インストール タイプの選択
このページでは、Config Connector のインストール時に使用できるさまざまなインストール オプションの概要を示します。
Config Connector は、次の 3 つのうちのいずれかの方法でインストールできます。
Config Controller: Config Controller は、Config Connector を含むホスト型サービスです。Config Controller の Config Connector バージョンは Google によって管理され、バージョンが定期的に認定されると自動的に更新されます。Config Controller は、一元化された専用のコントロール プレーンで、 Google Cloud リソースをより安全に管理する方法を提供します。詳細については、クイックスタート: Config Controller でリソースを管理するまたは Config Controller を設定するをご覧ください。
手動インストール: Kubernetes Operator を使用して手動でインストールすると、最も柔軟性が高くなります。Config Connector は、Namespace モード(ほとんどのユースケースで推奨)またはクラスタモードでインストールできます。手動インストールでは、インストールする Config Connector のバージョンとアップグレードのタイミングを正確に制御できます。
GKE Config Connector アドオン: Config Connector アドオンを使用すると、クラスタ作成中に Config Connector をインストールできます。Config Connector アドオンは、GKE Standard クラスタでのみ使用できます。Autopilot では使用できません。Config Connector アドオンを介してインストールされた Config Connector のバージョンは、最大 12 か月以上遅れることがよくあります。詳細については、Config Connector アドオンのアップグレードをご覧ください。 GKE Standard クラスタの管理にかかる運用コストを削減するには、Config Controller の使用を検討してください。
インストール方法を選択する際には、考慮すべき要素が数多くあります。次の表に、概要レベルの考慮事項をいくつか示します。
| インストール方法 | 利点 | デメリット |
|---|---|---|
| Config Controller | • インストールは不要です。 • バージョンの自動アップグレード。 • Config Sync が含まれています。 • Google Cloudによって管理、サポートされています。 |
• カスタム ワークロードに対する制限。 |
| 手動インストール | • Namespace モード(推奨)またはクラスタモードのいずれかでインストールするなど、より多くのカスタマイズが可能になります。 • 柔軟なバージョンの更新スケジュール。 • 同じクラスタ内の任意のカスタム ワークロードで実行できます。 |
• 運用費用 |
| GKE Config Connector アドオン | • 最新バージョンの Config Connector から大幅に古くなります。 |
認証
Config Connector を GKE クラスタにインストールする場合は、Workload Identity Federation for GKE を使用します。Workload Identity Federation for GKE を使用すると、Identity and Access Management(IAM)サービス アカウントの権限を借用して Google Cloudサービスにアクセスするように Kubernetes ServiceAccount を構成できます。Config Connector は、クラスタ内の Kubernetes ServiceAccount を使用して新しいリソースを作成します。Config Connector は、IAM サービス アカウントに付与したロールを持つリソースのみを作成できます。
Config Connector をオンプレミスやマルチクラウド オプションなどの他のデプロイ オプションでインストールする場合は、Cloud Identity を使用して、アカウントを作成し、IAM を使用してサービス アカウント キーを作成し、そのキーの認証情報を Secret としてクラスタにインポートします。
サービス アカウントによるリソースの管理
Config Connector を手動でインストールする場合は、単一のクラスタ全体のサービス アカウント(クラスタモード)または複数のサービス アカウント(各 Namespace に 1 つずつ)(Namespace が指定されたモード)を選択できます。名前空間モードは、権限の分離が優れているため、ほとんどのユースケースで推奨されるアプローチです。Config Connector での IAM サービス アカウントの使用の詳細については、IAM によるアクセス制御をご覧ください。
次のステップ
- Config Controller を使用して Google Cloud リソースを管理する方法を確認する。
- Config Connector を手動でインストールする方法を確認する。
- Config Connector を GKE アドオンとしてインストールする方法を確認する。