Instalar el Sincronizador de configuración

Par de claves SSH

Un par de claves SSH consta de dos archivos, una clave pública y una clave privada. Por lo general, la clave pública tiene una extensión .pub.

Para usar un par de claves SSH, completa los siguientes pasos:

1. Crea un par de claves SSH para permitir que el Sincronizador de configuración se autentique en tu repositorio de Git. Este paso es necesario si necesitas autenticarte en el repositorio para clonarlo o leer de él. Omite este paso si un administrador de seguridad te proporciona un par de claves. Puedes usar un solo par de claves para todos los clústeres o un par de claves por clúster, según tus requisitos de seguridad y cumplimiento.

   El siguiente comando crea una clave RSA de 4096 bits. No se recomiendan valores más bajos:

   ssh-keygen -t rsa -b 4096 \
   -C "GIT_REPOSITORY_USERNAME" \
   -N '' \
   -f /path/to/KEYPAIR_FILENAME
   

   Reemplaza lo siguiente:

   • GIT_REPOSITORY_USERNAME: El nombre de usuario que deseas que el Sincronizador de configuración use para autenticarse en el repositorio.
   • /path/to/KEYPAIR_FILENAME: Una ruta de acceso al par de claves.

   Si usas un host del repositorio de Git de terceros, como GitHub, o deseas usar una cuenta de servicio con Cloud Source Repositories, te recomendamos que uses una cuenta distinta.

2. Configura el repositorio para que reconozca la clave pública que acabas de crear. Consulta la documentación de tu proveedor de hosting de Git. Se incluyen instrucciones para algunos proveedores de hosting de Git populares para mayor comodidad:

   • Cloud Source Repositories
   • Bitbucket
   • GitHub Te recomendamos que crees claves de implementación independientes para proporcionar acceso de solo lectura a un único repositorio de GitHub.
   • GitLab

3. Agrega la clave privada a un Secret nuevo del clúster:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=ssh=/path/to/KEYPAIR_PRIVATE_KEY_FILENAME
   

   Reemplaza /path/to/KEYPAIR_PRIVATE_KEY_FILENAME por el nombre de la clave privada (la que no tiene el sufijo .pub).

4. Recomendado: Para configurar la verificación de hosts conocidos con la autenticación SSH, puedes agregar la clave de hosts conocidos al campo data.known_hosts en el secreto git_creds. Para inhabilitar la verificación de known_hosts, puedes quitar el campo known_hosts del secreto. Para agregar la clave de hosts conocidos, ejecuta el siguiente comando:

   kubectl edit secret git-creds \
    --namespace=config-management-system
   

   Luego, en data, agrega la entrada de hosts conocidos:

   known_hosts: KNOWN_HOSTS_KEY
   

5. Borra la clave privada del disco local o protégela.

6. Cuando configures el Sincronizador de configuración y agregues la URL de tu repositorio de Git, usa el protocolo SSH. Si usas un repositorio en Cloud Source Repositories, debes usar el siguiente formato cuando ingreses tu URL:

   ssh://EMAIL@source.developers.google.com:2022/p/PROJECT_ID/r/REPO_NAME
   

   Reemplaza lo siguiente:

   • EMAIL: Tu nombre de usuario de Google Cloud
   • PROJECT_ID: El ID del proyecto de Google Cloud en el que se encuentra el repositorio
   • REPO_NAME: Es el nombre del repositorio

Archivo cookie

El proceso de adquisición de un cookiefile depende de la configuración del repositorio. Para ver un ejemplo, consulta Genera credenciales estáticas en la documentación de Cloud Source Repositories. Por lo general, las credenciales se almacenan en el archivo .gitcookies en el directorio de tu página principal, o las puede proporcionar un administrador de seguridad.

Para usar un cookiefile, completa los siguientes pasos:

1. Después de crear y obtener el cookiefile, agrégalo a un Secret nuevo en el clúster.

   Si no usas el proxy HTTPS, crea el Secret con el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE
   

   Si necesitas usar un proxy HTTPS, agrégalo al Secret junto con cookiefile mediante la ejecución del siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Reemplaza lo siguiente:

   • /path/to/COOKIEFILE: La ruta de acceso y el nombre de archivo adecuados
   • HTTPS_PROXY_URL: La URL del proxy HTTPS que usas cuando te comunicas con el repositorio de Git

2. Protege el contenido de cookiefile, si aún lo necesitas usar de forma local. De lo contrario, bórralo.

Token

Si tu organización no permite el uso de claves SSH, se recomienda usar un token. Con el Sincronizador de configuración, puedes usar tokens de acceso personales (PAT) de GitHub, PAT o claves de implementación de GiLab, o la contraseña de la aplicación de Bitbucket como token.

Para crear un Secret con tu token, completa estos pasos:

1. Crea un token mediante GitHub, GitLab, o Bitbucket.

   • GitHub: Crea un PAT. Otorga el permiso repo al token para que pueda leer de repositorios privados. Debido a que vinculas un PAT a una cuenta de GitHub, también te recomendamos crear un usuario de máquina y vincular tu PAT a este usuario.
   • GitLab: Crea un PAT o un token de implementación.
   • Bitbucket: Crea una contraseña de la aplicación.

