Adicionar configs a uma fonte de verdade

Esta página explica como adicionar e organizar configurações armazenadas em uma fonte de verdade.

O Config Sync foi projetado para operadores de cluster que gerenciam muitos clusters. É possível garantir que os clusters atendam aos padrões de negócios e conformidade permitindo que o Config Sync gerencie namespaces, papéis, RoleBindings, ResourceQuotas e outros objetos importantes do Kubernetes na sua frota.

Quando o Config Sync gerencia esses recursos, ele mantém seus clusters registrados em sincronia usando configs. Uma configuração é um arquivo YAML ou JSON armazenado em uma fonte de verdade. O Config Sync é compatível com repositórios Git, imagens OCI e gráficos Helm como fontes de verdade. As configurações contêm o mesmo tipo de detalhes de configuração que você pode aplicar manualmente a um cluster usando o comando kubectl apply. É possível criar um config para qualquer objeto do Kubernetes que possa existir em um cluster. No entanto, alguns objetos do Kubernetes, como secrets, contêm informações confidenciais que podem ser inadequadas para armazenamento em uma fonte de verdade. Use seu bom senso ao considerar se quer gerenciar esses tipos de objetos usando o Config Sync.

Também é possível usar o Config Sync com o Config Connector para sincronizar as configurações dos recursos do Google Cloud. Para saber mais sobre como trabalhar com o Config Connector, consulte Gerenciar recursos do Google Cloud usando o Config Connector. Também é possível simplificar a instalação do Config Sync e do Config Connector configurando o Config Controller.

Esta página mostra como adicionar configs à sua fonte de verdade. Para saber como publicar uma imagem OCI, consulte Sincronizar artefatos OCI do Artifact Registry. Para saber como realizar a sincronização por meio de um gráfico Helm, consulte Sincronizar gráficos Helm por meio do Artifact Registry.

Selecionar como organizar suas configurações

O Config Sync usa uma fonte confiável para o armazenamento de configuração e o controle de versões. Há dois formatos diferentes para a fonte de informações, não estruturado e hierárquico.

O formato de origem não estruturado permite organizar as configurações da maneira mais conveniente. Esse formato pode ser útil principalmente se você estiver organizando ou gerando configurações usando uma ferramenta como kustomize, kpt ou Helm. Para ver um exemplo de como organizar as configurações, consulte Exemplo de formato para um repositório não estruturado.

O formato de origem hierárquico ou estruturado separa as configurações em categorias distintas para ajudar você a organizá-las. As categorias são configurações do sistema, metadados de cluster, configuração no nível do cluster e configuração de namespace. Para saber mais sobre o formato de fonte hierárquica, consulte Estrutura do repositório hierárquico.

Não estruturado é o formato recomendado para a maioria dos usuários. Além disso, ao configurar os objetos RepoSync, é necessário usar o formato de origem não estruturado.

Recursos compatíveis para formatos não estruturados e hierárquicos

A tabela a seguir destaca as diferenças entre os formatos não estruturados e hierárquicos:

Recursos Formato não estruturado (recomendado) Formato hierárquico
Usado como formato para um objeto RootSync ou a fonte central da verdade. Compatível Compatível
Usado como o formato para um objeto RepoSync Compatível Sem suporte
ClusterSelector Compatível Compatível
NamespaceSelector Compatível Compatível
O comando nomos hydrate Compatível com a sinalização --source-format=unstructured Compatível
O comando nomos init Sem suporte Compatível
O comando nomos vet Compatível com a sinalização --source-format=unstructured Compatível
Todos os outros comandos nomos Compatível Compatível
Namespaces abstratos Sem suporte Compatível
Repo objetos Sem suporte Compatível
Objetos HierarchyConfig Sem suporte Compatível

Adicionar configurações à sua fonte de verdade

Se você estiver criando um formato não estruturado, poderá começar a adicionar configurações a ele assim que ele for criado. Se você estiver criando um formato hierárquico, use o comando nomos init para inicializar a fonte da verdade ou crie a estrutura de diretórios manualmente.

Diretórios vazios não podem ser confirmados em um repositório Git. Portanto, antes de configurar o Config Sync, crie configurações e adicione-as ao seu repositório.

Depois de criar a fonte da verdade e adicionar configs a ela, use o comando nomos vet para verificar a estrutura da fonte e verificar a sintaxe e a validade das suas configurações.

Configurar o Config Sync para ler a fonte da verdade

Depois de criar uma fonte de verdade e colocar suas configurações nela, é possível configurar o Config Sync para ler a origem. Depois que você concluir essa etapa, o Config Sync vai sincronizar as configurações da fonte de verdade com os clusters.

Você configura o local da fonte de verdade ao instalar o Config Sync e pode editar a configuração dele mais tarde. Além do local da fonte da verdade, você pode especificar uma ramificação ou subdiretório para observar, se a fonte tiver outros conteúdos além das configurações.

Se você estiver usando um formato hierárquico e instalar o Config Sync manualmente com kubectl, não coloque a configuração do operador no diretório system/ ou em qualquer um dos outros diretórios reservados, como cluster/ ou namespaces/. Colocar a configuração em um dos diretórios reservados faz com que nomos vet falhe e registre um erro, como KNV1033: IllegalSystemResourcePlacementError, KNV1038: IllegalKindInNamespacesError ou KNV1039: IllegalKindInClusterError.

É possível conceder às pessoas acesso à fonte da verdade de implantação de uma determinada equipe de produto. No entanto, quando você concede a uma pessoa acesso a uma fonte de verdade de implantação, essa pessoa também recebe o mesmo RBAC do reconciliador que está executando essa fonte de verdade.

Para configurar a autenticação e autorização entre o Config Sync e a fonte de verdade, consulte a etapa de instalação sobre como configurar o secret git-creds.

Ignorar mutações de objeto

Se você não quiser que o Config Sync mantenha o estado do objeto no cluster após ele existir, adicione a anotação client.lifecycle.config.k8s.io/mutation: ignore ao objeto em que o Config Sync deve ignorar as mutações.

Para usar a anotação, é necessário ativar as APIs RootSync e RepoSync.

O exemplo a seguir mostra como adicionar a anotação a um objeto:

metadata:
  annotations:
    client.lifecycle.config.k8s.io/mutation: ignore 

Não é possível modificar manualmente essa anotação em objetos gerenciados no cluster.

A seguir