Auf dieser Seite werden Konfigurationsoptionen und ‑anforderungen erläutert, die bei der Planung Ihrer Cluster für die Verwendung mit Config Sync berücksichtigt werden müssen.
Weitere Informationen zu allgemeinen Best Practices bei der Planung Ihrer GKE-Cluster finden Sie in der GKE-Dokumentation unter Konfigurationsoptionen für Cluster.
GKE-Betriebsmodus auswählen
Config Sync unterstützt sowohl Autopilot- als auch Standard-GKE-Cluster.
Weitere Informationen zur Auswahl des Betriebsmodus finden Sie unter GKE-Betriebsmodi.
Cluster bei einer Flotte registrieren
Für Config Sync müssen Ihre Cluster bei einer Flotte registriert sein.
Wenn Sie Config Sync mit der Google Cloud Console installieren und konfigurieren möchten, können Sie Ihren Cluster gleichzeitig mit der Installation von Config Sync registrieren.
Erforderliche Berechtigungen gewähren
Da für Config Sync Cluster bei einer Flotte registriert sein müssen, sind bei der Installation von Config Sync möglicherweise zusätzliche Berechtigungen erforderlich.
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Flottenadministrator (ehemals GKE Hub-Administrator) (roles/gkehub.admin)“ für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Registrieren von Clustern bei einer Flotte benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Ressourcenanforderungen im Autopilot-Modus
Im GKE Autopilot-Modus werden Ressourcenanfragen automatisch geändert, um die Stabilität der Arbeitslasten zu gewährleisten. Informationen zum Planen dieser Anfragen finden Sie in der GKE-Dokumentation unter Autopilot-Ressourcenanfragen.
Aufgrund der Art und Weise, wie Autopilot Ressourcenanfragen ändert, nimmt Config Sync die folgenden Anpassungen vor:
- Die benutzerdefinierten Überschreibungslimits für Ressourcen werden an Anfragen angepasst.
- Überschreibungen werden nur angewendet, wenn eine oder mehrere Ressourcenanfragen höher sind als die entsprechende in der Annotation deklarierte Ausgabe oder wenn Ressourcenanfragen niedriger sind als die entsprechende in der Annotation deklarierte Eingabe.
Unterstützte GKE-Plattformen und ‑Versionen
Damit Sie Config Sync verwenden können, muss Ihr Cluster eine GKE unterstützte Version verwenden.
Workload Identity Federation for GKE
Workload Identity Federation for GKE ist die empfohlene Methode für eine sichere Verbindung zu Google CloudDiensten. Workload Identity Federation for GKE ist für Autopilot-Cluster standardmäßig aktiviert.
Wenn Sie Flottenpakete mit Config Sync verwenden möchten, ist Workload Identity Federation for GKE erforderlich.
Wenn Sie Config Sync auf angehängten GKE-Clusterninstalliert haben, können Sie Active Directory nicht mit der Identitätsföderation von Arbeitslasten verwenden. Diese Einschränkung besteht, weil Config Sync das Connect-Gateway verwendet, um eine Verbindung zu angehängten GKE-Clustern herzustellen. Das Connect-Gateway unterstützt diese Funktion nicht.
Netzwerk
Im folgenden Abschnitt sind einige der Änderungen aufgeführt, die Sie je nach Ihren Netzwerkeinstellungen an Ihrem GKE-Cluster vornehmen müssen.
Weitere Informationen zu den GKE-Netzwerkoptionen finden Sie unter Netzwerkübersicht.
Private Cluster
Wenn Sie private Cluster verwenden, sollten Sie Ihre Cluster auf eine der folgenden Arten konfigurieren, damit Config Sync Zugriff auf Ihre „Source of Truth“ hat und sich dort authentifizieren kann:
Konfigurieren Sie Cloud NAT so, dass ausgehender Traffic von privaten GKE-Knoten zugelassen wird. Weitere Informationen finden Sie unter Beispielkonfiguration für GKE.
Aktivieren Sie den privaten Google-Zugriff, um eine Verbindung zu der Gruppe von externen IP Adressen herzustellen, die von Google APIs und Google-Diensten verwendet werden.
Öffentliche Cluster
Wenn Sie öffentliche Cluster verwenden, aber strenge VPC-Firewall-Anforderungen haben, die unnötigen Traffic blockieren, müssen Sie Firewallregeln erstellen, um den folgenden Traffic zuzulassen:
- TCP: Eingehenden und ausgehenden Traffic an Port 53 und 443 zulassen
- UDP: Erlauben Sie ausgehenden Traffic an Port 53.
Wenn Sie diese Regeln nicht angeben, wird Config Sync nicht korrekt synchronisiert und nomos status meldet den folgenden Fehler:
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories mit Authentifizierung über das Compute Engine-Standarddienstkonto
Wenn Sie Config Sync verwenden, um eine Verbindung zu Cloud Source Repositories herzustellen, und Workload Identity Federation for GKE nicht aktiviert ist, können Sie sich mit dem Compute Engine-Standarddienstkonto authentifizieren. Sie müssen Zugriffsbereiche mit schreibgeschützten Bereichen für die Knoten im Cluster verwenden.
Sie können den schreibgeschützten Bereich für Cloud Source Repositories hinzufügen, indem Sie cloud-source-repos-ro in die Liste --scopes aufnehmen, die beim Erstellen des Clusters angegeben wird, oder indem Sie den Bereich cloud-platform beim Erstellen des Clusters verwenden. Beispiel:
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.
Hinweis: Sie können Zugriffsbereiche nicht ändern, nachdem Sie einen Knotenpool erstellt haben.
Allerdings haben Sie die Möglichkeit, unter Verwendung desselben Clusters einen neuen Knotenpool mit dem richtigen Zugriffsbereich zu erstellen. Der Standardbereich gke-default enthält nicht cloud-source-repos-ro.
Arm-Knoten
Config Sync kann nur auf x86-basierten Knoten, nicht auf Arm-Knoten ausgeführt werden. Wenn Sie Config Sync jedoch auf einem Cluster mit mehreren Architekturen ausführen müssen, führen Sie je nach Clustertyp die folgenden Schritte aus:
- GKE on AWS oder GKE on Azure: Fügen Sie Ihren Arm-Knoten eine Markierung hinzu, damit auf den Arm Knoten keine Pods ohne entsprechende Toleranz geplant werden.
- GKE: GKE fügt eine Standardmarkierung hinzu, um sicherzustellen, dass dort keine Arbeitslasten ohne entsprechende Toleranz geplant werden. Keine weiteren Maßnahmen erforderlich.