Gestisci le risorse del team in tutto il parco risorse
Questa pagina spiega come utilizzare Config Sync e Terraform per creare dinamicamente risorse con ambito team in un parco risorse di cluster. Config Sync estende le funzionalità di gestione dei team del parco risorse per creare e gestire configurazioni di infrastruttura e cluster in tutti i parchi risorse.
Questa guida presuppone che tu abbia già familiarità con i concetti di gestione dei team del parco risorse, come gli ambiti dei team e gli spazi dei nomi del parco risorse. Per saperne di più, consulta la panoramica della gestione dei team del parco risorse.
Per un tutorial end-to-end con configurazioni di esempio, consulta il tutorial del parco risorse nel repository di esempio.
Per un elenco dei campi supportati per Config Sync in Terraform, consulta la documentazione di riferimento Terraform per le funzionalità del parco risorse GKE.
Flusso di lavoro di esempio
Sei un amministratore di piattaforma e vuoi creare risorse dinamiche in un parco risorse di cluster in cui team diversi hanno esigenze diverse. Ad esempio, potresti applicare un NetworkPolicy
agli spazi dei nomi del team di backend, ma non a quelli del team di frontend.
In questo scenario, la procedura per creare risorse con ambito team in uno spazio dei nomi è la seguente:
- Scegli o crea il parco risorse in cui vuoi gestire le risorse per i team.
- Configura la tua fonte di riferimento. La fonte attendibile contiene gli oggetti
NamespaceSelector
che utilizzi per selezionare gli spazi dei nomi a livello di parco risorse negli ambiti dei team, nonché eventuali risorse (comeNetworkPolicy
) che vuoi sincronizzare in questi spazi dei nomi. Crea la configurazione predefinita a livello di parco risorse per Config Sync. Config Sync utilizza queste impostazioni predefinite durante la sincronizzazione dall'origine attendibile creata nel passaggio precedente. Queste impostazioni di Config Sync si applicano a tutti i nuovi cluster creati nel parco risorse.
Crea cluster nel tuo parco risorse.
Crea gli ambiti e gli spazi dei nomi dei team di frontend e backend in modo che Config Sync possa rilevare e riconciliare le risorse nei tuoi spazi dei nomi.
Dopo aver completato questi passaggi, Config Sync crea e applica il NetworkPolicy
in base al NamespaceSelector
agli spazi dei nomi del team di backend. Se modifichi o aggiungi risorse, Config Sync rileva e applica continuamente qualsiasi modifica ai file di configurazione, agli ambiti dei team, agli spazi dei nomi del parco risorse e ai membri del parco risorse.
Prezzi
Le funzionalità di Config Sync e di gestione dei team del parco risorse sono disponibili solo per gli utenti che hanno abilitato GKE Enterprise. Per ulteriori informazioni sui prezzi di GKE Enterprise, consulta la pagina dei prezzi di GKE.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea o seleziona un progetto Google Cloud.
-
Crea un progetto Google Cloud:
gcloud projects create PROJECT_ID
Sostituisci
PROJECT_ID
con un nome per il progetto Google Cloud che stai creando. -
Seleziona il progetto Google Cloud che hai creato:
gcloud config set project PROJECT_ID
Sostituisci
PROJECT_ID
con il nome del tuo progetto Google Cloud.
-
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Crea o seleziona un progetto Google Cloud.
-
Crea un progetto Google Cloud:
gcloud projects create PROJECT_ID
Sostituisci
PROJECT_ID
con un nome per il progetto Google Cloud che stai creando. -
Seleziona il progetto Google Cloud che hai creato:
gcloud config set project PROJECT_ID
Sostituisci
PROJECT_ID
con il nome del tuo progetto Google Cloud.
