フリート全体にリソースをデプロイする

このチュートリアルでは、フリート パッケージを使用して、クラスタのフリート全体に Kubernetes リソース マニフェストをデプロイする方法について説明します。Config Sync のフリート パッケージなどの GitOps ツールを使用すると、多数のクラスタにわたって構成管理をスケールアップできます。

このチュートリアルでは、次のタスクを行います。

  • Git リポジトリを Cloud Build に接続する
  • クラスタを作成してフリートに登録する
  • Config Sync をフリートのデフォルトとしてインストールする
  • リポジトリからクラスタのフリートにリソースをデプロイする

始める前に

  1. Google Cloud CLI をインストールします。

  2. フェデレーション ID(連携 ID)を使用するように gcloud CLI を構成します。

    詳細については、連携 ID を使用して gcloud CLI にログインするをご覧ください。

  3. gcloud CLI を初期化するには、次のコマンドを実行します: 

    gcloud init

  4. プロジェクトを作成または選択します Cloud de Confiance

    プロジェクトを選択または作成するために必要なロール

    • プロジェクトを選択する: プロジェクトの選択に特定の IAM ロールは必要ありません。ロールが付与されているプロジェクトを選択できます。
    • プロジェクトを作成する: プロジェクトを作成するには、プロジェクト作成者ロール (roles/resourcemanager.projectCreator)が必要です。これには resourcemanager.projects.create 権限が含まれています。ロールを付与する方法を確認する

    • プロジェクトを作成します。 Cloud de Confiance 

      gcloud projects create PROJECT_ID

      PROJECT_ID は、作成する Cloud de Confiance プロジェクトの名前に置き換えます。

    • 作成した Cloud de Confiance プロジェクトを選択します。

      gcloud config set project PROJECT_ID

      PROJECT_ID は、 Cloud de Confiance プロジェクトの名前に置き換えます。

  5. プロジェクトで課金が有効になっていることを確認します Cloud de Confiance 。

  6. GKE、Config Delivery(フリート パッケージ)、Cloud Build、Developer Connect API を有効にします。

    API を有効にするために必要なロール

    API を有効にするには、 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。serviceusage.services.enableロールを付与する方法を確認する

    gcloud services enable container.googleapis.com  configdelivery.googleapis.com  cloudbuild.googleapis.com  developerconnect.googleapis.com
  7. GitHub アカウントを作成するか、アカウントへのアクセス権を取得します。

費用

このドキュメントでは、 の次の課金対象コンポーネントを使用します Cloud de Confiance by S3NS:

Git に接続する

Git リポジトリには、フリート全体にデプロイするリソースが含まれています。フリート パッケージを使用してこうしたリソースをデプロイするには、Git リポジトリを Cloud Build に接続する必要があります。

Git リポジトリを作成する

このチュートリアルでは、Git プロバイダとして GitHub を使用します。新しい GitHub リポジトリを作成する手順は次のとおりです。

  1. ウェブブラウザで GitHub を開きます。

  2. 必要に応じて GitHub アカウントにログインします。GitHub で他の組織またはチームにアクセスできる場合は、個人アカウントでリポジトリを作成していることを確認してください。

  3. ツールバーから、[Create new...](新規作成...) ボタンを選択し、 [New repository](新しいリポジトリ)をクリックします。

  4. リポジトリの名前として「fleet-package-tutorial」と入力します。

  5. リポジトリの公開設定として [公開] を選択したままにします。

  6. [リポジトリを作成] を選択します。

リポジトリを Cloud Build に接続する

Config Sync のフリート パッケージ サービスは、Cloud Build を使用して Git リポジトリから Kubernetes リソースを同期して取得します。

GitHub リポジトリを Cloud Build に接続するには、次の手順を行います。

  1. Cloud de Confiance コンソールで Cloud Build ページを開き、[リポジトリ] を選択します。

    [リポジトリ] ページを開く

  2. 第 2 世代の [リポジトリ] ページに移動します。必要に応じて、[リポジトリ(第 2 世代)を表示] を選択します。

  3. [ホスト接続を作成] をクリックします。

  4. [リージョン] メニューで、リージョンとして [us-central1(アイオワ)] を選択します。

  5. [名前] フィールドに、接続の名前として「fleet-package-quickstart-connection」を入力します。

  6. [接続] をクリックします。

  7. Cloud Build を GitHub アカウントに初めて接続する場合は、次の操作を行います。

    1. GitHub OAuth トークンのリクエストを承認します。トークンは、Cloud Build GitHub 接続で使用するために Secret Manager に保存されます。[続行] をクリックします。
    2. GitHub リポジトリに Cloud Build をインストールします。[新しいアカウントでインストール] を選択します。
    3. 新しい GitHub ウィンドウが開きます。ここで、先ほど Cymbal Bank のフォークを作成した GitHub アカウントを選択します。本番環境では、アクセス権を委任された他のアカウントまたはリポジトリを選択できます。
    4. 認証プロンプトに従って、GitHub で本人確認を行います。
    5. Cloud Build リポジトリ アクセスの GitHub ウィンドウで、[Only select repositories] を選択します。
    6. リポジトリが一覧表示されたプルダウン メニューから、fleet-package-tutorial リポジトリを選択します。
    7. [保存] をクリックします。

