour vous.
Configurer votre cluster
Si vous incluez l'option --enable_all
ou l'une des options d'activation plus précises, le script asmcli
configure votre cluster pour vous.
Définissez la zone ou la région par défaut pour Google Cloud CLI. Si vous ne définissez pas la valeur par défaut ici, veillez à spécifier l'option
--zone
ou--region
dans les commandesgcloud container clusters
de cette page.Si vous disposez d'un cluster à zone unique, définissez la zone par défaut :
gcloud config set compute/zone CLUSTER_LOCATION
Si vous disposez d'un cluster régional, définissez la région par défaut :
gcloud config set compute/region CLUSTER_LOCATION
Définissez le libellé
mesh_id
sur le cluster. Si votre cluster contient des libellés existants que vous souhaitez conserver, vous devez les inclure lors de l'ajout du libellémesh_id
.Pour savoir si votre cluster possède des libellés existants, procédez comme suit :
gcloud container clusters describe CLUSTER_NAME \ --project PROJECT_ID
Recherchez le champ
resourceLabels
dans le résultat. Chaque libellé est stocké sur une ligne distincte du champresourceLabels
, par exemple :resourceLabels: csm: '' env: dev release: stable
Pour plus de commodité, vous pouvez ajouter les libellés à une variable d'environnement. Dans la commande suivante, remplacez
YOUR_EXISTING_LABELS
par la liste des libellés existants de votre cluster (séparés par une virgule) au formatKEY=VALUE
, par exemple :env=dev,release=stable
export EXISTING_LABELS="YOUR_EXISTING_LABELS"
Définissez le libellé
mesh_id
:Si votre cluster contient des libellés existants que vous souhaitez conserver, mettez à jour le cluster avec le libellé
mesh_id
et les libellés existants :gcloud container clusters update CLUSTER_NAME \ --project PROJECT_ID \ --update-labels=mesh_id=${MESH_ID},${EXISTING_LABELS}
Si votre cluster ne comporte aucun libellé existant, mettez-le à jour uniquement avec le libellé
mesh_id
:gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --update-labels=mesh_id=${MESH_ID}
Activer Workload Identity
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --workload-pool=${WORKLOAD_POOL}
L'activation de Workload Identity peut nécessiter de 10 à 15 minutes.
Initialisez votre projet afin de le préparer pour l'installation. Cette commande crée, entre autres, un compte de service pour permettre aux composants du plan de données, tels que le proxy side-car, d'accéder en toute sécurité aux données et aux ressources du projet. Dans la commande suivante, remplacez
FLEET_PROJECT_ID
par le projet hôte du parc.curl --request POST \ --header "Authorization: Bearer $(gcloud auth print-access-token)" \ --header "Content-Type: application/json" \ --data '{"workloadIdentityPools":["FLEET_PROJECT_ID.hub.id.goog","FLEET_PROJECT_ID.svc.id.goog","PROJECT_ID.svc.id.goog"]}' \ "https://meshconfig.googleapis.com/v1alpha1/projects/PROJECT_ID:initialize"
La commande renvoie des accolades vides :
{}
.Activez Cloud Monitoring et Cloud Logging sur GKE :
gcloud container clusters update CLUSTER_NAME \ --project=PROJECT_ID \ --enable-stackdriver-kubernetes
Votre projet et votre cluster sont maintenant prêts pour une nouvelle installation à l'aide de la commande asmcli
.