2. Después de crear y obtener el token, agrégalo a un Secreto nuevo en el clúster.

   Si no usas el proxy HTTPS, crea el Secret con el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace="config-management-system" \
     --from-literal=username=USERNAME \
     --from-literal=token=TOKEN
   

   Reemplaza lo siguiente:

   • USERNAME: El nombre de usuario que deseas usar
   • TOKEN: El token que creaste en el paso anterior

   Si necesitas usar un proxy HTTPS, agrégalo al Secret junto con username y token mediante la ejecución del siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
     --from-literal=token=TOKEN \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Reemplaza lo siguiente:

   • USERNAME: El nombre de usuario que deseas usar
   • TOKEN: El token que creaste en el paso anterior
   • HTTPS_PROXY_URL: La URL del proxy HTTPS que usas cuando te comunicas con el repositorio de Git

3. Protege el token si lo necesitas de forma local. De lo contrario, bórralo.

Cuenta de servicio de Google

Si tu repositorio se encuentra en Cloud Source Repositories y tu clúster usa Workload Identity de GKE o Fleet Workload Identity, puedes otorgar al Sincronizador de configuración acceso a un repositorio en el mismo proyecto que tu clúster administrado mediante una cuenta de servicio de Google.

1. Si aún no tienes una cuenta de servicio, crea una.

2. Otorga la función de IAM de lector de Cloud Source Repositories (roles/source.reader) a la cuenta de servicio de Google. Si deseas obtener más información sobre las funciones y los permisos de Cloud Source Repositories, consulta Otorga permisos para ver los repositorios.

   • Otorga permiso para todo el proyecto si se aplican los mismos permisos a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role=roles/source.reader \
       --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

   • Otorga permisos específicos del repositorio cuando desees que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud source repos set-iam-policy REPOSITORY POLICY_FILE --project=PROJECT_ID
     

3. Si configuras el Sincronizador de configuración con la consola de Google Cloud, selecciona Workload Identity como el Tipo de autenticación y, luego, agrega el correo electrónico de la cuenta de servicio.

   Si configuras el Sincronizador de configuración con Google Cloud CLI, agrega gcpserviceaccount como secretType y, luego, agrega el correo electrónico de tu cuenta de servicio a gcpServiceAccountEmail.

4. Después de configurar el Sincronizador de configuración, crea una vinculación de política de IAM entre la cuenta de servicio de Kubernetes y la cuenta de servicio de Google. La cuenta de servicio de Kubernetes no se creará hasta que configures el Sincronizador de configuración por primera vez.

   Si usas clústeres que están registrados en una flota, solo tienes que crear la vinculación de política una vez por flota. Todos los clústeres registrados en una flota comparten el mismo Workload Identitypool. Con el concepto de similitud de la flota, si agregas la política de IAM a tu cuenta de servicio de Kubernetes en un clúster, la cuenta de servicio de Kubernetes del mismo espacio de nombres en otros clústeres de la misma flota también obtendrá la misma política de IAM.

   Esta vinculación permite que la cuenta de servicio del Sincronizador de configuración de Kubernetes funcione como la cuenta de servicio de Google:

   gcloud iam service-accounts add-iam-policy-binding \
       GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --role=roles/iam.workloadIdentityUser \
       --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
       --project=PROJECT_ID
   

Reemplaza lo siguiente:

• PROJECT_ID: El ID del proyecto de la organización
• FLEET_HOST_PROJECT_ID: Si usas Workload Identity de GKE, es lo mismo que PROJECT_ID. Si usas Workload Identity de la flota, este es el ID del proyecto de la flota en la que está registrado el clúster.
• GSA_NAME: La cuenta de servicio de Google personalizada que deseas usar para conectarte a Artifact Registry. La cuenta de servicio debe tener el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader).
• KSA_NAME: Es la cuenta de servicio de Kubernetes para el conciliador.
  • Para los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME. Si instalas el Sincronizador de configuración con la consola de Google Cloud o Google Cloud CLI, el Sincronizador de configuración crea automáticamente un objeto RootSync llamado root-sync.
• REPOSITORY: Es el nombre del repositorio.
• POLICY_FILE: Es el archivo JSON o YAML con la política de Identity and Access Management.

Cuenta de servicio predeterminada de Compute Engine

Si tu repositorio se encuentra en Cloud Source Repositories y tu clúster es GKE en Google Cloud con Workload Identity inhabilitada, puedes usar gcenode como el tipo de autenticación.

Si configuras el Sincronizador de configuración con la consola de Google Cloud, selecciona Google Cloud Repository como el Tipo de autenticación.

Si configuras el Sincronizador de configuración con Google Cloud CLI, agrega gcenode como secretType.

