Config Sync reduziert das Risiko von „Shadow Ops“ durch automatische Selbstreparatur, regelmäßige Neusynchronisierung und optionale Drift-Prävention. Wenn Config Sync eine Abweichung zwischen dem Cluster und der Source of Truth erkennt, kann diese entweder zugelassen und schnell rückgängig gemacht oder vollständig abgelehnt werden.
Die Selbstreparatur überwacht verwaltete Ressourcen, erkennt eine Abweichung von der "Source of Truth" und macht diese Abweichung rückgängig. Die Selbstreparatur ist immer aktiviert.
Die regelmäßige Neusynchronisierung erfolgt automatisch eine Stunde nach der letzten erfolgreichen Synchronisierung, auch wenn keine Änderungen an der „Source of Truth“ vorgenommen wurden. Die regelmäßige Neusynchronisierung ist immer aktiviert.
Während Selbstreparatur und regelmäßige Neusynchronisierungen dazu beitragen, Abweichungen zu beheben, fängt die Drift-Prävention Anfragen zum Ändern verwalteter Objekte ab und prüft, ob die Änderung zugelassen werden sollte. Wenn die Änderung nicht mit der Source of Truth übereinstimmt, wird die
Änderung abgelehnt. Die Drift-Prävention ist standardmäßig deaktiviert. Wenn diese Option aktiviert ist, schützt die Drift-Prävention standardmäßig RootSync-Objekte und kann auch zum Schutz von RepoSync-Objekten konfiguriert werden.
Wenn Sie die Drift-Prävention verwenden möchten, müssen Sie die RootSync und RepoSync APIs aktivieren.
Hinweis
Wenn Sie die Google Cloud CLI bereits installiert haben, rufen Sie die neueste Version mit dem Befehl gcloud components update ab.
Drift-Prävention aktivieren
Sie können die Drift-Prävention mit der gcloud CLI aktivieren. In der Google Cloud Console ist das nicht möglich.
Führen Sie die folgenden Schritte aus, um die Drift-Prävention zu aktivieren:
Aktualisieren Sie Ihr applySpec-Manifest um das Feld
spec.configSync.preventDriftauftruezu setzen:applySpecVersion: 1 spec: configSync: enabled: true ... existing content ... preventDrift: trueWenden Sie das aktualisierte Manifest an:
gcloud beta container fleet config-management apply \ --membership=MEMBERSHIP_NAME \ --config=MANIFEST_NAME \ --project=PROJECT_IDErsetzen Sie Folgendes:
MEMBERSHIP_NAME: Name der Flotten-Mitgliedschaft, den Sie bei der Registrierung Ihres Clusters ausgewählt haben. Rufen Sie den Namen mit dem Befehlgcloud container fleet memberships listab.MANIFEST_NAME: Name Ihres applySpec-Manifests, normalerweiseapply-spec.yaml.PROJECT_ID: Ihre Projekt-ID.
Warten Sie, bis das Config Sync-Objekt
ValidateWebhookConfigurationvom Config Management Operator erstellt wurde:kubectl get validatingwebhookconfiguration admission-webhook.configsync.gke.ioDie Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:
NAME WEBHOOKS AGE admission-webhook.configsync.gke.io 0 2m15sFühren Sie ein Commit einer neuen Änderung an der zu synchronisierenden Source of Truth durch, damit das
root-reconciler-Deployment Webhooks zum Config Sync-ValidatingWebhookConfiguration-Objekt hinzufügen kann. Alternativ können Sie dasroot-reconcilier-Deployment löschen, um einen Abgleich auszulösen. Das neueroot-reconciler-Deployment würde das Config Sync-ValidatingWebhookConfiguration-Objekt aktualisieren.Warten Sie, bis der Webhook-Server bereit ist. Das Deployment-Log für den Config Sync-Zulassungs-Webhook sollte
serving webhook serverenthalten. Dieser Vorgang kann einige Minuten dauern.kubectl logs -n config-management-system -l app=admission-webhook --tail=-1 | grep "serving webhook server"Die Ausgabe sollte in etwa wie im folgenden Beispiel aussehen:
I1201 18:05:41.805531 1 deleg.go:130] controller-runtime/webhook "level"=0 "msg"="serving webhook server" "host"="" "port"=10250 I1201 18:07:04.626199 1 deleg.go:130] controller-runtime/webhook "level"=0 "msg"="serving webhook server" "host"="" "port"=10250
Drift-Prävention deaktivieren
Wenn Sie die Drift-Prävention deaktivieren, löscht Config Sync alle Config Sync-Zulassungs-Webhook-Ressourcen.
