IBM Cloud Docs
Configuration du module complémentaire Advanced Cluster Management (certaines régions uniquement)

Configuration du module complémentaire Advanced Cluster Management (certaines régions uniquement)

Le module complémentaire Advanced Cluster Management (ACM) offre aux clients un moyen simplifié de gérer la surveillance, le placement des charges de travail et les politiques de sécurité sur plusieurs clusters.

Le module complémentaire de gestion avancée des clusters n'est disponible que dans certaines régions.

L'installation d'ACM à partir de OperatorHub n'est pas prise en charge pour les clusters IBM Cloud. Pour installer l'ACM, suivez les instructions de cette page.

Le cluster sur lequel vous installez ACM est le cluster hub. Pendant ou après l'installation, vous pouvez spécifier plusieurs clusters gérés à gérer avec ACM.

Avant de commencer

Avant d'installer le module complémentaire ACM, vérifiez les étapes et les informations préalables suivantes.

  1. Examinez les types de plans ACM et décidez du plan que vous souhaitez utiliser. Notez que pour ACM for Virtualization, il est recommandé que vos clusters gérés utilisent des nœuds de travail en métal nu.
  2. Assurez-vous que vos clusters répondent aux exigences suivantes.
    • Votre cluster hub doit être un cluster VPC avec au moins 3 nœuds de travail qui exécutent RHCOS et un minimum de 6 VCPU et 64GB RAM. Pour la haute disponibilité, assurez-vous que votre cluster dispose d'au moins un nœud de travail par zone sur 3 zones.
    • Chaque cluster géré doit avoir au moins 3 nœuds de travail qui exécutent RHCOS et un minimum de 6 VCPU et 64GB RAM.
    • En outre, si vous souhaitez utiliser le plan ACM pour la virtualisation, il est recommandé d'utiliser des nœuds de travail en métal nu. Pour le plan ACM for Kubernetes, les clusters gérés peuvent fonctionner avec des nœuds métalliques nus ou des VSI.
  3. Passez en revue les opérateurs qui sont automatiquement installés par le module complémentaire ACM et les opérateurs optionnels que vous pouvez installer en tant qu'extensions.
  4. Vous devez avoir le rôle d'accès à la plate-forme Administrateur et le rôle d'accès au service Gestionnaire pour le cluster dans IBM Cloud Kubernetes Service.
  5. Vous devez disposer d'un cluster VPC avec au moins 3 nœuds de travail. Chaque nœud de travail doit disposer d'un minimum de 4 CPU et de 16GB RAM. Pour la haute disponibilité, assurez-vous que votre cluster dispose d'au moins un nœud de travail par zone sur 3 zones.
  6. Créez un profil de confiance sur votre cluster à utiliser pour ACM.
  7. Pour chaque cluster que vous souhaitez gérer avec ACM, vous devez créer un secret sur le cluster concentrateur avec le jeton d'accès du cluster géré et le serveur URL. Cette étape peut être réalisée avant ou après l'installation. Voir Préparation des secrets pour l'ACM.
  8. Installer ou mettre à jour le CLI.

Créer un profil de confiance pour ACM

Suivez les étapes pour créer un profil de confiance à utiliser pour l'ACM.

  1. Suivez les étapes pour créer un profil de confiance. Dans les conditions du profil, veillez à spécifier l'accès suivant.

    • Autoriser l'accès lorsque l'espace de noms est égal à kube-system
    • Satellite Rôles de service - Satellite Link Administrateur, lecteur
    • Kubernetes Service Rôles - Gestionnaire, rédacteur
    • Rôles du service de facturation - Lecteur, opérateur

  2. Après avoir créé votre profil de confiance, copiez l'identifiant à partir de la page Profils de confiance de la console.

  3. Créez le secret suivant en utilisant l'ID du profil de confiance. Sauvegardez le texte suivant et entrez vos données d'identification. Vous pouvez suivre les étapes pour créer le secret manuellement ou utiliser le script shell pour créer automatiquement le secret dans votre cluster.

    IBMCLOUD_AUTHTYPE=pod-identity
IBMCLOUD_PROFILEID=<TRUSTED-PROFILE-ID>

  4. Créez un secret dans votre cluster qui contient les informations d'identification pour le profil de confiance. Enregistrez le fichier YAML suivant dans un fichier appelé ibm-cloud-credentials.yaml. Dans le champ ibm-credentials.env:, entrez l'ID du profil de confiance.

    apiVersion: v1
data:
  ibm-credentials.env: # Trusted profile ID
kind: Secret
metadata:
  name: ibm-cloud-credentials
  namespace: kube-system
type: Opaque

  5. Connectez-vous à votre compte. Le cas échéant, ciblez le groupe de ressources approprié. Définissez le contexte de votre cluster.