Si seleccionas Google Cloud Repository o gcenode, puedes usar la cuenta de servicio predeterminada de Compute Engine. Debes otorgar la función de IAM de lector de Cloud Source Repositories (roles/source.reader) a la cuenta de servicio predeterminada de Compute Engine. Si deseas obtener más información sobre las funciones y los permisos de Cloud Source Repositories, consulta Otorga permisos para ver los repositorios.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --role=roles/source.reader \
  --member="serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com"

Reemplaza PROJECT_ID por el ID del proyecto de tu organización y PROJECT_NUMBER por el número del proyecto de tu organización.

Cuenta de servicio de Kubernetes

Si almacenas tu imagen OCI en Artifact Registry y tu clúster usa Workload Identity de GKE o Fleet Workload Identity, puedes usar k8sserviceaccount como tipo de autenticación en la versión 1.17.2 y versiones posteriores. Esta opción se recomienda en lugar de gcpserviceaccount debido a su proceso de configuración simplificado.

1. Otorga el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader) a la cuenta de servicio de Kubernetes con el grupo de Workload Identity. Para obtener más información sobre los roles y permisos de Artifact Registry, consulta Configura roles y permisos para Artifact Registry.

   • Otorga permiso para todo el proyecto si se aplican los mismos permisos a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
           --role=roles/artifactregistry.reader \
           --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
     

   • Otorga permisos específicos del repositorio cuando desees que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
        --project=PROJECT_ID
     

   Reemplaza lo siguiente:

   • PROJECT_ID: El ID del proyecto de la organización
   • FLEET_HOST_PROJECT_ID: Si usas Workload Identity de GKE, es lo mismo que PROJECT_ID. Si usas Workload Identity de la flota, este es el ID del proyecto de la flota en la que está registrado el clúster.
   • KSA_NAME: Es la cuenta de servicio de Kubernetes para el conciliador.
     • Para los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME. Si instalas el Sincronizador de configuración con la consola de Google Cloud o Google Cloud CLI, el Sincronizador de configuración crea automáticamente un objeto RootSync llamado root-sync.
   • REPOSITORY: El ID del repositorio
   • LOCATION: Es la ubicación regional o multirregional del repositorio.

Cuenta de servicio de Google

Si almacenas tu imagen OCI en Artifact Registry y tu clúster usa Workload Identity de GKE o Fleet Workload Identity, puedes usar gcpserviceaccount como tipo de autenticación. A partir de la versión 1.17.2, se recomienda usar k8sserviceaccount en su lugar. Esta opción elimina los pasos adicionales para crear una cuenta de servicio de Google y la vinculación de política de IAM asociada.

1. Si aún no tienes una cuenta de servicio, crea una.

2. Otorga el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader) a la cuenta de servicio de Google. Para obtener más información sobre los roles y permisos de Artifact Registry, consulta Configura roles y permisos para Artifact Registry.

   • Otorga permiso para todo el proyecto si se aplican los mismos permisos a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID  \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

   • Otorga permisos específicos del repositorio cuando desees que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
        --project=PROJECT_ID
     

3. Para crear una vinculación de políticas de IAM entra la cuenta de servicio de Kubernetes y la cuenta de servicio de Google, ejecutando el siguiente comando:

   gcloud iam service-accounts add-iam-policy-binding
     GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --role=roles/iam.workloadIdentityUser \
       --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
       --project=PROJECT_ID
   

Reemplaza lo siguiente:

• PROJECT_ID: El ID del proyecto de la organización
• FLEET_HOST_PROJECT_ID: Si usas Workload Identity de GKE, es lo mismo que PROJECT_ID. Si usas Workload Identity de la flota, este es el ID del proyecto de la flota en la que está registrado el clúster.
• GSA_NAME: La cuenta de servicio de Google personalizada que deseas usar para conectarte a Artifact Registry. La cuenta de servicio debe tener el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader).
• KSA_NAME: Es la cuenta de servicio de Kubernetes para el conciliador.
  • Para los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME. Si instalas el Sincronizador de configuración con la consola de Google Cloud o Google Cloud CLI, el Sincronizador de configuración crea automáticamente un objeto RootSync llamado root-sync.
• REPOSITORY: El ID del repositorio
• LOCATION: Es la ubicación regional o multirregional del repositorio.

Cuenta de servicio predeterminada de Compute Engine

Si almacenas tu gráfico de Helm en Artifact Registry y tu clúster es GKE en Google Cloud con Workload Identity inhabilitada, puedes usar gcenode como tu tipo de autenticación. El Sincronizador de configuración usa la cuenta de servicio predeterminada de Compute Engine. Debes otorgar a tu cuenta de servicio predeterminada de Compute Engine acceso de lectura a Artifact Registry.

1. Para otorgar permiso de lectura a la cuenta de servicio de Compute Engine a Artifact Registry, ejecuta el siguiente comando:

   gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
      --role=roles/artifactregistry.reader
   

   Reemplaza PROJECT_ID por el ID del proyecto de tu organización y PROJECT_NUMBER por el número del proyecto de tu organización.

Token

Crea un Secret con un nombre de usuario y una contraseña del repositorio de Helm:

kubectl create secret generic SECRET_NAME \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
    --from-literal=password=PASSWORD

Reemplaza lo siguiente:

• SECRET_NAME: Es el nombre que deseas darle a tu secreto.
• USERNAME: Es el nombre de usuario del repositorio de Helm.
• PASSWORD: Es la contraseña del repositorio de Helm.