-
- Crea o accedi a una fonte attendibile (un repository Git o un'immagine OCI) in cui archiviare i tuoi file di configurazione. Gli esempi di questa guida utilizzano un repository Git.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare risorse del team per il tuo parco risorse, chiedi all'amministratore di concederti i seguenti ruoli IAM sul tuo progetto:
-
Gestione delle risorse del parco risorse:
Amministratore parco risorse (in precedenza Amministratore GKE Hub) (
roles/gkehub.admin
) -
Creazione dei cluster GKE:
Amministratore cluster Kubernetes Engine (
roles/container.clusterAdmin
) -
Abilitazione di GKE Enterprise:
Service Usage Admin (
roles/serviceusage.serviceUsageAdmin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Acquisisci credenziali utente
Per eseguire i comandi Terraform in questa guida nel tuo ambiente locale, esegui il comando seguente per acquisire nuove credenziali utente:
gcloud auth application-default login
Configura il tuo parco risorse
In questa sezione creerai il tuo parco risorse e abiliti i servizi richiesti.
Per configurare il parco risorse, completa i seguenti passaggi:
Crea una directory per i file Terraform di configurazione del parco risorse. A questa directory, aggiungi un file
main.tf
e un filevariables.tf
.Nel file
variables.tf
, aggiungi le seguenti variabili:Nel file
main.tf
, aggiungi le seguenti risorse:Esporta la variabile PROJECT_ID:
export TF_VAR_project=PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID progetto in cui vuoi creare il parco risorse.Inizializza Terraform nella directory che hai creato:
terraform init
Verifica che le modifiche che proponi con Terraform corrispondano al piano previsto:
terraform plan
Crea il parco risorse, abilita le API e crea l'account di servizio:
terraform apply
A volte l'attivazione di tutti i servizi può richiedere alcuni minuti.
Configura la tua fonte di riferimento
In questa sezione aggiungerai i file di configurazione a una fonte attendibile.
Ti serve un oggetto NamespaceSelector
per ogni ambito del team che vuoi utilizzare.
Ad esempio, se hai team di frontend e backend, devi creare un oggetto NamespaceSelector
per ciascun team. L'oggetto NamespaceSelector
seleziona tutti o alcuni degli spazi dei nomi all'interno di un ambito del team. Puoi aggiungere ulteriori risorse del team
alla tua fonte attendibile, ad esempio un NetworkPolicy
. Quando crei queste risorse, fai riferimento a NamespaceSelector
in modo che Config Sync possa eseguire il deployment e sincronizzare le risorse in modo dinamico negli spazi dei nomi.
Per impostare la tua fonte di riferimento, segui questi passaggi:
Nella tua fonte attendibile, crea una directory per i file di configurazione da cui vuoi eseguire la sincronizzazione con Config Sync.
Per ogni team, crea un oggetto
NamespaceSelector
nella directory di configurazione:apiVersion: configmanagement.gke.io/v1 kind: NamespaceSelector metadata: name: NAMESPACE_SELECTOR_NAME spec: mode: dynamic selector: matchLabels: fleet.gke.io/fleet-scope: SCOPE_NAME
Sostituisci quanto segue:
NAMESPACE_SELECTOR_NAME
: il nome dell'oggettoNamespaceSelector
, ad esempiobackend-scope
.SCOPE_NAME
: il nome dell'ambito del team, ad esempiobackend
.
Tutti gli spazi dei nomi che fanno parte di uno spazio dei nomi del parco risorse hanno automaticamente l'etichetta
fleet.gke.io/fleet-scope: SCOPE_NAME
.NamespaceSelector
seleziona tutti gli spazi dei nomi del parco risorse di un ambito del team utilizzando quell'etichetta. Per altri esempi su come includere o escludere gli spazi dei nomi, vedi Esempi diNamespaceSelector
.Crea gli oggetti che vuoi sincronizzare tra gli spazi dei nomi.
Per sincronizzare un oggetto solo con un determinato team, imposta la seguente annotazione nei metadati dell'oggetto:
annotations: configmanagement.gke.io/namespace-selector: NAMESPACE_SELECTOR_NAME
Ad esempio, un
NetworkPolicy
per il team di backend potrebbe essere simile al seguente:
Crea valori predefiniti a livello di parco risorse per Config Sync
In questa sezione creerai valori predefiniti a livello di parco risorse per Config Sync, che applica la stessa configurazione di Config Sync a tutti i cluster creati nel parco risorse.
