Utilisation de 'gcloud services vpc-peerings connect' dans le Deployment Manager

Question

Je suis en train de mettre en place un paquet de gestionnaire de déploiement dans .jinja qui fait ce qui suit : - Créer un réseau VPC, un sous-réseau et une plage privée pour les services GCP. - Crée le peering entre 'servicenetworking.googleapis.com' et mon réseau VPC. - Affecte la base de données Cloud SQL à la plage privée attribuée aux services Google dans mon VPC.

La deuxième étape s'avère impossible avec le gestionnaire de déploiement car il n'y a aucune action qui peut être appelée pour le faire. J'ai confirmé que la solution manuelle à ce stade est d'appeler la commande gcloud suivante et ensuite de configurer la base de données Cloud SQL dans le VPC :

gcloud services vpc-peerings connect --service=servicenetworking.googleapis.com --ranges=<my-range> --network=<my-network> --project=<my-project>

L'utilisation du gcp-type suivant dans mon .jinja n'est pas suffisante car il ne permet pas de mapper les services gcp préexistants mais attend un réseau source et un réseau de destination.

- name: {{ env['deployment' ]}}-gcp-private-vpc-peering
  action: gcp-types/compute-v1:compute.networks.addPeering
  metadata:
    runtimePolicy:
    - CREATE
  properties:
    network: $(ref.{{ env['deployment']}}-network.name)
    name: {{ env['deployment' ]}}-gcp-private-vpc-peering
    autoCreateRoutes: true
    peerNetwork: servicenetworking.googleapis.com
    dependsOn:
    - $(ref.{{ env['deployment']}}-network.selfLink)

Existe-t-il un moyen d'appeler la commande gcloud depuis le gestionnaire de déploiement, ou une action à laquelle je peux faire appel pour réaliser l'appairage des services. Je peux confirmer que l'API de service est bien activée sur le projet.

(Notez que le VPC de destination et le projet sont variables, attribués par Google ; je ne peux donc pas entrer cette valeur dans le modèle ci-dessus).

---

Mise à jour 05/07/19 Je pense avoir trouvé l'appel de service API dont j'ai besoin, mais je suis très incertain de la syntaxe pour effectuer l'appel afin de créer le lien de service à partir du gestionnaire de déploiement :

https://cloud.google.com/service-infrastructure/docs/service-networking/reference/rest/v1beta/services.connections/create

Besoin d'un peu d'orientation - comme ci-dessous ?

- name: {{ env['deployment' ]}}-gcp-private-vpc-peering
  action:  gcp-types/servicenetworking.googleapis.com:services.connections
  metadata:
    runtimePolicy:
    - CREATE
  properties:
    propertyA: valueA
    ...

Answer 1

@u-phoria

Vous avez raison - et c'est quelque chose qu'ils ont actuellement dans leur pipeline.

J'ai créé un ticket d'amélioration de produit avec eux pour cela, il peut être vu ici :

---

Private VPC Peering for Cloud SQL n'est pas pris en charge par le gestionnaire de déploiement. Il est donc nécessaire d'effectuer le peering VPC à partir d'une instance VM à privilège élevé dans le VPC concerné, car c'est l'option la plus sûre. (mis à jour le 9 juillet 2019) https://issuetracker.google.com/137033144

Un exemple de la ressource dont vous avez besoin pour ce faire est présenté ci-dessous :

{# Bootstrapped box to complete the VPC Peering Setup #}
- name: {{ env['deployment'] }}-peering-setup
  type: compute.v1.instance
  properties:

    {# Checking whether the creation of new resources are specified #}
    {% if properties['createNewResources'] %}
    zone: {{ properties["zone"] }}
    machineType: https://www.googleapis.com/compute/v1/projects/{{ env["project"] }}/zones/{{ properties["zone"] }}/machineTypes/f1-micro
    networkInterfaces:
    - network: $(ref.{{ env['deployment']}}-network.selfLink)
      subnetwork: $(ref.{{ env['deployment']}}-subnetwork.selfLink)
      accessConfigs:
      - name: External NAT
        type: ONE_TO_ONE_NAT
    {% else %}
    zone: {{ common.ZONES[0] }}
    machineType: https://www.googleapis.com/compute/v1/projects/{{ env["project"] }}/zones/{{ common.ZONES[0] }}/machineTypes/f1-micro
    networkInterfaces:
    - network: https://www.googleapis.com/compute/v1/projects/{{ env["project"] }}/global/networks/default
      subnetwork: https://www.googleapis.com/compute/v1/projects/{{ env["project"] }}/regions/{{ common.REGION }}/subnetworks/default
      accessConfigs:
      - name: External NAT
        type: ONE_TO_ONE_NAT
    {% endif %}

