cegedim.cloudITCareAPI

K8s - Didacticiels

Débuter

Se connecter à l'UI Rancher

cegedim.cloud utilise Rancher comme plateforme de gestion de Kubernetes.

Rancher supporte la même authentification SSO que ITCare.

Instances Rancher

Rancher est accessible via différentes URL selon la région et l'environnement de votre cluster :

Région / Environnement
URL Rancher
Exigences d'Accès

ET (Toulouse-Labège) - Production

https://rancher-et.cegedim.cloud

Accès réseau serveur uniquement (ex : depuis un bastion)

ET (Toulouse-Labège) - Non-Production

https://rancher-et-qa.cegedim.cloud

Accès réseau standard

EB (Boulogne-Billancourt) - Production

https://rancher-eb.cegedim.cloud

Accès réseau serveur uniquement (ex : depuis un bastion)

EB (Boulogne-Billancourt) - Non-Production

https://rancher-eb-qa.cegedim.cloud

Accès réseau standard

EM (Monaco Cloud)

Géré par les mêmes Ranchers que la région EB

Même accès que EB

rancher-et.cegedim.cloud et rancher-eb.cegedim.cloud sont uniquement accessibles depuis le réseau serveur. Vous devez vous connecter via un hôte bastion pour accéder à ces instances Rancher.

Dans ITCare, vous pouvez trouver l'URL de votre cluster dans la page de détail de celui-ci :

Se connecter à Rancher

Rancher demandera une authentification lors de la première connexion : cliquez simplement sur "Login with OIDC".

Vous serez ensuite redirigé vers la mire de connexion standard :

Une fois connecté, vous devriez avoir un écran listant tous les clusters auxquels vous avez accès :

Si l'interface se bloque sur "Loading" après l'authentification, veuillez essayer :

Si lors de la première connexion vous ne voyez pas votre cluster dans la liste des clusters, vous pouvez vous déconnecter et vous reconnecter.

Gérer vos préférences

Vous pouvez gérer vos préférences d'interface utilisateur (thème sombre, nombre de lignes par tableau...) en configurant vos préférences utilisateur. Veuillez vous référer ici à la documentation complète ci-dessous.

https://rancher.com/docs/rancher/v2.x/en/user-settings/preferences/rancher.com

Configurer kubectl

Afin de se connecter au cluster en utilisant la CLI, vous avez deux options :

  • par kubectl normal à distance

  • en utilisant rancher online kubectl.

Les deux sont disponibles en accédant à la page "cluster" dans Rancher. Il y a deux façons de le faire :

Cliquez sur le nom du cluster dans la liste des clusters
Cliquez sur le nom du cluster dans le menu supérieur gauche

En utilisant le fichier de configuration kubectl

Une fois sur la page d'accueil du cluster, vous pouvez télécharger le "Kubeconfig File" :

Ou bien juste copier le contenu du "Kubeconfig File" :

Si vous ne disposez pas de kubectl, nous vous conseillons vivement d'installer kubectl sur votre poste d'administration en suivant ce document.

Cette configuration peut être mélangée avec d'autres configurations kubectl.

L'authentification peut être partagée avec tout cluster géré par la même instance de rancher.

Utilisation du cli web

Une fois sur la page d'accueil du cluster, vous pouvez utiliser le CLI web en cliquant sur l'icône ci-dessous :

Cela devrait lancer un shell web comme celui-ci :

Ce shell est temporaire, tout changement effectué à l'intérieur sera supprimé une fois la fenêtre fermée. Cette session peut être déconnectée si aucune entrée/sortie n'est observée.

Obtenir un Jeton API et Token

L'interface de gestion des jetons est accessible juste en dessous de l'avatar de l'utilisateur :

Portée des jetons

Il existe deux portées :

  • no-scope : portée globale : utilisé pour interagir avec l'API globale de Rancher

  • cluster-scoped : jeton dédié à l'accès à un cluster spécifique

Un jeton à portée de cluster est recommandé pour configurer les pipelines CI/CD. Cela signifie que vous avez besoin d'un jeton par cluster dans vos pipelines CI/CD.

Cycle de vie des jetons

Les jetons peuvent avoir des cycles de vie différents :

  • Une durée de vie illimitée, il suivra le cycle de vie du compte qui lui est rattaché

  • Une durée limitée

Gestion des nœuds

Redimensionner un cluster

Vous pouvez utiliser ITCare pour ajouter ou supprimer des nœuds à votre cluster.