Per creare una configurazione predefinita a livello di parco risorse per Config Sync, completa questi passaggi:
Crea una directory per i file Terraform di configurazione predefiniti del parco risorse. A questa directory, aggiungi un file
main.tf
e un filevariables.tf
.Nel file
variables.tf
, aggiungi le seguenti variabili:Nel file
main.tf
, aggiungi la risorsa seguente per configurare le impostazioni di Config Sync:git
terraform { required_providers { google = { source = "hashicorp/google" version = ">=5.16.0" } } } provider "google" { project = var.project } resource "google_gke_hub_feature" "feature" { name = "configmanagement" location = "global" provider = google fleet_default_member_config { configmanagement { version = "VERSION" config_sync { source_format = "unstructured" git { sync_repo = "REPO" sync_branch = "BRANCH" policy_dir = "DIRECTORY" secret_type = "SECRET" } } } } }
Sostituisci quanto segue:
VERSION
: (facoltativo) il numero di versione di Config Sync. Deve essere impostato sulla versione 1.17.0 o successive. Se non la specifichi, il valore predefinito è la versione più recente.REPO
: l'URL del repository contenente i file di configurazione.BRANCH
: il ramo del repository, ad esempiomain
.DIRECTORY
: il percorso all'interno del repository Git che rappresenta il livello superiore del repository da sincronizzare.SECRET
: il tipo di autenticazione del secret.
Per un elenco completo delle impostazioni supportate nel blocco
git
di Config Sync, consulta la documentazione di riferimento Terraform per le funzionalità dell'hub GKE.OCI
terraform { required_providers { google = { source = "hashicorp/google" version = ">=5.16.0" } } } provider "google" { project = var.project } resource "google_gke_hub_feature" "feature" { name = "configmanagement" location = "global" provider = google fleet_default_member_config { configmanagement { version = "VERSION" config_sync { source_format = "unstructured" oci { sync_repo = "REPO" policy_dir = "DIRECTORY" secret_type = "SECRET" } } } } }
Sostituisci quanto segue:
VERSION
: il numero di versione di Config Sync. Deve essere impostato sulla versione 1.17.0 o successive. Se non la specifichi, il valore predefinito è la versione più recente.REPO
: l'URL del repository di immagini OCI contenente i file di configurazione.DIRECTORY
: il percorso assoluto della directory contenente le risorse da sincronizzare. Lascia vuoto per utilizzare la directory root.SECRET
: il tipo di autenticazione del secret.
Per un elenco completo delle impostazioni supportate nel blocco
oci
di Config Sync, consulta la documentazione di riferimento Terraform per le funzionalità dell'hub GKE.Ad esempio, il seguente file
main.tf
configura Config Sync per la sincronizzazione da un repository Git e sincronizza tutti gli oggetti presenti nella directoryconfig
:Inizializza Terraform nella directory che hai creato:
terraform init
Verifica che le modifiche che proponi con Terraform corrispondano al piano previsto:
terraform plan
Crea le configurazioni predefinite dei membri del parco risorse:
terraform apply
Crea cluster nel tuo parco risorse
In questa sezione creerai una configurazione del cluster condiviso e quindi creerai i cluster nel tuo parco risorse.