Cuando configures el operador de ConfigManagement, usarás el nombre del Secret que elegiste para spec.helm.secretRef.name.

Cuenta de servicio de Kubernetes

Si almacenas tu gráfico de Helm en Artifact Registry y tu clúster usa Workload Identity de GKE o Fleet Workload Identity, puedes usar k8sserviceaccount como tipo de autenticación en la versión 1.17.2 y versiones posteriores. Esta opción se recomienda en lugar de gcpserviceaccount debido a su proceso de configuración simplificado.

1. Otorga el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader) a la cuenta de servicio de Kubernetes con el grupo de Workload Identity. Para obtener más información sobre los roles y permisos de Artifact Registry, consulta Configura roles y permisos para Artifact Registry.

   • Otorga permiso para todo el proyecto si se aplican los mismos permisos a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
     

   • Otorga permisos específicos del repositorio cuando desees que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
        --project=PROJECT_ID
     

   Reemplaza lo siguiente:

   • PROJECT_ID: El ID del proyecto de la organización
   • FLEET_HOST_PROJECT_ID: Si usas Workload Identity de GKE, es lo mismo que PROJECT_ID. Si usas Workload Identity de la flota, este es el ID del proyecto de la flota en la que está registrado el clúster.
   • KSA_NAME: Es la cuenta de servicio de Kubernetes para el conciliador.
     • Para los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME.
   • REPOSITORY: El ID del repositorio
   • LOCATION: Es la ubicación regional o multirregional del repositorio.

Cuenta de servicio de Google

Si almacenas tu gráfico de Helm en Artifact Registry y tu clúster usa Workload Identity de GKE o Fleet Workload Identity, puedes usar gcpserviceaccount como tipo de autenticación. A partir de la versión 1.17.2, se recomienda usar k8sserviceaccount en su lugar. Esta opción elimina los pasos adicionales para crear una cuenta de servicio de Google y la vinculación de política de IAM asociada.

1. Si aún no tienes una cuenta de servicio, crea una.

2. Otorga el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader) a la cuenta de servicio de Google. Para obtener más información sobre los roles y permisos de Artifact Registry, consulta Configura roles y permisos para Artifact Registry.

   • Otorga permiso para todo el proyecto si se aplican los mismos permisos a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID  \
           --role=roles/artifactregistry.reader \
           --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

   • Otorga permisos específicos del repositorio cuando desees que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
        --project=PROJECT_ID
     

3. Para crear una vinculación de políticas de IAM entra la cuenta de servicio de Kubernetes y la cuenta de servicio de Google, ejecutando el siguiente comando:

   gcloud iam service-accounts add-iam-policy-binding
     GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --role=roles/iam.workloadIdentityUser \
       --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
       --project=PROJECT_ID
   

Reemplaza lo siguiente:

• PROJECT_ID: El ID del proyecto de la organización
• FLEET_HOST_PROJECT_ID: Si usas Workload Identity de GKE, es lo mismo que PROJECT_ID. Si usas Workload Identity de la flota, este es el ID del proyecto de la flota en la que está registrado el clúster.
• GSA_NAME: La cuenta de servicio de Google personalizada que deseas usar para conectarte a Artifact Registry. La cuenta de servicio debe tener el rol de IAM de lector de Artifact Registry (roles/artifactregistry.reader).
• KSA_NAME: Es la cuenta de servicio de Kubernetes para el conciliador.
  • Para los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME.
• REPOSITORY: El ID del repositorio
• LOCATION: Es la ubicación regional o multirregional del repositorio.

Cuenta de servicio predeterminada de Compute Engine

Si almacenas tu gráfico de Helm en Artifact Registry y tu clúster es GKE en Google Cloud con Workload Identity inhabilitada, puedes usar gcenode como tu tipo de autenticación. El Sincronizador de configuración usa la cuenta de servicio predeterminada de Compute Engine. Debes otorgar a tu cuenta de servicio predeterminada de Compute Engine acceso de lectura a Artifact Registry. Es posible que debas otorgar el permiso de acceso storage-ro para otorgar permiso de solo lectura para extraer imágenes.

1. Otorga permiso de lectura a la cuenta de servicio de Compute Engine a Artifact Registry:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --role=roles/artifactregistry.reader
   

   Reemplaza PROJECT_ID por el ID del proyecto de tu organización y PROJECT_NUMBER por el número del proyecto de tu organización.

Console

Instalar el Sincronizador de configuración

Para instalar el Sincronizador de configuración, todos los clústeres deben estar registrados en una flota. Cuando instalas el Sincronizador de configuración en la consola de Google Cloud, cuando seleccionas clústeres individuales, los registra automáticamente en tu flota.