  6. Créez le secret dans votre cluster.

    kubectl apply -f ibm-cloud-credentials.yaml

Préparation des secrets pour l'ACM

Pour chaque cluster que vous souhaitez gérer avec ACM, vous devez créer un secret sur le cluster concentrateur qui inclut le jeton d'accès du cluster géré et le serveur URL.

Si vous souhaitez importer des clusters gérés au cours du processus d'installation du module complémentaire ACM, effectuez les étapes suivantes avant de commencer l'installation. Si vous choisissez de créer les secrets et d'importer les clusters gérés après l'installation du module complémentaire sur le cluster du concentrateur, vous pouvez le faire en effectuant des étapes supplémentaires à l'aide de la CLI.

Effectuez les étapes suivantes pour chaque cluster que vous souhaitez gérer.

  1. Sur le cluster que vous souhaitez gérer avec ACM, exécutez la commande pour trouver le serveur URL. Dans le résultat, recherchez et notez la valeur du maître URL. Il s'agit du serveur URL à référencer dans le secret. Vous utiliserez également ce site URL dans les étapes suivantes.

    ibmcloud oc cluster get -c <cluster_name_or_ID>

    Exemple de sortie.

    NAME:                           mycluster
ID:                             1234567
State:                          normal
Created:                        2025-01-22T19:22:16+0000
Location:                       dal10
Master URL:                     https://c100-e.<region>.containers.cloud.ibm.com:<port>
...

  2. Obtenir le point de terminaison du jeton du serveur oauth de Red Hat OpenShift. Remplacez <master_URL> par le URL trouvé à l'étape précédente. Notez que la valeur de la sortie est pas le jeton d'accès.

    curl <master_URL>/.well-known/oauth-authorization-server | jq -r .token_endpoint

    Exemple de sortie.

    <token_endpoint>/oauth/token

  3. Connectez-vous au cluster avec le noeud final que vous avez récupéré précédemment. Remplacez <URL> par le <token_endpoint> du serveur oauth que vous avez trouvé à l'étape précédente. Dans la sortie, trouvez le site <access_token> contenu dans la réponse Location. Il s'agit du jeton d'accès à inclure dans le secret.

    Exemple de requête curl :

    curl -u 'apikey:<API_key>' -H "X-CSRF-Token: a" '<URL>/oauth/authorize?client_id=openshift-challenging-client&response_type=token' -vvv

    Exemple de sortie. Le <access_token> est inclus dans la chaîne de réponse Location.

    < HTTP/1.1 302 Found
< Cache-Control: no-cache, no-store, max-age=0, must-revalidate
< Cache-Control: no-cache, no-store, max-age=0, must-revalidate
< Expires: 0
< Expires: Fri, 01 Jan 2030 00:00:00 GMT
< Location: <token_endpoint>/oauth/token/implicit#access_token=<access_token>&expires_in=86400&scope=user%3Afull&token_type=Bearer
...

  4. Sur le cluster hub, créez un secret qui contient le jeton d'accès au cluster et le serveur URL. Pour plus d'informations sur la création de secrets, voir Working with secrets dans la documentation Kubernetes.

    Exemple de secret.

    apiVersion: v1
kind: Secret
metadata:
  name: <secret_name>
  namespace: <secret_namespace>  # The namespace that the secret is to be created in
type: Opaque
stringData:
  token: <access_token>
  server: <server_url>

Installation d'ACM à partir de l'interface utilisateur

Utilisez l'interface utilisateur pour installer le module complémentaire ACM et l'opérateur ACM sur le cluster du concentrateur.

  1. Si vous souhaitez importer un ou plusieurs clusters gérés pour les gérer avec ACM au cours du processus d'installation, suivez les étapes de la section Préparation des secrets pour ACM pour créer le secret requis sur le cluster concentrateur. Sauvegarder le nom secret et l'espace de noms. Vous pouvez également ignorer cette étape pour l'instant et la terminer après le processus d'installation, mais des étapes CLI supplémentaires seront nécessaires.

  2. Connectez-vous à la console IBM Cloud et accédez à la page Clusters. Cliquez sur le cluster sur lequel vous souhaitez installer ACM.

  3. Sur la page de détails du cluster, trouvez la section Add-ons.

  4. Sous Disponible pour l'installation, recherchez l'option Red Hat Advanced Cluster Management et cliquez sur Installer.

