Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you restart it, you'll have to start from the beginning.
- Click Start lab to begin
Create required resources with the fully automated deployment
/ 100
Dans cet atelier, vous allez apprendre à connecter en toute simplicité une application exécutée dans Kubernetes Engine à une instance Cloud SQL en utilisant un conteneur du proxy Cloud SQL en tant que conteneur side-car. Vous allez déployer un cluster Kubernetes Engine et une instance Postgres Cloud SQL, et utiliser le conteneur du proxy Cloud SQL afin qu'ils puissent communiquer entre eux.
Si cet atelier explique comment utiliser un conteneur du proxy Cloud SQL pour se connecter à une instance Cloud SQL, le processus sera le même pour tout service géré par Google Cloud nécessitant un accès à l'API.
Cet atelier a été conçu par les ingénieurs de GKE Helmsman pour vous permettre de comprendre comment utiliser Cloud SQL via un conteneur de proxy. Vous pouvez visualiser cette démonstration sur GitHub à la page gke-networking-demos. Toute contribution à l'enrichissement des ressources de cet atelier est la bienvenue.
Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :
Tous les nœuds Kubernetes Engine se voient attribuer le compte de service Compute Engine par défaut. Ce compte de service comporte des privilèges relativement élevés et peut accéder à de nombreux services Google Cloud. En raison de la configuration de Cloud SDK, les logiciels que vous concevez devront utiliser les identifiants attribués à l'instance Compute Engine sur laquelle ils sont exécutés.
Pour éviter d’accorder les privilèges du compte de service Compute Engine par défaut à tous vos conteneurs, vous allez devoir créer un compte de service possédant moins de privilèges, que vous utiliserez sur vos nœuds Kubernetes Engine. Vous créerez ensuite des comptes de service plus spécifiques, dont les privilèges seront aussi réduits, pour vos conteneurs.
Pour acquérir des identifiants de compte de service, vous n'avez que deux options :
Cet atelier va vous apprendre à intégrer un fichier d’identifiants à votre conteneur exécuté sur Kubernetes Engine afin d’accorder les privilèges nécessaires à votre application.
Vous pouvez déléguer au proxy Cloud SQL les tâches de création et de maintien de la connexion à votre instance Cloud SQL. Ainsi, les informations concernant votre connexion ne sont pas partagées avec votre application, ce qui garantit une meilleure gestion des secrets. Le proxy Cloud SQL intègre nativement Google en tant que conteneur Docker, qui peut être exécuté parallèlement au conteneur de votre application, dans le même pod Kubernetes Engine.
L'application et son conteneur side-car sont déployés dans un pod Kubernetes (k8s) unique s'exécutant sur le seul nœud du cluster Kubernetes Engine. L'application communique avec l'instance Cloud SQL via le processus de proxy Cloud SQL (qui écoute sur le port localhost).
Le fichier manifeste k8 crée un objet de déploiement unique comportant deux conteneurs, pgAdmin et le proxy Cloud SQL. Le cluster Kubernetes Engine comporte deux secrets : les informations de connexion de l'instance Cloud SQL et un fichier d'identifiants de clé de compte de service, tous deux utilisés par les conteneurs du proxy Cloud SQL lors des appels à l'API Cloud SQL.
L'application n'a pas besoin d'avoir plus d'informations sur le processus de connexion à Cloud SQL, ni d'être exposée à son API, car le processus du proxy Cloud SQL prend en charge toute la démarche. Il est important de noter que le conteneur du proxy Cloud SQL est exécuté en tant que conteneur side-car dans le pod.
Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.
Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.
Pour réaliser cet atelier :
Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :
Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).
L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.
Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.
Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.
Vous trouverez également le nom d'utilisateur dans le panneau Détails concernant l'atelier.
Cliquez sur Suivant.
Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.
Vous trouverez également le mot de passe dans le panneau Détails concernant l'atelier.
Cliquez sur Suivant.
Accédez aux pages suivantes :
Après quelques instants, la console Cloud s'ouvre dans cet onglet.
Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.
Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :
gcloud
est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.
Cliquez sur Autoriser.
Vous devez à présent obtenir le résultat suivant :
Résultat :
Résultat :
Exemple de résultat :
gcloud
, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.
Certaines ressources Compute Engine sont hébergées dans des régions et des zones. Une région est un emplacement géographique spécifique où vous pouvez exécuter vos ressources. Chaque région se compose d'une ou plusieurs zones.
Exécutez la commande suivante pour définir la région et la zone associées à votre atelier (vous pouvez utiliser la région/zone qui vous convient le mieux) :
Le déploiement est entièrement automatisé. Le script que vous allez déployer accepte les paramètres suivants, dans l'ordre :
Vous pouvez créer le nom d'utilisateur de votre choix pour l'instance Cloud SQL et utiliser n'importe quelle adresse e-mail dans la console pgAdmin. Dans cet exemple, nous avons choisi "dbadmin" et l'adresse e-mail d'élève temporaire qui vous a été attribuée.
