Préparer la configuration de l'API Gateway pour Cloud Service Mesh

Cette page explique comment installer les définitions de ressources personnalisées requises pour la passerelle dans votre cluster.

Limites

  • Il n'est pas possible de combiner des clusters gateway config-api et istio config-api dans le même parc. Assurez-vous que config-api est défini sur gateway pour tous les clusters de votre parc. Utilisez la commande gcloud container fleet mesh describe --project FLEET_PROJECT_ID pour voir ce que vous avez configuré pour votre parc.
  • La détection de services et l'équilibrage de charge multiclusters ne sont pas compatibles avec les clusters gateway config-api.
  • Si un cluster est intégré à l'aide de l'indicateur --management automatic existant, il commence à utiliser l'API de configuration istio et ne peut pas passer à l'API gateway.
  • Seuls les FQDN sont acceptés. Les noms courts ne sont pas acceptés.

Remarques concernant la gestion du plan de données

Pour les nouveaux pods, Google gère la version du proxy qui est injectée. Notez que le plan de données géré s'appuie sur le version disponible Google Kubernetes Engine (GKE) pour déterminer la version du proxy.

Pour les pods existants, la gestion du proxy est effectuée de manière passive, en fonction du cycle de vie naturel des pods du cluster. Pour déclencher la mise à jour et réinjecter de nouvelles versions du proxy, redémarrez vos charges de travail.

Prérequis

Pour commencer, ce guide suppose que vous avez déjà créé un projet Google Cloud et installé kubectl.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Kubernetes Engine, GKE Hub, and Cloud Service Mesh APIs.

    Enable the APIs

    8.

    Créer et enregistrer un cluster GKE

    gcloud

    Créez un cluster GKE :

    gcloud container clusters create CLUSTER_NAME \
--location=LOCATION \
--enable-ip-alias \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--release-channel=regular \
--project=PROJECT_ID \
--gateway-api=standard \
--workload-pool=PROJECT_ID.svc.id.goog \
--workload-metadata=GKE_METADATA

    où :

    • CLUSTER_NAME est le nom de votre cluster.
    • LOCATION est l'emplacement de votre cluster.
    • PROJECT_ID est l'ID de projet de votre cluster.

    Console

    1. Accédez à la page Google Kubernetes Engine dans la console Google Cloud .

      Accéder à Google Kubernetes Engine

    2. Cliquez sur Créer.

    3. Dans la section Standard, cliquez sur Configurer.

    4. Dans la section Paramètres de base du cluster, procédez comme suit :

      1. Saisissez le nom de votre cluster.
      2. Pour le type d'emplacement, sélectionnez une région Compute Engine pour votre cluster.

    5. Dans le volet de navigation, cliquez sur default-pool dans la section Pools de nœuds, puis sélectionnez Sécurité.

    6. Dans la liste Niveaux d'accès, sélectionnez Définir l'accès pour chaque API, puis définissez Cloud Platform sur Activé.

    7. Dans le volet de navigation, cliquez sur Mise en réseau dans la section Cluster.

    8. Dans la liste Mise en réseau du cluster, sélectionnez Activer l'API Gateway.

    9. Dans le volet de navigation, cliquez sur Sécurité dans la section Cluster.

    10. Dans la liste Sécurité, sélectionnez Activer Workload Identity.

    11. Cliquez sur Créer.

    Une fois le cluster créé,

    1. Enregistrez votre cluster dans un parc :

      gcloud container fleet memberships register CLUSTER_NAME \
--gke-cluster LOCATION/CLUSTER_NAME \
--project=PROJECT_ID

    2. Vérifiez que le cluster est enregistré dans le parc :

      gcloud container fleet memberships list --project=PROJECT_ID

      Le résultat est semblable à :

      NAME            EXTERNAL_ID                             LOCATION
my-cluster      91980bb9-593c-4b36-9170-96445c9edd39    us-west1

    Configurer les autorisations

    Notez que les commandes suivantes accordent des autorisations à tous les utilisateurs authentifiés, mais vous pouvez utiliser la fédération d'identité de charge de travail pour GKE afin d'accorder des autorisations uniquement à certains comptes. Pour en savoir plus sur le fonctionnement de Workload Identity Federation for GKE, consultez À propos de Workload Identity Federation for GKE. Pour configurer Workload Identity Federation for GKE, consultez S'authentifier auprès des API Google Cloud à partir de charges de travail GKE.

    Attribuez le rôle trafficdirector.client :

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "group:PROJECT_ID.svc.id.goog:/allAuthenticatedUsers/" \
    --role "roles/trafficdirector.client"

    Activer Cloud Service Mesh

    1. Activez la fonctionnalité de maillage :

      gcloud container fleet mesh enable --project PROJECT_ID

    2. Mettez à jour le maillage pour utiliser l'API Gateway :

      gcloud alpha container fleet mesh update \
--config-api gateway \
--memberships CLUSTER_NAME \
--project PROJECT_ID

    3. Vérifiez la mise à jour en décrivant l'état de la ressource Cloud Service Mesh :

      gcloud alpha container fleet mesh describe \
--project PROJECT_ID

    Définir les nouveaux abonnements de votre parc pour qu'ils utilisent l'API Gateway par défaut (facultatif)

    Vous pouvez également créer des paramètres par défaut au niveau du parc pour que les nouveaux clusters GKE enregistrés dans le parc lors de leur création soient automatiquement configurés avec l'API Gateway.

    1. Créez un fichier YAML spécifiant l'utilisation de l'API Gateway :

      echo "configapi: gateway" > mesh.yaml

    2. Mettez à jour votre réseau maillé :

      gcloud alpha container fleet mesh update --project FLEET_PROJECT_ID \
    --fleet-default-member-config mesh.yaml

    3. Créez un cluster et enregistrez-le dans votre parc en une seule étape pour utiliser la configuration par défaut :

      gcloud container clusters create CLUSTER_NAME \
    --project PROJECT_ID \
    --fleet-project FLEET_PROJECT_ID \
    --location=LOCATION \

    4. Activez la fédération d'identité de charge de travail pour GKE et exécutez le serveur de métadonnées GKE sur votre nœud.

    Installer des définitions de ressources personnalisées

    Générez une entrée kubeconfig pour votre cluster : 

    gcloud container clusters get-credentials CLUSTER_NAME --location LOCATION --project PROJECT_ID

    où :

    • CLUSTER_NAME est le nom de votre cluster.
    • LOCATION est l'emplacement de votre cluster.
    • PROJECT_ID est l'ID de projet de votre cluster.

    Installez la définition de ressource personnalisée (CRD) GRPCRoute :

    curl https://raw.githubusercontent.com/kubernetes-sigs/gateway-api/v1.1.0/config/crd/standard/gateway.networking.k8s.io_grpcroutes.yaml \
| kubectl apply -f -

    Le résultat est semblable à :

    customresourcedefinition.apiextensions.k8s.io/grpcroutes.gateway.networking.k8s.io created

    Étapes suivantes