  5. Sur la page d'installation, sélectionnez la version du module complémentaire ACM à installer.

  6. Choisissez le plan ACM que vous souhaitez utiliser : ACM pour la virtualisation ou ACM pour Kubernetes. Vous pouvez passer du plan ACM for Virtualization au plan ACM for Kubernetes à tout moment, mais notez que la mise à niveau est permanente et ne peut pas être annulée.

  7. Choisissez la méthode d'importation des clusters gérés. Pour importer des clusters après l'installation du module complémentaire, sélectionnez Importer à partir de l'interface CLI. Si vous avez créé les secrets requis sur le cluster concentrateur et que vous souhaitez importer des clusters gérés maintenant, sélectionnez Importer maintenant.

    Vous ne pouvez utiliser l'interface utilisateur pour importer des clusters gérés que pendant le processus d'installation. Une fois que le module complémentaire ACM est installé sur le cluster du concentrateur, vous devez utiliser le CLI pour importer les clusters gérés.

    1. Si vous avez choisi l'option Importer maintenant, cliquez sur Importer le cluster dans le menu contextuel.
    2. Pour importer des clusters qui existent dans le compte, sélectionnez le cluster et entrez le nom secret et l'espace de noms. Ensuite, cliquez sur Suivant.
    3. Pour importer des clusters inter-comptes ou externes, indiquez l'ID du cluster, le nom du secret et l'espace de noms du secret. Cliquez ensuite sur Importer un cluster.

  8. Cliquez sur Créer.

  9. Vérifiez que le module complémentaire est installé sur votre cluster.

    1. Naviguez vers votre OpenShift Web Console Multicluster Hub.
    2. Dans le menu de navigation déroulant, sélectionnez Gestion de la flotte.
    3. Recherchez la liste de vos clusters et vérifiez que votre cluster est listé avec le type de plan de contrôle Hub.

  10. En option: Passez en revue les opérateurs supplémentaires que vous pouvez installer pour améliorer les fonctionnalités de l'ACM.

Installation d'ACM à partir de l'interface de programmation

Utilisez le CLI pour installer le module complémentaire ACM sur le cluster du concentrateur.

  1. Recherchez la version par défaut du module complémentaire ACM.

    ibmcloud oc cluster addon versions

  2. Examiner les options complémentaires de l'ACM. Dans la commande, indiquez la version par défaut trouvée à l'étape précédente. Notez les options que vous souhaitez inclure lors de l'installation du module complémentaire.

    ibmcloud oc cluster addon options --addon acm --version <default_version>

  3. Si vous souhaitez importer des clusters qui seront gérés par l'add-on et, si ce n'est pas déjà fait, suivez les étapes de la section Préparer les secrets pour ACM. Veillez à enregistrer l'identifiant du cluster ainsi que le nom et l'espace de noms du secret que vous créez sur le cluster hub. Vous pouvez également effectuer ce processus après l'installation du module complémentaire sur le cluster du concentrateur, mais des étapes supplémentaires sont nécessaires pour importer les clusters gérés après l'installation.

  4. Exécutez la commande pour activer le module complémentaire. Veillez à spécifier les paramètres billingPlan et isLicenseAccepted, ainsi que le paramètre facultatif --managedClusters si vous souhaitez importer des clusters au cours de la procédure d'installation.

    ibmcloud oc ibmcloud oc cluster addon enable acm --cluster HUB_CLUSTER_ID 'managedClusters=["clusterid:CLUSTER_ID;secretname:SECRET_NAME;secretnamespace:SECRET_NAMESPACE;action:IMPORT"]' --param 'billingPlan=PLAN' --param 'isLicenseAccepted=BOOLEAN' --param

    Paramètres de la commande. Voir l'exemple de commande ci-dessous pour un exemple de chaque type de paramètre.

    --cluster
    Obligatoire. L'ID du hub cluster sur lequel installer l'add-on ACM.
    --param 'managedClusters=["]
    Optionnel. Incluez ce paramètre une ou plusieurs fois pour importer des clusters gérés au cours du processus d'installation du module complémentaire. Vous pouvez également effectuer cette étape ultérieurement. Pour plus d'informations, voir Préparation des secrets pour l'ACM.
    Indiquez les valeurs suivantes :
    • clusterid: L'ID du cluster géré à importer.
    • secretname: Le nom du secret que vous avez créé sur le cluster hub. Ce secret contient les informations d'identification pour le cluster géré.
    • secretnamespace: L'espace de noms du secret que vous avez créé sur le cluster du concentrateur. Ce secret contient les informations d'identification pour le cluster géré.
    • action:IMPORT: Le paramètre qui spécifie l'action IMPORT pour le cluster géré.
    --param 'billingPlan='
    Obligatoire. Le plan de facturation que vous souhaitez sélectionner pour ACM. Les options comprennent KUBERNETES pour le plan ACM pour Kubernetes ou VIRTUALIZATION pour le plan ACM pour la virtualisation. Notez que vous pouvez ultérieurement passer d' ACM for Virtualization à ACM for Kubernetes, mais la mise à niveau est permanente et ne peut pas être annulée.
    --param 'isLicenseAccepted='
    Obligatoire. Spécifiez TRUE pour accepter l'accord de licence pour le plan de facturation sélectionné. En acceptant cette licence, vous acceptez les conditions générales applicables et reconnaissez que vous comprenez les services inclus dans le plan sélectionné.

