本页面简要介绍了 Config Sync 及其优势。
Config Sync 可帮助您简化 Kubernetes 配置对象的管理。您可以使用 Config Sync 将配置文件集中到单个可靠来源(例如 Git 代码库),这有助于确保一致性并消除配置漂移。
本页面适用于希望通过实现 GitOps 工具来集中管理团队配置的运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务,请参阅常见的 GKE Enterprise 用户角色和任务。
价格
使用 Config Sync 需要拥有 Google Kubernetes Engine (GKE) Enterprise 版本许可。
Config Sync 的优势
Config Sync 是一种面向平台管理员的 GitOps 服务,可让团队从单个可靠来源跨集群或命名空间同步资源,从而集中管理配置。
GitOps 被视为组织按规模管理 Kubernetes 配置的通用最佳实践。所有 GitOps 工具都具有提升稳定性,提高可读性、一致性、审核和安全性等优势。Config Sync 是 Google Kubernetes Engine (GKE) Enterprise 版本的一部分,为您提供了一组独特优势:
- 与 Google Kubernetes Engine (GKE) Enterprise 版本集成:平台管理员可以通过在 Google Cloud 控制台中点击几下、使用 Terraform 或在连接到舰队的任何集群上使用 Google Cloud CLI 来安装 Config Sync。该服务已预先配置为与其他 Google Kubernetes Engine (GKE) Enterprise 版本和 Google Cloud服务(如 Policy Controller、Workload Identity Federation for GKE 和 Cloud Monitoring)搭配使用。
- 内置可观测性:Config Sync 具有在 Google Cloud 控制台中内置的可观测性信息中心,无需额外设置。平台管理员可以通过访问 Google Cloud 控制台或使用 Google Cloud CLI 查看其同步和协调的状态。
- 多云和混合支持:在每个正式版发布之前,在多个云服务提供商之间和混合环境中测试 Config Sync。如需查看支持矩阵,请参阅 Google Kubernetes Engine (GKE) Enterprise 版本和升级支持。
配置同步的工作方式
下图简要介绍了团队如何将他们的集群同步到单个根代码库(由管理员管理)和多个命名空间代码库(由应用运维人员管理):
中心管理员管理组织的集中式基础架构,并对集群和组织中的所有命名空间实施政策。负责管理实时部署的应用运维人员将configurations应用于其处理的命名空间中的应用。
配置集群
借助 Config Sync,您可以创建一组通用的配置和政策(例如 Policy Controller 限制条件),并在已注册和已连接的集群中根据单一可靠来源一致地应用它们。
您可以通过 GitOps 式工具将配置更改编排部署到集群舰队,而无需手动重复运行 kubectl apply 命令。如需了解详情,请参阅使用 Config Sync 安全发布。虽然本教程和其他教程使用 Git 代码库作为可靠来源,但也可以使用 OCI 映像或 Helm 图表。
配置命名空间
使用 Config Sync 配置命名空间可为您提供以下功能:
- 您可以通过跨已注册和已连接的集群,一致地使用使用命名空间范围的政策(例如 RBAC 角色)来预配 Kubernetes 命名空间。命名空间范围的政策可让您更轻松地在集群中实现和管理多租户。
- 将政策应用于多个相关的命名空间,而无需复制配置,并且能够替换或扩展一个指定命名空间或一组命名空间的配置,从而更轻松地跨租户应用一致的政策。