Per creare e registrare nuovi cluster nel tuo parco risorse, completa i seguenti passaggi:
Crea una directory per i file Terraform di configurazione del cluster. A questa directory, aggiungi un file
main.tf
e un filevariables.tf
.Nel file
variables.tf
, aggiungi le seguenti variabili:Crea un file
cluster.tf
contenente i valori predefiniti utilizzati in tutti i cluster, ad esempio gli ID progetto e del parco risorse:variable "location" { type = string } variable "cluster_name" { type = string } data "google_project" "project" { provider = google } resource "google_container_cluster" "cluster" { provider = google name = var.cluster_name location = var.location initial_node_count = 3 project = data.google_project.project.project_id fleet { project = data.google_project.project.project_id } workload_identity_config { workload_pool = "${data.google_project.project.project_id}.svc.id.goog" } deletion_protection = false }
Nel file
main.tf
, aggiungi le seguenti risorse:terraform { required_providers { google = { source = "hashicorp/google" version = ">=5.16.0" } } } provider "google" { project = var.project } module "MODULE_NAME" { source = "CLUSTER_CONFIGURATION_FILEPATH" cluster_name = "CLUSTER_NAME" location="CLUSTER_LOCATION" }
Sostituisci quanto segue:
MODULE_NAME
: il nome che vuoi assegnare al modulo del cluster. MODULE_NAME e CLUSTER_NAME possono essere lo stesso valore, ad esempious-east-cluster
.CLUSTER_CONFIGURATION_FILEPATH
: il percorso relativo al filecluster.tf
che hai creato.CLUSTER_NAME
: il nome del tuo cluster. MODULE_NAME e CLUSTER_NAME possono essere lo stesso valore, ad esempious-east-cluster
.CLUSTER_LOCATION
: la località del cluster, ad esempious-east1
.
Puoi creare tutti i cluster che vuoi. Ad esempio, il seguente file
main.tf
crea tre cluster in diverse regioni:Inizializza Terraform nella directory che hai creato:
terraform init
Verifica che le modifiche che proponi con Terraform corrispondano al piano previsto:
terraform plan
Crea i cluster:
terraform apply
Configura gli ambiti dei team e gli spazi dei nomi del parco risorse
In questa sezione creerai gli ambiti dei team e assocerai i tuoi cluster a questi ambiti. Quindi, creerai gli spazi dei nomi del parco risorse che ti servono, ad esempio uno per ogni team, in ogni ambito, e Config Sync creerà le risorse in tutti gli spazi dei nomi.
Per configurare gli ambiti dei team e gli spazi dei nomi, completa i seguenti passaggi:
Crea una directory per i file Terraform per l'ambito del team e la configurazione dello spazio dei nomi. A questa directory, aggiungi un file
main.tf
e un filevariables.tf
.Nel file
variables.tf
, aggiungi le seguenti variabili:Nel file
main.tf
, aggiungi le seguenti risorse:Aggiungi le informazioni sul fornitore:
terraform { required_providers { google = { source = "hashicorp/google" version = ">=5.16.0" } } } provider "google" { project = var.project }
Aggiungi la risorsa dell'ambito del team:
resource "google_gke_hub_scope" "scope" { provider = google for_each = toset([ "SCOPE_NAME", "SCOPE_NAME_2", ]) scope_id = each.value }
Sostituisci quanto segue:
SCOPE_NAME
: il nome dell'ambito del team, ad esempiobackend
.SCOPE_NAME_2
: un ambito del team aggiuntivo, se ne hai creato uno.
Puoi aggiungere tutti gli ambiti dei team che ti servono. Quando nel cluster viene creato uno spazio dei nomi del parco risorse, questo viene etichettato automaticamente con
fleet.gke.io/fleet-scope: SCOPE_NAME
, consentendo a Config Sync di selezionare gli spazi dei nomi in base alle etichetteNamespaceSelector
presenti durante la sincronizzazione delle risorse Kubernetes.Ad esempio, una risorsa Terraform con ambito a livello di team che include un ambito sia per il team Frontend che per il team di backend potrebbe essere simile alla seguente:
Aggiungi un'associazione di membri del parco risorse per ogni cluster che vuoi applicare a un ambito del team:
resource "google_gke_hub_membership_binding" "membership-binding" { provider = google for_each = { MEMBERSHIP_BINDING_NAME = { membership_binding_id = "MEMBERSHIP_BINDING_ID" scope = google_gke_hub_scope.scope["SCOPE_NAME"].name membership_id = "CLUSTER_NAME" location = "CLUSTER_LOCATION" } MEMBERSHIP_BINDING_NAME_2 = { membership_binding_id = "MEMBERSHIP_BINDING_ID_2" scope = google_gke_hub_scope.scope["SCOPE_NAME_2"].name membership_id = "CLUSTER_NAME_2" location = "CLUSTER_LOCATION_2" } } membership_binding_id = each.value.membership_binding_id scope = each.value.scope membership_id = each.value.membership_id location = each.value.location depends_on = [google_gke_hub_scope.scope] }
Sostituisci quanto segue:
MEMBERSHIP_BINDING_NAME
: il nome dell'associazione dell'appartenenza, ad esempious-east-backend
.MEMBERSIP_BINDING_ID
: l'ID di associazione dell'appartenenza. Può essere uguale a MEMBERSHIP_BINDING_NAME.SCOPE_NAME
: il selettore di etichette che hai indicato all'ambito del tuo team quando hai creato unNamespaceSelector
, ad esempiobackend
.CLUSTER_NAME
: il nome del cluster che hai creato quando hai creato i cluster, ad esempious-east-cluster
.CLUSTER_LOCATION
: la località del cluster, ad esempious-east1
.
