Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Création d’un cluster Google Compute Engine

Dans cette section, vous apprendrez à utiliser Rancher pour provisionner un RKE2 ou K3s cluster Kubernetes sur Google Cloud Platform (GCP) en utilisant Google Compute Engine (GCE) via Rancher.

Tout d’abord, vous activerez le pilote de nœud GCE dans l’interface utilisateur de Rancher. Ensuite, vous suivrez les étapes pour créer un compte de service GCP avec les autorisations nécessaires et générer un fichier de clé JSON. Ce fichier de clé sera utilisé pour créer un identifiant cloud dans Rancher.

Ensuite, vous créerez un cluster GCE dans Rancher, et lors de la configuration du cluster, vous définirez des pools de machines pour celui-ci. Chaque pool de machines aura un rôle Kubernetes d’etcd, de controlplane ou de worker. Rancher installera RKE2 sur les nouveaux nœuds, et il configurera chaque nœud avec le rôle Kubernetes défini par le pool de machines.

  1. Activer le pilote de nœud GCE

  2. Créez un identifiant cloud

  3. Créez un cluster en utilisant l’identifiant cloud

  4. Meilleures pratiques GCE

Conditions préalables

  1. Un compte et un projet Google Cloud Platform valides.

  2. Un fichier de clé JSON de compte de service GCP. Le compte de service associé à cette clé doit avoir les rôles IAM suivants :

    1. Administrateur Compute

    2. Utilisateur de compte de service

    3. Visionneuse

  3. Un réseau VPC pour provisionner des VM.

Consultez la documentation GCP sur la création et la gestion des clés de compte de service pour plus de détails.

Activer le pilote de nœud GCE

Le pilote de nœud GCE n’est pas activé par défaut dans Rancher. Vous devez l’activer avant de pouvoir provisionner des clusters GCE ou travailler avec des CRD spécifiques à GCE.

  1. Cliquez sur ☰ > Gestion des clusters.

  2. Sur le côté gauche, cliquez sur Drivers.

  3. Ouvrez l’onglet Node Drivers.

  4. Trouvez le pilote Google GCE et sélectionnez ⋮ > Activer.

Créez un identifiant cloud

  1. Cliquez sur ☰ > Gestion des clusters.

  2. Cliquez sur Identifiants cloud.

  3. Cliquez sur Créer.

  4. Click Google.

  5. Entrez votre fichier de clé JSON de compte de service GCP.

  6. Cliquez sur Créer.

Résultat : Vous avez créé les identifiants cloud qui seront utilisés pour provisionner des nœuds dans votre cluster. Vous pouvez réutiliser ces identifiants dans d’autres clusters. En fonction des autorisations accordées au compte de service, cet identifiant peut également être utilisé pour des clusters GKE.

Créez un cluster en utilisant l’identifiant cloud

  1. Cliquez sur ☰ > Gestion des clusters.

  2. Sur la page Clusters, cliquez sur Créer.

  3. Click Google GCE.

  4. Sélectionnez un Identifiant Cloud et fournissez le projet GCP pour créer la VM.

  5. Entrez un Nom de cluster.

  6. Créez un pool de machines pour chaque rôle Kubernetes. Référez-vous aux [meilleures pratiques](use-new-nodes-in-an-infra-provider.md#node-roles) pour des recommandations sur les attributions de rôles et les quantités.

    1. Pour chaque pool de machines, définissez la configuration de la machine. Référez-vous à la référence de configuration des machines Google GCE pour des informations sur les options de configuration.

  7. Utilisez la Configuration du Cluster pour choisir la version de Kubernetes qui sera installée, quel fournisseur de réseau sera utilisé et si vous souhaitez activer l’isolement réseau des projets. Pour obtenir de l’aide sur la configuration du cluster, référez-vous aux références de configuration du RKE2 et K3s.

