選擇安裝類型
這個頁面提供安裝 Config Connector 時可使用的不同安裝選項總覽。
您可以透過下列三種方式安裝 Config Connector:
Config Controller: Config Controller 是代管服務,內含 Config Connector。 Config Controller 中的 Config Connector 版本由 Google 管理,且會定期自動更新符合資格的版本。Config Controller 是集中式指定控制層,可提供更安全的資源管理方式 Google Cloud 。詳情請參閱「快速入門:使用 Config Controller 管理資源」或「設定 Config Controller」。
手動安裝: 使用 Kubernetes 運算子手動安裝,可享有最大彈性。您可以命名空間模式 (建議用於大多數用途) 或叢集模式安裝 Config Connector。手動安裝可讓您控管安裝的 Config Connector 確切版本,以及升級時間。如要在其他 Kubernetes 發布版本中安裝 Config Connector,請使用手動安裝方式。
GKE Config Connector 外掛程式: 透過 Config Connector 外掛程式,您可以在建立叢集時安裝 Config Connector。 Config Connector 外掛程式僅適用於 GKE Standard 叢集,不適用於 Autopilot。透過 Config Connector 外掛程式安裝的 Config Connector 版本通常會落後 12 個月以上。詳情請參閱「Config Connector 外掛程式升級」。如要降低管理 GKE Standard 叢集的營運成本,建議使用 Config Controller。
選取安裝方法時,需要考量許多因素。下表列出一些大致的考量事項:
| 安裝方法 | 優點 | 缺點 |
|---|---|---|
| Config Controller | • 無須安裝。 • 自動升級版本。 • 包含 Config Sync。 • 由「 Google Cloud」管理及支援。 |
• 自訂工作負載的限制。 |
| 手動安裝 | • 允許更多自訂項目,例如以命名空間模式 (建議) 或叢集模式安裝。 • 彈性版本更新時間表。 • 可在同一叢集中執行任何自訂工作負載。 |
• 營運成本。 |
| GKE Config Connector 外掛程式 | • 嚴重落後最新版 Config Connector。 |
驗證
如要在 GKE 叢集上安裝 Config Connector,請使用 Workload Identity Federation for GKE。透過 GKE 適用的工作負載身分聯盟,您可以設定 Kubernetes ServiceAccount 模擬 Identity and Access Management (IAM) 服務帳戶,以存取服務。 Google CloudConfig Connector 會使用叢集內的 Kubernetes ServiceAccount 建立新資源。Config Connector 只能使用您授予 IAM 服務帳戶的角色建立資源。
如要在其他部署選項 (例如地端或多雲選項) 安裝 Config Connector,請使用 Cloud Identity 建立帳戶,然後使用 IAM 建立服務帳戶金鑰,並將金鑰的憑證匯入叢集做為 Secret。
使用服務帳戶管理資源
手動安裝 Config Connector 時,您可以選擇單一叢集範圍服務帳戶 (叢集模式),或多個服務帳戶 (每個命名空間各一個,即命名空間模式)。在大多數情況下,建議採用命名空間模式,因為這種模式可提供更完善的權限隔離功能。如要進一步瞭解如何搭配使用 IAM 服務帳戶和 Config Connector,請參閱「使用 IAM 控管存取權」。
後續步驟
- 瞭解如何使用 Config Controller 管理 Google Cloud 資源。
- 瞭解如何手動安裝 Config Connector。
- 瞭解如何將 Config Connector 安裝為 GKE 外掛程式。
- 瞭解如何在其他 Kubernetes 發布版本中安裝 Config Connector。