1. En la consola de Google Cloud, ve a la página Configuración en la sección Funciones.

   Ir a Configuración

2. Haz clic en add Instalar el Sincronizador de configuración.
3. Selecciona Actualizaciones automáticas (Vista previa) para permitir que el Sincronizador de configuración actualice las versiones automáticamente o selecciona Actualizaciones manuales para administrar la versión del Sincronizador de configuración por tu cuenta. Para obtener más información sobre cómo funcionan las actualizaciones automáticas, consulta Actualiza el Sincronizador de configuración.
4. En Opciones de instalación, selecciona una de las siguientes opciones:
   • Instalar el Sincronizador de configuración en toda la flota (recomendado): El Sincronizador de configuración se instalará en todos los clústeres de la flota.
   • Instala el Sincronizador de configuración en clústeres individuales: Todos los clústeres seleccionados se registrarán automáticamente en una flota. Se instalará el Sincronizador de configuración en todos los clústeres de la flota.
5. Si instalas el Sincronizador de configuración en clústeres individuales, en la tabla Clústeres disponibles, selecciona los clústeres en los que deseas instalar el Sincronizador de configuración.
6. Haz clic en Instalar el Sincronizador de configuración. En la pestaña Configuración, después de unos minutos, deberías ver Habilitado en la columna Estado de los clústeres de tu flota.

Implementa un paquete

Después de registrar los clústeres, puedes implementar un paquete de una fuente de confianza en el clúster del Sincronizador de configuración. Puedes implementar un paquete en más de un clúster a la vez y agregar varios paquetes a un solo clúster.

Para implementar un paquete, completa los siguientes pasos:

1. En la consola de Google Cloud, ve al panel del Sincronizador de configuración.

   Ir al panel del Sincronizador de configuración

2. Haz clic en Implementar paquete.

3. En la tabla Selecciona clústeres para la implementación de paquetes, selecciona el clúster en el que deseas implementar un paquete y, luego, haz clic en Continuar.

4. Selecciona Paquete alojado en Git o Paquete alojado en OCI como tu tipo de fuente y, luego, haz clic en Continuar.

5. En la sección Package details, ingresa un Package name, que identifique el objeto RootSync o RepoSync.

6. En la sección Fuente, completa lo siguiente:

   • Para las fuentes alojadas en un repositorio de Git, ingresa los siguientes campos:

     1. Ingresa un Package name para identificar el objeto RootSync o RepoSync.
     2. Ingresa la URL del repositorio de Git que usas como fuente de información como la URL del repositorio.
     3. Opcional: Actualiza el campo Revisión para verificar si no usas el HEAD predeterminado.
     4. Opcional: Actualiza el campo Path si no deseas realizar la sincronización desde el repositorio raíz.
     5. Actualiza el campo Rama si no usas la rama main predeterminada (opcional).

   • Para las fuentes alojadas en una imagen OCI, ingresa los siguientes campos:

     1. Ingresa la URL de la imagen de OCI que usas como fuente de información como la imagen.
     2. Ingresa la ruta de acceso del directorio desde el que deseas sincronizar, en relación con el directorio raíz, como Directory.

7. En el campo Tipo de sincronización, elige RootSync o RepoSync como el tipo de sincronización.

   Los objetos RootSync tienen alcance de clúster y los objetos RepoSync tienen alcance de espacio de nombres. Para obtener más información sobre estos objetos, consulta los campos RootSync y RepoSync.

8. (Opcional): Expande la sección Configuración avanzada para completar las siguientes acciones:

   1. Selecciona un tipo de autenticación:

      • Ninguna: No usa autenticación.
      • SSH: Usa un par de claves SSH.
      • Cookiefile: Usa un cookiefile.
      • Token: Usa un token.
      • Google Cloud Repository: Usa una cuenta de servicio de Google para acceder a un Cloud Source Repositories. Selecciona esta opción solo si Workload Identity no está habilitado en el clúster.
      • Workload Identity: Usa una cuenta de servicio de Google para acceder a un repositorio de Cloud Source Repositories.

   2. Ingresa un número en segundos para configurar el tiempo de espera de la sincronización, que determina cuánto tiempo espera el Sincronizador de configuración entre la sincronización de la fuente de información.

   3. Ingresa una URL de proxy de Git para que el proxy HTTPS se use cuando se comunique con la fuente de información.

   4. Elige Jerarquía para cambiar el Formato de origen.

      En la mayoría de los casos, se recomienda el valor predeterminado No estructurado, ya que te permite organizar tu fuente de información de la manera que desees.

9. Haz clic en Implementar paquete.

   Se te redireccionará a la página Paquetes del Sincronizador de configuración. Después de unos minutos, deberías ver Sincronizado en la columna Estado de sincronización del clúster que configuraste.

10. Para actualizar un paquete, en la pestaña Packages, expande el nombre del paquete que deseas editar y, luego, haz clic en edit Edit.

gcloud

Antes de continuar, asegúrate de registrar tus clústeres en una flota.

1. Habilita la función de flota ConfigManagement:

   gcloud beta container fleet config-management enable
   

2. Para preparar la configuración, crea un nuevo manifiesto apply-spec.yaml o usa un manifiesto existente. El uso de un manifiesto existente te permite configurar tu clúster con la misma configuración que usa otro clúster.