Da das Config Sync-Objekt ValidatingWebhookConfiguration nicht mehr vorhanden ist, generieren die Config Sync-Reconciler keine Webhook-Konfigurationen für verwaltete Ressourcen mehr.
Führen Sie die folgenden Schritte aus, um die Drift-Prävention zu deaktivieren:
Aktualisieren Sie Ihr applySpec-Manifest um das Feld
spec.configSync.preventDriftauffalsezu setzen:applySpecVersion: 1 spec: configSync: enabled: false ... existing content ... preventDrift: falseWenden Sie das aktualisierte Manifest an:
gcloud beta container fleet config-management apply \ --membership=MEMBERSHIP_NAME \ --config=MANIFEST_NAME \ --project=PROJECT_IDErsetzen Sie Folgendes:
MEMBERSHIP_NAME: Name der Flotten-Mitgliedschaft, den Sie bei der Registrierung Ihres Clusters ausgewählt haben. Rufen Sie den Namen mit dem Befehlgcloud container fleet memberships listab.MANIFEST_NAME: Name Ihres applySpec-Manifests, normalerweiseapply-spec.yaml.PROJECT_ID: Ihre Projekt-ID.
Zulassungs-Webhook in Namespace-bezogenen Quellen aktivieren
Namespace-bezogene "Sources of Truth" sind nicht vollständig durch den Webhook geschützt. Der Config Sync-Reconciler für jede Namespace-Quelle hat nicht die Berechtigung, die ValidatingWebhookConfiguration-Objekte auf Clusterebene zu lesen oder zu aktualisieren.
Diese fehlende Berechtigung führt zu einem Fehler für die Namespace-Abgleicher-logs, ähnlich dem folgenden Beispiel:
Failed to update admission webhook: KNV2013: applying changes to
admission webhook: Insufficient permission. To fix, make sure the reconciler has
sufficient permissions.:
validatingwebhookconfigurations.admissionregistration.k8s.io "admission-
webhook.configsync.gke.io" is forbidden: User "system:serviceaccount:config-
management-system:ns-reconciler-NAMESPACE" cannot update resource
"validatingwebhookconfigurations" in API group "admissionregistration.k8s.io" at
the cluster scope
Sie können diesen Fehler ignorieren, wenn Sie den Webhook-Schutz für Ihre Namespace-bezogene "Source of Truth" nicht verwenden möchten. Wenn Sie jedoch den Webhook verwenden möchten, erteilen Sie dem Abgleicher für jede Namespace-bezogene "Source of Truth" die Berechtigung, nachdem Sie die Synchronisierung aus mehreren Sources of Truth konfiguriert haben.
Möglicherweise müssen Sie diese Schritte nicht ausführen, wenn bereits eine RoleBinding für ns-reconciler-NAMESPACE mit ClusterRole-Berechtigungen cluster-admin vorhanden ist.
Deklarieren Sie in der Root-Source of Truth eine neue ClusterRole-Konfiguration, die dem Config Sync-Zulassungs-Webhook Berechtigungen gewährt. Diese ClusterRole muss nur einmal pro Cluster definiert werden:
# ROOT_SOURCE/cluster-roles/webhook-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: admission-webhook-role rules: - apiGroups: ["admissionregistration.k8s.io"] resources: ["validatingwebhookconfigurations"] resourceNames: ["admission-webhook.configsync.gke.io"] verbs: ["get", "update"]Deklarieren Sie für jede Namespace-Quelle, für die die Zulassungs-Webhook-Berechtigung gewährt werden muss, eine ClusterRoleBinding-Konfiguration, um Zugriff auf den Zulassungs-Webhook zu gewähren:
# ROOT_SOURCE/NAMESPACE/sync-webhook-rolebinding.yaml kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-webhook subjects: - kind: ServiceAccount name: ns-reconciler-NAMESPACE namespace: config-management-system roleRef: kind: ClusterRole name: admission-webhook-role apiGroup: rbac.authorization.k8s.ioErsetzen Sie
NAMESPACEdurch den Namespace, in dem Sie Ihre Namespace-bezogene Quelle erstellt haben.Übernehmen Sie die Änderungen an der Root-Source of Truth, z. B. bei der Synchronisierung aus einem Git-Repository:
git add . git commit -m 'Providing namespace repository the permission to update the admission webhook.' git pushPrüfen Sie zur Bestätigung mit
kubectl get, ob ClusterRole und ClusterRoleBinding erstellt wurden:kubectl get clusterrole admission-webhook-role kubectl get clusterrolebindings syncs-webhook
Nächste Schritte
- Weitere Informationen zur Fehlerbehebung für Webhook.