Enregistrez votre compte élève dans une variable :
dbadmin
et $PG_EMAIL
(votre compte student@qwiklabs.net) dans le résultat :Les mots de passe devant à nouveau être utilisés dans cet atelier, faites en sorte qu'ils ne soient pas trop complexes.
Pendant le déploiement, create.sh
exécutera les scripts suivants :
enable_apis.sh
: active l'API Kubernetes Engine et l'API Cloud SQL Admin.postgres_instance.sh
: crée l'instance Cloud SQL et l'utilisateur Postgres supplémentaire. Étant donné que votre session gcloud arrivera à expiration pendant le délai nécessaire à la création d'une instance Cloud SQL, le script devra vérifier manuellement son achèvement.service_account.sh
: crée le compte de service pour le conteneur du proxy Cloud SQL et crée le fichier d'identifiants.cluster.sh
: crée le cluster Kubernetes Engine.configs_and_secrets.sh
: crée les codes secrets Kubernetes Engine et un fichier configMap contenant les identifiants et la chaîne de connexion pour l'instance Cloud SQL.pgadmin_deployment.sh
: crée le pod pgAdmin4.create.sh
.
Exposez ensuite le pod à l'aide de l'équilibreur de charge pour vous connecter à l'instance, puis supprimez les services une fois le processus terminé afin d'éviter tout accès non autorisé.
Résultat :
Dans la console Cloud, accédez au menu de navigation > SQL, puis cliquez sur l'ID d'instance.
Dans le menu de gauche, cliquez sur Connexions, puis sur Mise en réseau.
Après avoir coché la case "Adresse IP publique", cliquez sur Ajouter un réseau.
Nommez le réseau, puis activez l'accès public :
Cliquez sur OK.
Cliquez sur Enregistrer.
Ouvrez un nouvel onglet et connectez-vous à pgAdmin dans votre navigateur à l'aide de l'adresse IP pgAdmin <SVC_IP> :
Revenez à la console Cloud et accédez à la page SQL. Cliquez sur l'onglet Présentation.
Copiez l'adresse IP publique.
Dans la console pgAdmin, cliquez sur Servers (Serveurs) dans le panneau de gauche, puis sur Add New Server (Ajouter un nouveau serveur).
Dans l'onglet General (Général), attribuez un nom à votre serveur, puis cliquez sur l'onglet Connexion.
Utilisez le nom d'utilisateur <DATABASE_USER_NAME> (dbadmin) et le mot de passe <USER_PASSWORD> que vous avez créés précédemment pour vous connecter à 127.0.0.1:5432 :
<DATABASE_USER_NAME>
(dbadmin)<USER_PASSWORD>
que vous avez crééTester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si vous avez réussi à créer les ressources requises avec le déploiement entièrement automatisé, vous recevez une note d'évaluation.
La validation est entièrement automatisée. Le script de validation vérifie l'existence de l'instance Cloud SQL, du cluster Kubernetes Engine et du pod en cours d'exécution. Toutes ces ressources devraient avoir été créées une fois le script de déploiement terminé.
Le script utilise le paramètre INSTANCE_NAME
(nom de l'instance Cloud SQL existante).
En cas de réussite, le résultat doit se présenter comme suit :
La suppression est entièrement automatisée. Le script de suppression efface toutes les ressources créées dans le script de déploiement.
Le script utilise le paramètre INSTANCE_NAME
(nom de l'instance Cloud SQL existante).
teardown.sh
exécute les scripts suivants :
delete_resources.sh
: supprime toutes les ressources, à l'exception de l'instance Cloud SQLdelete_instance.sh
: supprime l'instance Cloud SQLLorsque vous créez une instance Cloud SQL, vous obtenez l'erreur suivante :
Après avoir supprimé une instance, vous ne pouvez pas réutiliser son nom pendant un laps de temps pouvant aller jusqu'à une semaine. Pour en savoir plus, consultez Supprimer des instances.
Vous avez connecté une application dans Kubernetes Engine à une instance Cloud SQL en utilisant un conteneur du proxy Cloud SQL en tant que conteneur side-car. Vous avez ensuite déployé un cluster Kubernetes Engine et une instance Postgres Cloud SQL, et utilisé le conteneur du proxy Cloud SQL pour leur permettre de communiquer entre eux.
Cet atelier d'auto-formation fait partie de la quête Google Kubernetes Engine Best Practices. Une quête est une série d'ateliers associés qui constituent un parcours de formation. Si vous terminez cette quête, vous obtenez un badge attestant de votre réussite. Vous pouvez rendre publics les badges que vous recevez et ajouter leur lien dans votre CV en ligne ou sur vos comptes de réseaux sociaux. Découvrez toutes les quêtes disponibles dans le catalogue Google Cloud Skills Boost.
Consultez les consignes d'installation de Kubernetes pour déployer une application en conteneur pour de multiples plates-formes.
Dernière modification du manuel : 16 octobre 2023
Dernier test de l'atelier : 17 octobre 2023
Copyright 2024 Google LLC. Ce logiciel est distribué tel quel, sans garantie ni représentation pour quelque utilisation ou fin que ce soit. Votre utilisation de ce logiciel est sujette à l'accord conclu avec Google.