  8. Utilisez les Rôles de membre pour configurer l’autorisation des utilisateurs pour le cluster. Cliquez sur Ajouter un membre pour ajouter des utilisateurs pouvant accéder au cluster. Utilisez le menu déroulant Rôle pour définir les permissions pour chaque utilisateur.

  9. Cliquez sur Créer.

Résultat :

Votre cluster est créé et a un état de Provisionnement. Rancher est en train de mettre en place votre cluster.

Vous pouvez accéder à votre cluster après que son état soit mis à jour à Actif.

Les clusters Actifs sont assignés à deux projets :

  • Default, contenant l’espace de noms default

  • System, contenant les espaces de noms cattle-system, traefik, kube-public et kube-system

Meilleures pratiques GCE

Règles de passerelle de périmètre de sécurité externes, ports ouverts et ACE

Si le cluster en cours de provisionnement utilisera la fonctionnalité de point de terminaison de cluster autorisé (ACE), les nœuds de contrôle doivent exposer le port 6443. Ce port n’est pas exposé dans la configuration par défaut du pool de machines pour éviter qu’il ne soit exposé sur tous les nœuds du cluster, et pour réduire le nombre de règles de passerelle de périmètre de sécurité créées par Rancher.

Pour que l’ACE fonctionne comme prévu, vous devez spécifier ce port dans l’interface utilisateur de Rancher lors de la configuration du pool de machines de contrôle en activant la case à cocher Expose external ports, sous la section Show Advanced de l’interface de configuration du pool de machines. Alternativement, vous pouvez créer manuellement une règle de passerelle de périmètre de sécurité personnalisée dans GCP et fournir le tag réseau associé dans la configuration du pool de machines de contrôle.

Règles de passerelle de périmètre de sécurité internes

Rancher créera automatiquement une règle de passerelle de périmètre de sécurité et un tag réseau pour faciliter la communication entre les nœuds du cluster en interne au sein du réseau VPC spécifié. Cette règle contiendra le nombre minimum de ports requis pour créer un cluster RKE2/K3s.

Si vous devez étendre le nombre de ports exposés en interne entre les nœuds du cluster, une nouvelle règle de passerelle de périmètre de sécurité doit être créée manuellement, et le tag réseau associé doit être attribué aux pools de machines concernés. Si vous le souhaitez, la création automatique de la règle de passerelle de périmètre de sécurité interne peut être désactivée pour chaque pool de machines donné lors de la création ou de la mise à jour du cluster.

Déploiements inter-réseaux

Bien qu’il soit possible de déployer différents pools de machines dans différents réseaux VPC, la règle de passerelle de périmètre de sécurité interne créée par Rancher ne prend pas en charge cette configuration par défaut. Pour créer des pools de machines dans différents réseaux, des règles de passerelle de périmètre de sécurité supplémentaires doivent être créées manuellement pour faciliter la communication entre les nœuds dans différents réseaux.

Étapes suivantes optionnelles

Après avoir créé votre cluster, vous pouvez y accéder via l’interface utilisateur de Rancher. En tant que meilleure pratique, nous recommandons de mettre en place ces méthodes alternatives pour accéder à votre cluster :

  • Accédez à votre cluster avec la CLI kubectl : Suivez ces étapes pour accéder aux clusters avec kubectl sur votre station de travail. Dans ce cas, vous serez authentifié via le proxy d’authentification du serveur Rancher, puis Rancher vous connectera au cluster en aval. Cette méthode vous permet de gérer le cluster sans l’interface utilisateur de Rancher.

  • Accédez à votre cluster avec la CLI kubectl, en utilisant le point de terminaison de cluster autorisé : Suivez ces étapes pour accéder directement à votre cluster avec kubectl, sans vous authentifier via Rancher. Nous recommandons de mettre en place cette méthode alternative pour accéder à votre cluster afin que, dans le cas où vous ne pouvez pas vous connecter à Rancher, vous puissiez toujours accéder au cluster.