选择安装类型
本页面简要介绍安装 Config Connector 时可以使用的不同安装选项。
您可以通过以下三种方式之一安装 Config Connector:
Config Controller:Config Controller 是一项托管式服务,其中包含 Config Connector。Config Controller 中的 Config Connector 版本由 Google 管理,并且会定期自动更新(如果版本符合条件)。Config Controller 是一个集中式指定控制平面,可提供更安全的 Google Cloud 资源管理方式。如需了解详情,请参阅快速入门:使用 Config Controller 管理资源或设置 Config Controller。
手动安装:使用 Kubernetes Operator 手动安装可为您提供最大的灵活性。您可以安装处于命名空间模式(推荐用于大多数使用情形)或集群模式的 Config Connector。手动安装可让您控制要安装的 Config Connector 的确切版本以及升级时间。如果您希望在其他 Kubernetes 发行版上安装 Config Connector,则必须使用手动安装。
GKE Config Connector 插件:Config Connector 插件允许您在集群创建期间安装 Config Connector。Config Connector 插件仅适用于 GKE Standard 集群,不适用于 Autopilot。 通过 Config Connector 插件安装的 Config Connector 版本通常会落后 12 个月或更长时间。如需了解详情,请参阅Config Connector 插件升级。如果您想降低管理 GKE Standard 集群的运营成本,请考虑使用 Config Controller。
选择安装方法时,需要考虑多种因素。下表列出了一些高级注意事项:
| 安装方法 | 优点 | 缺点 |
|---|---|---|
| Config Controller | • 无需安装。 • 自动版本升级。 • 包含 Config Sync。 • 由 Google Cloud管理和支持。 |
• 对自定义工作负载的限制。 |
| 手动安装 | • 允许更多自定义,例如以命名空间模式(推荐)或集群模式安装。 • 灵活的版本更新安排。 • 可在同一集群中与任何自定义工作负载一起运行。 |
• 运营成本。 |
| GKE Config Connector 插件 | • 明显落后于最新的 Config Connector 版本。 |
身份验证
如果要在 GKE 集群上安装 Config Connector,请使用 Workload Identity Federation for GKE。借助适用于 GKE 的工作负载身份联合,您可以将 Kubernetes ServiceAccount 配置为模拟 (impersonate) Identity and Access Management (IAM) 服务账号来访问 Google Cloud服务。Config Connector 使用集群中的该 Kubernetes 服务账号创建新资源。Config Connector 只能使用您授予 IAM 服务账号的角色来创建资源。
如果您想在其他部署选项(例如本地或多云选项)上安装 Config Connector,请使用 Cloud Identity 创建账号,然后使用 IAM 创建服务账号密钥并将密钥的凭据作为 Secret 导入集群。
使用服务账号管理资源
手动安装 Config Connector 时,您可以选择使用单个集群范围的服务账号(集群模式),也可以选择使用多个服务账号,每个命名空间对应一个服务账号(命名空间模式)。对于大多数使用情形,建议采用命名空间模式,因为该模式可提供更好的权限隔离。如需详细了解如何将 IAM 服务账号与 Config Connector 搭配使用,请参阅使用 IAM 进行访问权限控制。
后续步骤
- 了解如何使用 Config Controller 管理 Google Cloud 资源。
- 了解如何手动安装 Config Connector。
- 了解如何将 Config Connector 作为 GKE 插件安装。
- 了解如何在其他 Kubernetes 发行版上安装 Config Connector。