  8. Cloud de Confiance コンソールの Cloud Build ページで、[リポジトリをリンク] をクリックして、新しい Git リポジトリを Cloud Build に接続します。

  9. [接続] メニューで、[fleet-package-quickstart-connection] を選択します。

  10. [リポジトリ] メニューで、fleet-package-tutorial リポジトリを選択します。

  11. [リンク] をクリックします。

フリートを設定する

このセクションでは、クラスタを作成してフリートに登録し、Config Sync をフリート パッケージとしてインストールすることで、フリートを設定します。

クラスタを作成する

このチュートリアルでは、フリート パッケージを使用して複数のクラスタにリソースをデプロイする方法を示すために、2 つのクラスタを作成する方法について説明します。

2 つのクラスタを作成してプロジェクトのフリートに登録するには:

  1. GKE クラスタを作成します。

    gcloud container clusters create-auto cluster1 \
  --project=PROJECT_ID \
  --region=REGION \
  --fleet-project=PROJECT_ID \
  --release-channel=rapid

    次のように置き換えます。

    • PROJECT_ID: プロジェクト ID。
    • REGION は、クラスタを作成するリージョン(us-central1 など)に置き換えます。

  2. 2 番目の GKE クラスタを作成します。

    gcloud container clusters create-auto cluster2 \
  --project=PROJECT_ID \
  --region=REGION \
  --fleet-project=PROJECT_ID \
  --release-channel=rapid

Config Sync をフリートのデフォルトとしてインストールする

フリート パッケージ サービスを使用するには、両方のクラスタに Config Sync がインストールされている必要があります。次の手順を行うと、Config Sync を複数のクラスタに一度にインストールできます。また、今後フリートに登録されるクラスタにもインストールできます。

  1. Cloud de Confiance コンソールで、[機能マネージャー] ページに移動します。

    機能マネージャーに移動

  2. [Config Sync] ペインで、[構成] をクリックします。

  3. [フリートの設定をカスタマイズ] をクリックします。表示されるダイアログで、インストールする Config Sync のバージョンを選択します。

  4. [構成] をクリックします。

  5. [フリートの設定を構成] 確認ダイアログで、[確認] をクリックします。以前に Config Sync を有効にしていない場合は、[確認] をクリックして anthosconfigmanagement.googleapis.com API を有効にします。

  6. [フリート内のクラスタ] テーブルで、両方のクラスタを選択し、[フリートの設定に同期] をクリックします。これにより、構成した設定で両方のクラスタに Config Sync がインストールされます。

    クラスタの同期には数分かかることがあります。Config Sync が [インストール済み] と表示されたら、次の手順に進みます。

Cloud Build のサービス アカウントを設定する

サービス アカウントを作成して Cloud Build に必要な権限を付与する手順は次のとおりです。

  1. サービス アカウントを作成します。

    gcloud iam service-accounts create "quickstart-service-account"

  2. リソース バンドル パブリッシャー ロールの IAM ポリシー バインディングを追加して、Git リポジトリからリソースを取得する権限をサービス アカウントに付与します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member="serviceAccount:quickstart-service-account@PROJECT_ID.s3ns.iam.gserviceaccount.com" \
   --role='roles/configdelivery.resourceBundlePublisher'

    メッセージが表示されたら、ポリシーの条件として None を選択します。

  3. ログ書き込みロールの IAM ポリシー バインディングを追加して、サービス アカウントにログの書き込み権限を付与します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member="serviceAccount:quickstart-service-account@PROJECT_ID.s3ns.iam.gserviceaccount.com" \
   --role='roles/logging.logWriter'

    メッセージが表示されたら、ポリシーの条件として None を選択します。

  4. Artifact Registry 書き込みロールの IAM ポリシー バインディングを追加します。

    gcloud projects add-iam-policy-binding PROJECT_ID \
   --member="serviceAccount:quickstart-service-account@PROJECT_ID.s3ns.iam.gserviceaccount.com" \
   --role='roles/artifactregistry.writer'

    メッセージが表示されたら、ポリシーの条件として None を選択します。

フリート全体にリソースをデプロイする

このチュートリアルでは、nginx デプロイを含む Kubernetes マニフェストを Git リポジトリに追加し、リリースを公開してから、nginx アプリケーションをデプロイするフリート パッケージを作成します。

Kubernetes マニフェストをリポジトリに commit する

リソースを GitHub に追加してリリースを公開する手順は次のとおりです。

  1. GitHub リポジトリのウェブブラウザ ウィンドウで、[Add file]、[Create new file] の順にクリックします。

  2. ファイルに deployment.yaml という名前を付け、次のコンテンツを貼り付けます。

    apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - image: nginx:1.14.2
        name: nginx
        ports:
        - containerPort: 80

