Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Installation de l’adaptateur

Si vous essayez de réinstaller l’adaptateur, vous pourriez rencontrer des messages d’erreur de non-conformité pendant jusqu’à une heure.

Rancher vs. Matrice de compatibilité de l’adaptateur

Important :

Différentes versions de l’adaptateur CSP dépendent de fonctionnalités présentes dans des versions spécifiques de Rancher. Pour déployer et exécuter l’adaptateur avec succès, vous devez vous assurer que sa version correspond à la version nécessaire de Rancher.

Version de Rancher	Version de l’adaptateur
v2.14.1	v109.0.0+up9.0.0
v2.13.3	v108.0.0+up8.0.0
v2.13.2	v108.0.0+up8.0.0
v2.13.1	v108.0.0+up8.0.0
v2.13.0	v108.0.0+up8.0.0

Version de Rancher

Version de l’adaptateur

v2.14.1

v109.0.0+up9.0.0

v2.13.3

v108.0.0+up8.0.0

v2.13.2

v108.0.0+up8.0.0

v2.13.1

v108.0.0+up8.0.0

v2.13.0

v108.0.0+up8.0.0

1. Accéder à la grappe locale

Seuls les utilisateurs administrateurs doivent avoir accès à la grappe locale. Étant donné que l’adaptateur CSP doit être installé dans la grappe locale, cette installation doit être effectuée par un utilisateur administrateur.

Tout d’abord, cliquez sur la grappe locale et téléchargez un token kubeconfig. Vous pouvez ensuite configurer votre CLI pour utiliser ce nouveau token avec la commande suivante, en remplaçant $TOKEN_PATH par le chemin sur votre système de fichiers vers le token téléchargé :

export KUBECONFIG=$TOKEN_PATH

2. Créer l’espace de noms de l’adaptateur

Créez l’espace de noms dans lequel l’adaptateur sera installé.

kubectl create ns cattle-csp-adapter-system

3. Créer des secrets de certificat

L’adaptateur nécessite un accès à la CA racine que Rancher utilise pour communiquer avec le serveur Rancher. Vous pouvez en savoir plus sur les options de certificat prises en charge par Rancher dans la page des options de graphique.

Si votre installation Rancher utilise un certificat signé par une autorité de certification reconnue telle que Let’s Encrypt, vous pouvez passer en toute sécurité à Étape 4.

Cependant, si votre installation Rancher utilise un certificat personnalisé tel qu’un certificat généré par Rancher ou un certificat signé par une autorité de certification privée, vous devrez fournir le certificat de cette autorité au format PEM pour que l’adaptateur puisse communiquer avec Rancher.

Tout d’abord, récupérez le certificat que Rancher utilise et placez-le dans un fichier nommé ca-additional.pem. Si vous utilisez l’option des certificats générés par Rancher, cela peut être fait avec la commande suivante :

kubectl get secret tls-rancher -n cattle-system -o jsonpath="{.data.tls\.crt}" | base64 -d  >> ca-additional.pem

Ensuite, créez un secret qui utilise ce certificat :

kubectl -n cattle-csp-adapter-system create secret generic tls-ca-additional --from-file=ca-additional.pem

Ne changez pas les noms du fichier ou du secret créé. Modifier ces valeurs peut entraîner des erreurs lors de l’exécution de l’adaptateur.

4. Installer le Chart

Tout d’abord, ajoutez le dépôt rancher/charts en utilisant la commande suivante :

helm repo add rancher-charts https://charts.rancher.io

Ensuite, installez l’adaptateur CSP. Vous devez spécifier plusieurs valeurs, y compris le numéro de compte et le nom du rôle créé dans les prérequis.

Assurez-vous d’utiliser la version de l’adaptateur CSP qui correspond à la version de Rancher que vous exécutez, comme défini ci-dessus.

Pour les instructions ci-dessous, remplacez $MY_ACC_NUM par votre numéro de compte AWS et $MY_ROLE_NAME par le nom du rôle créé dans les prérequis. De plus, remplacez $CSP_ADAPTER_VERSION par la version qui correspond à votre version de Rancher dans la matrice de versions.

Si vous utilisez des variables shell, ne spécifiez pas de guillemets. Par exemple, MY_ACC_NUM=123456789012 fonctionnera, mais MY_ACC_NUM="123456789012" échouera.

Les comptes utilisant l’annonce du marché AWS pour l’UE et le Royaume-Uni devront spécifier une option --set image.repository=rancher/rancher-csp-adapter-eu supplémentaire. Pour voir si votre compte a besoin de cette option lors de l’installation de l’adaptateur, référez-vous aux instructions d’utilisation de l’annonce du marché.

Let’s Encrypt / Autorité de Certification Publique
Autorité CA privée / Certificats générés par Rancher

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter --namespace cattle-csp-adapter-system --set aws.enabled=true --set aws.roleName=$MY_ROLE_NAME --set-string aws.accountNumber=$MY_ACC_NUM --version $CSP_ADAPTER_VERSION

Alternativement, vous pouvez utiliser un values.yaml et spécifier des options comme ci-dessous :

  aws:
    enabled: true
    accountNumber: "$MY_ACC_NUM"
    roleName: $MY_ROLE_NAME

Le numéro de compte doit être spécifié sous forme de chaîne, comme ci-dessus, sinon l’installation échouera.

Vous pouvez ensuite installer l’adaptateur avec la commande suivante :

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter -f values.yaml --version $CSP_ADAPTER_VERSION

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter --namespace cattle-csp-adapter-system --set aws.enabled=true --set aws.roleName=$MY_ROLE_NAME --set-string aws.accountNumber=$MY_ACC_NUM --set additionalTrustedCAs=true --version $CSP_ADAPTER_VERSION

Alternativement, vous pouvez utiliser un values.yaml et spécifier les options ci-dessous :

  aws:
    enabled: true
    accountNumber: "$MY_ACC_NUM"
    roleName: $MY_ROLE_NAME
  additionalTrustedCAs: true

Le numéro de compte doit être spécifié sous forme de chaîne, comme ci-dessus, sinon l’installation échouera.

Vous pouvez ensuite installer l’adaptateur avec la commande suivante :

  helm install rancher-csp-adapter rancher-charts/rancher-csp-adapter -f values.yaml --version $CSP_ADAPTER_VERSION

5. Gestion des mises à jour de certificats

Si vous avez dû créer un secret stockant un certificat personnalisé dans Étape 3, vous devrez mettre à jour ce secret au fil du temps à mesure que le certificat est renouvelé.

Tout d’abord, supprimez le secret original dans l’espace de noms cattle-csp-adapter-system, en utilisant la commande ci-dessous :

kubectl delete secret tls-ca-additional -n cattle-csp-adapter-system

Ensuite, suivez les étapes d’installation originales dans Étape 3 pour remplacer le contenu du secret par la valeur mise à jour.

Enfin, redémarrez le déploiement rancher-csp-adapter pour vous assurer que la valeur mise à jour est disponible pour l’adaptateur :

kubectl rollout restart deploy rancher-csp-adapter -n cattle-csp-adapter-system

Des méthodes telles que opérateur de confiance du cert-manager vous permettent d’automatiser certaines de ces tâches. Bien que ces méthodes ne soient pas officiellement prises en charge, elles peuvent réduire la fréquence à laquelle vous devez renouveler manuellement les certificats.