   Crear manifiesto nuevo

   A fin de configurar el Sincronizador de configuración con la configuración nueva para tu clúster, crea un archivo llamado apply-spec.yaml y copia el siguiente archivo YAML en él.

   Puedes establecer todos los campos opcionales spec.configSync que necesitarás cuando crees el manifiesto y, luego, usar los comandos de kubectl para la configuración. Además, solo puedes establecer el campo spec.configSync.enabled como true y omitir los campos opcionales. Luego, puedes usar comandos de kubectl para crear objetos RootSync adicionales o RepoSync que puedes administrar por completo con los comandos de kubectl más adelante.

   # apply-spec.yaml
   
   applySpecVersion: 1
   spec:
     upgrades: UPGRADE_SETTING
     configSync:
       # Set to true to install and enable Config Sync
       enabled: true
       # If you don't have a source of truth yet, omit the
       # following fields. You can configure them later.
       sourceType: SOURCE_TYPE
       sourceFormat: FORMAT
       syncRepo: REPO
       syncRev: REVISION
       syncBranch: BRANCH
       secretType: SECRET_TYPE
       gcpServiceAccountEmail: EMAIL
       metricsGcpServiceAccountEmail: METRICS_EMAIL
       policyDir: DIRECTORY
       preventDrift: PREVENT_DRIFT
   

   Reemplaza lo siguiente:

   • (Vista previa) UPGRADE_SETTING: Configúralo en auto para configurar el Sincronizador de configuración para que se actualice automáticamente. Configúralo en manual para actualizar el Sincronizador de configuración de forma manual. El valor predeterminado es manual. Esta marca solo es compatible con los clústeres de GKE en Google Cloud.

   • SOURCE_TYPE: Agrega git para sincronizar desde un repositorio de Git, oci para sincronizar desde una imagen OCI o helm para sincronizar desde un gráfico de Helm. Si no se especifica ningún valor, el valor predeterminado es git.

   • FORMAT: agrega unstructured para usar un repositorio no estructurado o agrega hierarchy a fin de usar un repositorio jerárquico. Estos valores distinguen entre mayúsculas y minúsculas. Este campo es opcional y el valor predeterminado es hierarchy. Te recomendamos que agregues unstructured, ya que este formato te permite organizar la configuración de la manera que te resulte más conveniente.

   • REPO: Agrega la URL de la fuente de confianza. Las URLs del repositorio de Git y Helm usan el protocolo HTTPS o SSH. Por ejemplo, https://github.com/GoogleCloudPlatform/anthos-config-management-samples. Si planeas usar SSH como secretType, ingresa tu URL con el protocolo SSH. Este campo es obligatorio y, si no ingresas un protocolo, la URL se tratará como una URL HTTPS.

     Las URLs de OCI usan el siguiente formato: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME. De forma predeterminada, la imagen se extrae de la etiqueta latest, pero puedes extraerlas mediante TAG o DIGEST. Especifica TAG o DIGEST en PACKAGE_NAME:

     • Para extraer antes del TAG: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
     • Para extraer antes del DIGEST: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST

   • REVISION: Es la revisión de Git (etiqueta o hash) desde la que se sincroniza. Este campo es opcional, y el valor predeterminado es HEAD. A partir de la versión 1.17.0 del Sincronizador de configuración, también puedes especificar un nombre de rama en el campo syncRev. Cuando se usa un hash en la versión 1.17.0 o posterior, debe ser un hash completo y no una forma abreviada.

   • BRANCH: La rama del repositorio desde la que se realiza la sincronización. Este campo es opcional y el valor predeterminado es master. A partir de la versión 1.17.0 del Sincronizador de configuración, se recomienda usar el campo syncRev para especificar un nombre de rama para mayor simplicidad. Si se especifican los campos syncRev y syncBranch, syncRev tiene prioridad sobre syncBranch.

   • SECRET_TYPE: Uno de los siguientes secretTypes:

     git

     • none: No usa autenticación
     • ssh: Usa un par de claves SSH
     • cookiefile: Usa un objeto cookiefile
     • token: Usa un token
     • gcpserviceaccount: Usa una cuenta de servicio de Google para acceder a Cloud Source Repositories. Si seleccionas este tipo de autenticación, debes crear una vinculación de política de IAM después de que termines de configurar el Sincronizador de configuración. Para obtener más detalles, consulta la pestaña Cuenta de servicio de Google de la sección Otorga acceso de solo lectura al Sincronizador de configuración a Git.
     • gcenode: Usa una cuenta de servicio de Google para acceder a Cloud Source Repositories. Selecciona esta opción solo si Workload Identity no está habilitado en tu clúster.

     Para obtener más información sobre estos tipos de autenticación, consulta Otorga a Git acceso de solo lectura al Sincronizador de configuración.

     OCI

     • none: No usa autenticación
     • gcenode: Usa la cuenta de servicio predeterminada de Compute Engine para acceder a una imagen en Artifact Registry. Selecciona esta opción solo si Workload Identity no está habilitado en el clúster.
     • gcpserviceaccount: Usa una cuenta de servicio de Google para acceder a una imagen.

     helm

     • token: Usa un token
     • gcenode: Usa la cuenta de servicio predeterminada de Compute Engine para acceder a una imagen en Artifact Registry. Selecciona esta opción solo si Workload Identity no está habilitado en el clúster.
     • gcpserviceaccount: Usa una cuenta de servicio de Google para acceder a una imagen.