  3. [Commit changes...] をクリックします。

  4. 確認ダイアログで、[Commit directly to the main branch] を選択したままにして、[Commit changes] をクリックします。

  5. リポジトリのメインページで、サイドバーから [Releases] を選択します。

  6. ページの上部で [Draft a new release] を選択します。

  7. [Choose a tag] メニューを選択し、タグとして「v1.0.0」と入力します。[Create new tag] をクリックします。

  8. [Publish release] をクリックします。

フリート パッケージを使用してリソースをクラスタにデプロイする

新しいリソースをデプロイするには、新しいフリート パッケージを作成します。

  1. このフリート パッケージは、クラスタ セレクタ(target.fleet セクション)を定義していないため、フリート内のすべてのクラスタをターゲットにします。デプロイ バリアント(deployment.yaml ファイルから派生)をこれらのすべてのクラスタにデプロイするように構成されています。

    Cloud Shell で、次の内容を含むファイルを fleet-package.yaml という名前で作成します。

    resourceBundleSelector:
  cloudBuildRepository:
    name: projects/PROJECT_ID/locations/us-central1/connections/fleet-package-quickstart-connection/repositories/REPOSITORY_NAME
    tag: v1.0.0
    serviceAccount: projects/PROJECT_ID/serviceAccounts/quickstart-service-account@PROJECT_ID.s3ns.iam.gserviceaccount.com
    path:
    # Match all files (including deployment.yaml) to generate variants
    variantsPattern: "*.yaml"
target:
  fleet:
    project: projects/PROJECT_ID
rolloutStrategy:
  rolling:
    maxConcurrent: 1
variantSelector:
  # Explicitly match the variant generated from "deployment.yaml"
  variantNameTemplate: "deployment"

    REPOSITORY_NAME は、Cloud Build のリポジトリ名に置き換えます。通常は USERNAME-REPOSITORY_NAME 形式です。

  2. フリート パッケージを作成して、ロールアウトを開始します。

    gcloud container fleet packages create fp-nginx \
   --source=fleet-package.yaml \
   --project=PROJECT_ID

  3. フリート パッケージが作成されたことを確認します。

    gcloud container fleet packages list

    表示されたリンクをクリックすると、Cloud Build ジョブのストリーミング ログを表示できます。

    フリート パッケージが、フリート全体で Kubernetes リソースのロールアウトを開始します。

  4. Cloud de Confiance コンソールの [Google Kubernetes Engine] ページで、[ワークロード] ページに移動すると、すべての GKE クラスタにデプロイされているワークロードの集約ビューが表示されます。

    [ワークロード] ページを開く

    ワークロードが使用可能になるまでに数分かかることがあります。Autopilot が新しいデプロイのリソース リクエストを調整しているときに、可用性エラーが発生することもあります。

    フリート パッケージ定義で maxConcurrent:1 に設定されているため、フリート パッケージ API は、1 つのクラスタに nginx-deployment が完全にデプロイされるまで待機してから、2 番目のクラスタへのデプロイを開始します。ロールアウト戦略を maxConcurrent: 2 以上に変更した場合、リソースは両方のクラスタに同時にデプロイされます。

    数分後、両方のクラスタの nginx-deployment に 2 つの新しいワークロードが表示されます。ページの更新が必要になる場合があります。

フリート パッケージを使用した別のデプロイ戦略も考えてみましょう。たとえば、フリートに新しいクラスタを追加して、ワークロードがその新しいクラスタに自動的にデプロイされることを確認できます。デプロイ戦略とバリエーションの詳細については、フリート パッケージをデプロイするをご覧ください。

クリーンアップ

このページで使用したリソースについて、アカウントに課金されないようにするには、リソースを含むプロジェクトを削除します。 Cloud de Confiance Cloud de Confiance

  1. コンソールで [**リソースの管理**] ページに移動します。 Cloud de Confiance

    [リソースの管理] に移動

  2. プロジェクト リストで、削除するプロジェクトを選択し、[削除] をクリックします。
  3. ダイアログでプロジェクト ID を入力し、 [Shut down] をクリックしてプロジェクトを削除します。

リポジトリを削除するには、次の操作を行います。

  1. GitHub リポジトリのウェブブラウザ ウィンドウで、リポジトリ名の下にある [Settings] をクリックします。

  2. [General settings] ページ(デフォルトで選択されています)で、[Danger Zone] セクションに移動し、[Delete this repository] をクリックします。

  3. [I want to delete this repository] をクリックします。

  4. 警告を読み、[I have read and understand these effects] をクリックします。

  5. 削除されるリポジトリが正しいことを確認するには、テキスト フィールドに、リポジトリの名前を入力します。

  6. [Delete this repository] をクリックします。

次のステップ