    Exemple de commande pour installer le module complémentaire ACM avec le plan de facturation ACM for Virtualization et importer un cluster géré.

    ibmcloud ks cluster addon enable acm --cluster a5bcde982dfer2nwxq73 --param 'managedClusters=["clusterid:w7rthce34gfbq7ww12d3;secretname:managed-secret-1;secretnamespace:managed-ns1;action:Import"]' --param 'billingPlan=KUBERNETES' --param 'isLicenseAccepted=true'

  5. Vérifiez que le module complémentaire est installé. Il peut s'écouler plusieurs minutes avant que le module complémentaire n'apparaisse dans les résultats suivants.

    1. Sur le cluster hub, vérifiez que la ressource acmhub est créée.

      oc get acmhub

      Exemple de sortie.

          NAME       AGE
    acm-auto   1h

    2. Sur le cluster du concentrateur, vérifiez l'état de acmhub.

      oc describe acmhubstatus

      Exemple de sortie.

      status
    phase: Ready

  6. En option: Passez en revue les opérateurs supplémentaires que vous pouvez installer pour améliorer les fonctionnalités de l'ACM.

Opérateurs de l'ACM

Passez en revue les opérateurs qui sont automatiquement installés par le module complémentaire ACM et les opérateurs optionnels que vous pouvez installer en tant qu'extensions.

Opérateurs installés automatiquement

Les opérateurs suivants sont automatiquement installés sur votre cluster hub ou sur les clusters gérés lorsque vous installez le module complémentaire ACM.

Opérateurs installés automatiquement pour ACM.
Opérateur Description
Opérateur de gestion avancée des clusters (ACM) Installé sur la grappe de moyeux.
MultiCluster Opérateur de moteur Installé sur les clusters gérés par l'opérateur ACM.

Opérateurs facultatifs

Les opérateurs suivants sont facultatifs et peuvent être installés sur le cluster concentrateur ou les clusters gérés afin d'améliorer les fonctionnalités de l'ACM. Notez que IBM n'est pas responsable de la gestion de ces opérateurs.

Vous êtes responsable de la gestion de ces opérateurs, y compris, mais sans s'y limiter, de la mise à jour, de la surveillance, de la récupération et de la réinstallation.

Opérateurs optionnels pour l'ACM.
Opérateur Description Renseignements supplémentaires
GitOps Opérateur
  • Permet d'exécuter les applications Argo-cd à partir de la console ACM.
  • Installer sur le cluster hub et tous les clusters gérés.
 GitOps vue d'ensemble
Red Hat OpenShift Opérateur de virtualisation
  • Permet de gérer les charges de travail des machines virtuelles en même temps que celles des conteneurs.
  • Installer sur les clusters gérés.
  • Disponible uniquement pour les clusters bare metal (s'applique uniquement au cluster géré).
 Installation de l'opérateur de virtualisation OpenShift

Importation de clusters gérés après l'installation d'ACM

Il existe plusieurs façons d'importer des clusters pour les gérer avec ACM. Avant de pouvoir importer un cluster, assurez-vous d'avoir créé le secret requis pour ACM.

Toutes les grappes gérées par ACM doivent appartenir à un ensemble de grappes. Vous pouvez créer un nouvel ensemble de clusters ou ajouter des clusters à l'ensemble de clusters Default. Si aucun ensemble de clusters n'est spécifié, les clusters gérés sont ajoutés à l'option Default.

Importation d'un cluster géré à l'aide de la CLI

Pour importer un cluster géré à l'aide de l'interface de programmation, modifiez la ressource ACM afin d'inclure le cluster à gérer.