   • EMAIL: Si agregaste gcpserviceaccount como secretType, agrega la dirección de correo electrónico de la cuenta de servicio de Google. Por ejemplo, acm@PROJECT_ID.iam.gserviceaccount.com

   • METRICS_EMAIL: Es el correo electrónico de la cuenta de servicio de Google Cloud (GSA) que se usó para exportar métricas del Sincronizador de configuración a Cloud Monitoring. GS debe tener la función de IAM de escritor de métricas de supervisión (roles/monitoring.metricWriter). La cuenta de servicio de Kubernetes default en el espacio de nombres config-management-monitoring debe estar vinculada a GSA.

   • DIRECTORY: ruta del directorio desde el que se realiza la sincronización en relación con la raíz del repositorio de Git. Se incluyen todos los subdirectorios del directorio que especificas y se sincronizan con el clúster. El valor predeterminado es el directorio raíz del repositorio.

   • PREVENT_DRIFT: Si se configura como true, habilita el webhook de admisión del Sincronizador de configuración para evitar los desvíos mediante el rechazo de cambios conflictivos que se envían a clústeres activos. La configuración predeterminada es false. El Sincronizador de configuración siempre soluciona los desvíos, sin importar el valor de este campo.

   Para obtener una lista completa de los campos que puedes agregar al campo spec, consulta Campos de gcloud.

   Usar el manifiesto existente

   Para configurar tu clúster con la misma configuración que usa otro clúster, recupera la configuración de un clúster registrado:

   gcloud alpha container fleet config-management fetch-for-apply \
       --membership=MEMBERSHIP_NAME \
       --project=PROJECT_ID \
       > CONFIG_YAML_PATH
   

   Reemplaza lo siguiente:

   • MEMBERSHIP_NAME: El nombre de la membresía del clúster registrado que tiene la configuración del Sincronizador de configuración que deseas usar
   • PROJECT_ID: el ID de tu proyecto
   • CONFIG_YAML_PATH: Es la ruta de acceso al archivo apply-spec.yaml que contiene la configuración recuperada del clúster.

3. Aplica el archivo apply-spec.yaml. Si usas un manifiesto existente, debes aplicar el archivo al clúster que deseas configurar con la configuración que recuperaste en el comando anterior:

   gcloud beta container fleet config-management apply \
       --membership=MEMBERSHIP_NAME \
       --config=CONFIG_YAML_PATH \
       --project=PROJECT_ID
   

   Reemplaza lo siguiente:

   • MEMBERSHIP_NAME: Es el nombre de la membresía de la flota que elegiste cuando registraste el clúster. Puedes encontrar el nombre con gcloud container fleet memberships list.
   • CONFIG_YAML_PATH: La ruta de acceso a tu archivo apply-spec.yaml.
   • PROJECT_ID: Es el ID de tu proyecto.

Terraform

Para cada clúster en el que desees configurar el Sincronizador de configuración, aplica un bloque de recursos google_gkehub_feature_membership que contenga un bloque configmanagement y config_sync:

resource "google_container_cluster" "cluster" {
 name = EXISTING_CLUSTER_NAME
 location = "EXISTING_CLUSTER_LOCATION"
}

resource "google_gke_hub_membership" "membership" {
 membership_id = "MEMBERSHIP_ID"
 endpoint {
   gke_cluster {
     resource_link = "//container.googleapis.com/${google_container_cluster.cluster.id}"
   }
 }

resource "google_gke_hub_feature" "feature" {
  name = "configmanagement"
  location = "global"
  }
}

resource "google_gke_hub_feature_membership" "feature_member" {
 location = "global"
 feature = google_gke_hub_feature.feature.name
 membership = google_gke_hub_membership.membership.membership_id
 configmanagement {
   version = "VERSION"
   config_sync {
     git {
       sync_repo = "REPO"
       sync_branch = "BRANCH"
       policy_dir = "DIRECTORY"
       secret_type = "SECRET"
     }
   }
 }
}

resource "google_container_cluster" "cluster" {
 name = EXISTING_CLUSTER_NAME
 location = "EXISTING_CLUSTER_LOCATION"
}

resource "google_gke_hub_membership" "membership" {
 membership_id = "MEMBERSHIP_ID"
 endpoint {
   gke_cluster {
     resource_link = "//container.googleapis.com/${google_container_cluster.cluster.id}"
   }
 }

resource "google_gke_hub_feature" "feature" {
  name = "configmanagement"
  location = "global"
  }
}

resource "google_gke_hub_feature_membership" "feature_member" {
 location = "global"
 feature = google_gke_hub_feature.feature.name
 membership = google_gke_hub_membership.membership.membership_id
 configmanagement {
   version = "VERSION"
   config_sync {
     oci {
       sync_repo = "REPO"
       policy_dir = "DIRECTORY"
       secret_type = "SECRET"
     }
   }
 }
}

Repite este proceso para cada clúster que desees sincronizar.