Gérer les Namespaces

Comprendre les projets - Un concept de Rancher

Rancher gère les espaces de noms via project, qui est un concept n'existant spécifiquement que dans les clusters Kubernetes gérés par Rancher.

Le projet n'est pas une ressource native de Kubernetes. Par défaut, un cluster Kubernetes est provisionné avec 2 projets :

  • System : contenant les espaces de noms des composants principaux comme : kube-system, etc.

  • Default : contenant l'espace de noms "par défaut".

Les utilisateurs sont libres de créer d'autres projets si nécessaire. En se basant sur le niveau du projet, Rancher offre une automatisation intégrée comme : l'octroi de droits d'accès, l'isolation du réseau, etc.

Les utilisateurs sont fortement encouragés à classer les espaces de noms dans un projet.

Comment créer correctement un espace de noms

  • Passer à la vue projet

  • Créer un nouvel espace de noms à partir de la vue du projet

  • Insérez un nom unique et remplissez les autres champs si nécessaire, puis cliquez sur "Créer"

Si vous créez un espace de noms avec le CLI de kubernetes, par exemple kubectl, l'espace de noms créé sera déplacé dans le projet parent de l'espace de noms "default" (qui est, par défaut, le projet nommé Default).

Gestion des Droits

cegedim.cloud recommande et supporte officiellement la gestion des droits d'accès via les groupes AD.

Seuls les groupes AD commençant par G_EMEA_* et G_K8_* sont connus par Rancher.

Par défaut, lors de la création d'un cluster :

  • Le rôle d'utilisateur standard est donné au groupe G_K8_<NOM_DU_CLUSTER>_USERS qui contient les power users du Cloud associé.

  • Le rôle d'administrateur est attribué au groupe G_K8_<NOM_DU_CLUSTER>_ADMINS qui est vide par défaut et peut être complété par des utilisateurs compétents et certifiés via un ticket ITCare vers l'équipe de support AD.

Par exemple, l'utilisateur [email protected] a besoin d'accès standard au cluster test-preprod, il doit faire une demande pour l'ajouter dans le groupe AD nommé G_K8_TEST_PREPROD_USERS.

Lorsque les utilisateurs créent un nouveau projet, en tant que propriétaire par défaut, ils sont libres de lier n'importe quel rôle à n'importe quel groupe AD dans le cadre de ce projet.

LogoCluster and Project Roles | Rancherranchermanager.docs.rancher.com

Si les rôles prédéfinis de Rancher ne peuvent pas répondre à vos besoins, veuillez contacter les administrateurs de votre cluster pour configurer un rolebinding personnalisé ou un clusterrolebinding.

LogoUsing RBAC AuthorizationKubernetes

Gérer les Droits

Gestion des Droits au Niveau du Projet

cegedim.cloud supporte uniquement la liaison de droits sur les groupes, pas les utilisateurs individuels. Cela assure une gestion d'accès cohérente et simplifie l'administration.

Pour gérer les droits sur un projet, il existe deux moyens : l'interface utilisateur ou l'API.

Le rôle le plus élevé que vous pouvez attribuer est "Cegedim.Cloud Project Admin", qui est un rôle Rancher Project Owner prédéfini avec des droits étendus sur les ressources CRD (Custom Resource Definition).

Utilisation de l'Interface Utilisateur

Éditez le projet dont vous êtes propriétaire ou sur lequel vous avez suffisamment de droits accordés par le créateur du projet.

Sélectionnez le groupe et le rôle dans le formulaire.

Veuillez noter que seuls les groupes commençant par G_EMEA_* et G_K8_* sont connus par Rancher.

Utilisation de l'API

L'utilisation de l'API est simple. Vous aurez d'abord besoin de quelques paramètres :

  • Obtenir l'ID du Projet

Pour obtenir l'ID du projet, vous pouvez utiliser l'explorateur d'API ou simplement utiliser le bouton "View in API".

  • Donner l'Accès

En utilisant votre jeton API, vous pouvez faire une seule requête POST pour créer la liaison de rôle :

PreviousStockage PersistantNextHaute Disponibilité

Last updated