  1. Exécutez la commande pour modifier la ressource ACM.

    oc edit acmhub <resource_name>

  2. Dans la section managedClusters de la ressource, ajoutez l'ID du cluster, le nom du secret du cluster créé pour ACM, l'espace de noms pour le secret et spécifiez l'action Import. Voir l'exemple ci-dessous pour la mise en forme. L'exemple suivant importe cluster_id_1.

    managedclusters:
  - clusterid: "cluster_id_1"
    secretname: "managed-secret-1"
    secretnamespace: "managed-namespace" # The namespace that the secret was created in
    action: "Import"

  3. Sauvegardez et appliquez les modifications.

Importation d'un cluster géré à l'aide du jeton OpenShift et du serveur API URL

Rassemblez le jeton OpenShift et le serveur API URL pour le cluster que vous souhaitez importer, puis utilisez la console ACM pour importer le cluster.

  1. Dans la console IBM Cloud, naviguez vers votre liste de clusters et cliquez sur le cluster que vous souhaitez importer.

  2. Sur la page des détails de cluster, cliquez sur Console Web OpenShift.

  3. Cliquez sur le menu déroulant du nom d'utilisateur, illustré par le format IAM#username. Dans le menu déroulant, cliquez sur Copier la commande de connexion.

  4. Cliquez sur Afficher le jeton pour afficher vos commandes de connexion. Trouvez la commande qui commence par oc login et enregistrez le jeton API (sha256~XXXX) et le serveur URL.

  5. Accédez à votre console ACM. Cliquez sur Infrastructure > Clusters > Importer un cluster existant.

  6. Suivez les invites pour importer votre cluster et indiquez le jeton API et le serveur URL dans la section des paramètres.

Importation d'un cluster géré à l'aide de la commande kubeconfig

Rassemblez les détails de votre kubeconfig, puis utilisez la console ACM pour importer le cluster.

  1. Depuis le CLI de IBM Cloud, exécutez la commande suivante pour obtenir le kubeconfig du cluster que vous souhaitez importer. Enregistrer le contenu du fichier kubeconfig affiché dans la sortie.

    ibmcloud ks cluster config --cluster <cluster_name> --admin --output yaml

  2. Accédez à votre console ACM. Cliquez sur Infrastructure > Clusters > Importer un cluster existant.

  3. Suivez les instructions pour importer votre cluster et inclure le contenu de kubeconfig dans la section des paramètres.

Importation d'un cluster géré à l'aide d'une commande générée

Utilisez la console ACM pour générer une commande d'importation d'un cluster, puis exécutez cette commande sur le cluster à importer.

  1. Accédez à votre console ACM. Cliquez sur Infrastructure > Clusters > Importer un cluster existant.
  2. Sélectionnez l'option permettant de générer une commande d'importation. Copier la commande.
  3. Connectez-vous au CLI de IBM Cloud et exécutez la commande sur le cluster que vous souhaitez importer.

Mise à jour ou suppression d'un cluster géré

Pour supprimer ou mettre à jour le cluster géré d'une instance ACM, vous devez modifier la section managedClusters de la ressource personnalisée ACM sur le cluster concentrateur.

  1. Exécutez la commande pour modifier la ressource ACM.

    oc edit acmhub <resource_name>

  2. Dans la section managedClusters de la ressource, ajoutez l'ID du cluster, le nom du secret du cluster créé pour ACM, l'espace de noms pour le secret et l'action que vous voulez mettre en œuvre pour le cluster. Voir l'exemple ci-dessous pour la mise en forme. Pour l'action, précisez Delete ou Update. Notez que pour supprimer un cluster, vous n'avez pas besoin du secret ou de l'espace de noms secret.

    L'exemple suivant supprime cluster_id_1 et met à jour cluster_id_2.

    managedclusters:
  - clusterid: "cluster_id_1"
    action: "Delete"
  - clusterid: "cluster_id_2"
    secretname: "managed-secret-2"
    secretnamespace: "managed-namespace-2" # The namespace that the secret was created in
    action: "Update"

  3. Sauvegardez et appliquez les modifications.

Mise à jour de la version de l'ACM

Exécutez la commande pour mettre à jour le module complémentaire vers une nouvelle version.

ibmcloud oc cluster addon update acm --cluster <cluster_id> --version <add-on_version>

Pour vérifier que le module complémentaire a été mis à jour, dressez la liste des modules complémentaires de votre cluster. Dans le résultat, recherchez les détails de l'extension ACM.

ibmcloud oc cluster addon ls --cluster <cluster_id>

Suppression du module complémentaire ACM

Suivez les étapes pour supprimer le module complémentaire ACM.

  1. Supprimez la ressource ACM du cluster du concentrateur.

    oc delete acmhub <resource_name>

  2. Une fois la ressource supprimée, supprimez le module complémentaire ACM. Spécifiez le même ID de cluster.

    ibmcloud oc cluster addon disable acm -f --cluster <cluster_id>