Devi definire un'associazione di membri del parco risorse per ogni cluster. Se non definisci un ambito del team per un cluster, il cluster non viene creato per quello spazio dei nomi. Ad esempio, se hai tre cluster nelle regioni
us-east1
,us-west1
eus-central1
, ma il clusterus-central1
è solo per il team frontend, la risorsa di associazione dell'abbonamento sarà la seguente:Aggiungi eventuali spazi dei nomi che vuoi definire per i tuoi team:
resource "google_gke_hub_namespace" "fleet_namespace" { provider = google for_each = { FLEET_NAMESPACE = { scope_id = "SCOPE_NAME" scope_namespace_id = "FLEET_NAMESPACE_ID" scope = google_gke_hub_scope.scope["SCOPE_NAME"].name } FLEET_NAMESPACE_2 = { scope_id = "SCOPE_NAME" scope_namespace_id = "FLEET_NAMESPACE_ID_2" scope = google_gke_hub_scope.scope["SCOPE_NAME"].name } } scope_namespace_id = each.value.scope_namespace_id scope_id = each.value.scope_id scope = each.value.scope depends_on = [google_gke_hub_scope.scope] }
Sostituisci quanto segue:
FLEET_NAMESPACE
: il nome che vuoi assegnare allo spazio dei nomi, ad esempiobackend-a
.SCOPE_NAME
: il selettore di etichette che hai indicato all'ambito del tuo team quando hai creato unNamespaceSelector
, ad esempiobackend
.FLEET_NAMESPACE_ID
: l'ID spazio dei nomi. Può essere lo stesso valore di FLEET_NAMESPACE.
Ad esempio, se vuoi che sia il team Frontend che quello di backend abbiano due spazi dei nomi ciascuno, la risorsa dello spazio dei nomi del parco risorse potrebbe essere simile alla seguente:
Inizializza Terraform nella directory che hai creato:
terraform init
Verifica che le modifiche che proponi con Terraform corrispondano al piano previsto:
terraform plan
Crea gli ambiti e gli spazi dei nomi del parco risorse:
terraform apply
Dopo che hai creato gli ambiti e gli spazi dei nomi del parco risorse, Config Sync rileva questi nuovi spazi dei nomi e i relativi ambiti, seleziona le risorse negli spazi dei nomi del parco risorse e li riconcilia con i file di configurazione.
Puoi verificare che le risorse siano applicate al cluster corretto utilizzando nomos status
o visitando la scheda Pacchetti di Config Sync nella console Google Cloud e modificando il pulsante di opzione Visualizza per in Cluster.
Config Sync sincronizza le risorse negli spazi dei nomi in base agli ambiti del team, in base alla configurazione archiviata nella tua origine di riferimento. Ogni volta che aggiungi una nuova risorsa,
a condizione che venga inclusa l'annotazione NamespaceSelector
corretta, Config Sync
riconcilia automaticamente la risorsa negli spazi dei nomi del tuo team.
Se vuoi applicare le impostazioni di Config Sync ai cluster esistenti, consulta le istruzioni per la configurazione dei valori predefiniti a livello di parco risorse nella guida all'installazione di Config Sync.
Passaggi successivi
- Scopri di più sulla configurazione dei team per il tuo parco risorse.