    disks:
    - deviceName: boot
      type: PERSISTENT
      boot: true
      autoDelete: true
      initializeParams:
        sourceImage: https://www.googleapis.com/compute/v1/projects/debian-cloud/global/images/family/debian-9
    metadata:
      items:
      - key: startup-script
        value: |
          {# Creating VPC Peering to Google Services for the Managed Postgres in the existing network or the newly created one #}
          {% if properties['createNewResources'] %}
          #!/bin/bash
          sudo su -
          echo "Checking relevant peering connections to google services exist in local VPC" >> checking-status.sh
          output=$(gcloud services vpc-peerings list --network={{ env['deployment'] }}-network | grep "servicenetworking.googleapis.com")
          if [[ -z $output ]]; then
          echo "Peering not found, creating peering to servicenetworking.googleapis.com from private VPC" && gcloud services vpc-peerings connect --service=servicenetworking.googleapis.com --ranges={{ env['deployment'] }}-google-managed-services --network={{ env['deployment'] }}-network
          else
          echo "No peering created as relevant peering already exists"
          fi
          echo "Sending the signal to deployment manager to carry on with the deployment"
          gcloud beta runtime-config configs variables set success/{{ env['deployment'] }}-vpc-peering-setup success --config-name {{ env['deployment'] }}-startup-config

          echo "Destroying this instance now that it has succesfully executed peering change"
          gcloud compute instances delete --quiet --delete-disks=all --zone=europe-west1-b {{ env['deployment'] }}-peering-setup
          {% else %}
          #!/bin/bash
          sudo su -
          echo "Checking relevant peering connections to google services exist in local VPC" >> checking-status.sh
          output=$(gcloud services vpc-peerings list --network={{ properties['network'] }} | grep "servicenetworking.googleapis.com")

          if [[ -z $output ]]; then
          echo "Known GCP bug when re-creating GCP peering deployment into the same network reserved range, using the workaround published here: https://issuetracker.google.com/issues/118849070 and here https://github.com/terraform-providers/terraform-provider-google/issues/3294 to make sure this has no effect on the deployment"
          gcloud beta services vpc-peerings update --service=servicenetworking.googleapis.com --ranges={{ env['deployment'] }}-google-managed-services --network={{ properties['network'] }} --project={{ env['project'] }} --force

          echo "Peering not found, creating peering to servicenetworking.googleapis.com from private VPC" && gcloud services vpc-peerings connect --service=servicenetworking.googleapis.com --ranges={{ env['deployment'] }}-google-managed-services --network={{ properties['network'] }}
          else
          echo "No peering created as relevant peering already exists"
          fi
          echo "Sending the signal to deployment manager to carry on with the deployment"
          gcloud beta runtime-config configs variables set success/{{ env['deployment'] }}-vpc-peering-setup success --config-name {{ env['deployment'] }}-startup-config

          echo "Destroying this instance now that it has succesfully executed peering change"
          gcloud compute instances delete --quiet --delete-disks=all --zone=europe-west1-b {{ env['deployment'] }}-peering-setup
          {% endif %}
    serviceAccounts:
        - email: default
          scopes:
          - 'https://www.googleapis.com/auth/cloud-platform'
          - 'https://www.googleapis.com/auth/cloudruntimeconfig'
    dependsOn:
    - $(ref.{{ env['deployment'] }}-google-managed-services.selfLink)
    {% if properties['createNewResources'] %}
    - $(ref.{{ env['deployment'] }}-subnetwork.selfLink)
    {% endif %}

Si les paramètres pertinents sont définis (dans ce cas, l'indicateur createNewResources), il créera un peering vpc entre les deux réseaux.

N'oubliez pas que vous devrez également configurer une plage d'adresses globale avant d'exécuter le jinja ci-dessus. Un exemple de ceci est montré ci-dessous :

- name: {{ env['deployment'] }}-google-managed-services
  type: compute.v1.globalAddresses
  properties:
    name: google-managed-services-{{ env['deployment'] }}
    {% if properties['createNewResources'] %}
    address: 10.73.144.0
    prefixLength: 20
    {% else %}
    address: {{ CIDRSplit[0] }}
    prefixLength: {{ CIDRSplit[1] }}
    {% endif %}
    addressType: INTERNAL
    purpose: VPC_PEERING

    {# Create the peering to the new network or the specified one #}
    {% if properties['createNewResources'] %}
    network: $(ref.{{ env['deployment']}}-network.selfLink)
    {% else %}
    network: https://www.googleapis.com/compute/v1/projects/{{ env["project"] }}/global/networks/{{ properties['network'] }}
    {% endif %}

    description: >
      Address range reserved for Google Managed Services.
      https://cloud.google.com/vpc/docs/configure-private-services-access

    {% if properties['createNewResources'] %}
    dependsOn:
    - $(ref.{{ env['deployment']}}-network.selfLink)
    {% endif %}

J'espère que cela aidera quelqu'un.

Answer 2

Les seuls paramètres nécessaires pour créer le peering sont "network" et "reservedPeeringRanges". Voici la syntaxe de ces deux paramètres réseau : "projets/{projet}/global/réseaux/{réseau}" reservedPeeringRanges : "x.x.x.x/x" Je pense qu'il vous manque une variable dans le réseau. Je l'ai testé en utilisant l'API et cela fonctionne sans problème.