Cette page a été traduite par l'API Cloud Translation.

Configurer Terraform

Pour utiliser Terraform dans votre environnement Google Distributed Cloud (GDC) isolé, vous devez le télécharger et le configurer pour qu'il gère les ressources Kubernetes.

Avant de commencer

Téléchargez Terraform sur votre poste de travail en suivant la documentation fournie par HashiCorp : https://developer.hashicorp.com/terraform/install.
Vérifiez que vous disposez d'un bucket de stockage GDC. Si vous n'avez pas de bucket de stockage, créez-en un.
Assurez-vous que votre système peut reconnaître le certificat de l'autorité de certification (CA) utilisé par le stockage d'objets.

Gérer le fichier d'état

Dans Terraform, le fichier d'état permet d'enregistrer l'état actuel du déploiement et de le mapper à la configuration Terraform. Étant donné que le stockage d'objets GDC est implémenté à l'aide de S3, vous pouvez utiliser l'API Terraform S3 pour effectuer la synchronisation avec un fichier d'état partagé. Pour ce faire, vous devez configurer Terraform pour qu'il se synchronise avec l'état à distance :

Ajoutez la configuration suivante à un fichier Terraform stocké localement, tel que le fichier main.tf :
```
terraform {
  backend "s3" {
    bucket = "BUCKET_FQN"
    key = "TF_STATE_PATH"
    endpoint = "BUCKET_ENDPOINT"
    skip_credentials_validation = true
    force_path_style = true
    access_key = "ACCESS_KEY"
    secret_key = "SECRET_KEY"
    ...
  }
}
```
Remplacez les éléments suivants :
- BUCKET_FQN : nom complet de la ressource personnalisée Bucket.
- TF_STATE_PATH : emplacement du fichier d'état Terraform à stocker dans le bucket de stockage.
- BUCKET_ENDPOINT : point de terminaison de la ressource personnalisée Bucket.
- ACCESS_KEY : clé d'accès obtenue à partir du secret contenant vos identifiants d'accès. Suivez Obtenir les identifiants d'accès au bucket pour obtenir la clé d'accès.
- SECRET_KEY : clé secrète obtenue à partir du secret contenant vos identifiants d'accès. Suivez Obtenir les identifiants d'accès au bucket pour obtenir la clé secrète.
Vous devez définir skip_credentials_validation et force_style_path sur true, car GDC n'est pas compatible avec la validation des identifiants et utilise le point de terminaison de style chemin d'accès.

Remarque : Nous vous recommandons d'utiliser des variables d'environnement pour stocker les identifiants. Si les identifiants sont codés en dur, ils sont stockés dans le répertoire .terraform et dans les fichiers de plan.
Initialisez les nouvelles modifications du fichier d'état dans le bucket de stockage que vous avez spécifié à l'étape précédente :
```
terraform init
```
Terraform peut demander une région AWS comme entrée obligatoire, mais la valeur n'est pas utilisée, car vous utilisez le stockage d'objets GDC. Saisissez n'importe quelle région AWS pour répondre à l'exigence.

Définir des autorisations

En plus des autorisations requises pour effectuer une tâche spécifique à l'aide de Terraform, comme la création d'un projet GDC, vous devez également disposer des autorisations nécessaires pour afficher les définitions de ressources personnalisées à ce niveau. Appliquez les autorisations requises pour utiliser Terraform :

Créez la ressource de rôle de cluster crd-viewer :
```
kubectl apply --kubeconfig KUBECONFIG -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: crd-viewer
rules:
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["get", "list", "watch"]
EOF
```
Remplacez KUBECONFIG par le fichier kubeconfig du serveur d'API ou du cluster qui héberge la ressource que vous gérez avec Terraform. Par exemple, la plupart des ressources s'exécutent sur le serveur de l'API Management. Pour les charges de travail de conteneur, définissez le fichier kubeconfig de votre cluster Kubernetes. Veillez à définir le serveur d'API global si vous gérez une ressource globale.

Associez le rôle de cluster défini à l'étape précédente à l'utilisateur :

kubectl apply --kubeconfig KUBECONFIG -f - <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: crd-viewer-binding
subjects:
- kind: User
  name: USER_EMAIL
roleRef:
  kind: ClusterRole
  name: crd-viewer
  apiGroup: rbac.authorization.k8s.io
EOF

Répétez ces étapes pour chaque serveur ou cluster d'API pour lesquels vous souhaitez définir des autorisations Terraform.

Installer et configurer le fournisseur Terraform

Vous devez installer le fournisseur Kubernetes pour provisionner et gérer les ressources Kubernetes.

Dans un fichier Terraform de votre module, tel que le fichier main.tf, insérez le bloc required_providers suivant :

terraform {
  required_providers {
    kubernetes = {
      source = "hashicorp/kubernetes"
      version = "~>2.6.1"
    }
  }
}

Initialisez votre répertoire de travail Terraform pour installer le fournisseur :
```
terraform init
```