Console

1. En la consola de Google Cloud, ve a la página Administrador de funciones.

   Ir a Administrador de funciones

2. En el panel del Sincronizador de configuración, haz clic en Configurar.

3. Revisa la configuración a nivel de la flota. Todos los clústeres nuevos que creas en la flota heredan esta configuración.

4. Opcional: Para cambiar la configuración predeterminada, haz clic en Personalizar la configuración de la flota. En el cuadro de diálogo que aparece, haz lo siguiente:

5. Selecciona Actualizaciones automáticas (Vista previa) para que las versiones de actualización del Sincronizador de configuración se actualicen automáticamente o selecciona Actualizaciones manuales para administrar la versión del Sincronizador de configuración por tu cuenta. Para obtener más información sobre cómo funcionan las actualizaciones automáticas, consulta Actualiza el Sincronizador de configuración.

6. Si seleccionaste Actualizaciones manuales, en la lista Versión, selecciona la versión del Sincronizador de configuración que desees usar.

7. Haz clic en Guardar cambios.

8. Haz clic en Configurar.

9. En el diálogo de confirmación Configuración de la flota, haz clic en Confirmar. Si no habilitaste el Sincronizador de configuración antes, hacer clic en Confirmar también habilita la API de anthosconfigmanagement.googleapis.com.

Terraform

1. Crear un directorio para los archivos de Terraform de configuración predeterminados de la flota. A ese directorio, agrega un archivo main.tf con el siguiente recurso que establece la configuración del Sincronizador de configuración:

   git

   terraform {
     required_providers {
       google = {
         source = "hashicorp/google"
         version = ">=5.16.0"
         }
       }
     }
   
   provider "google" {
     project = "PROJECT_ID"
   }
   
   resource "google_gke_hub_feature" "feature" {
     name = "configmanagement"
     location = "global"
     provider = google
     fleet_default_member_config {
       configmanagement {
       version = "VERSION"
       config_sync {
       source_format = "unstructured"
         git {
           sync_repo = "REPO"
           sync_branch = "BRANCH"
           policy_dir = "DIRECTORY"
           secret_type = "SECRET"
         }
       }
       }
     }
   }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: El ID del proyecto host de la flota.
   • VERSION: Es el número de versión del Sincronizador de configuración (opcional). Si se deja en blanco, el valor predeterminado es la última versión.
   • REPO: Es la URL al repositorio que contiene los archivos de configuración.
   • BRANCH: Es la rama del repositorio, por ejemplo main.
   • DIRECTORY: Es la ruta de acceso dentro del repositorio de Git que representa el nivel superior del repositorio que deseas sincronizar.
   • SECRET: Es el tipo de autenticación del secreto.

   Para obtener una lista completa de los parámetros de configuración compatibles con el bloque git del Sincronizador de configuración, consulta la documentación de referencia de Terraform para las funciones de GKE Hub.

   OCI

   terraform {
     required_providers {
       google = {
         source = "hashicorp/google"
         version = ">=5.16.0"
         }
       }
     }
   
   provider "google" {
     project = "PROJECT_ID"
   }
   
   resource "google_gke_hub_feature" "feature" {
     name = "configmanagement"
     location = "global"
     provider = google
     fleet_default_member_config {
       configmanagement {
       version = "VERSION"
       config_sync {
       source_format = "unstructured"
         oci {
           sync_repo = "REPO"
           policy_dir = "DIRECTORY"
           secret_type = "SECRET"
         }
       }
       }
     }
   }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: El ID del proyecto host de la flota.
   • VERSION: Es el número de versión del Sincronizador de configuración. Se debe configurar en la versión 1.17.0 o posterior. Si se deja en blanco, el valor predeterminado es la última versión.
   • REPO: Es la URL al repositorio de imágenes de OCI que contiene los archivos de configuración.
   • DIRECTORY: Es la ruta de acceso absoluta del directorio que contiene los recursos que deseas sincronizar. Déjalo en blanco para usar el directorio raíz.
   • SECRET: Es el tipo de autenticación del secreto.

   Para obtener una lista completa de los parámetros de configuración compatibles con el bloque oci del Sincronizador de configuración, consulta la documentación de referencia de Terraform para las funciones de GKE Hub.

2. Inicializa Terraform en el directorio que creaste:

   terraform init
   

3. Verifica que los cambios que propones con Terraform coincidan con el plan esperado:

   terraform plan
   

4. Crea las configuraciones predeterminadas de los miembros de la flota:

   terraform apply
   

Console

Completa los siguientes pasos:

1. En la consola de Google Cloud, ve a la página Configuración en la sección Funciones.

   Ir a Configuración

2. En la pestaña Paquetes, verifica la columna Estado de sincronización en la tabla de clústeres. Si la instalación del Sincronizador de configuración es exitosa, tiene el estado Installed. Una fuente de confianza configurada correctamente tiene el estado Sincronizada.

gcloud

Ejecuta el siguiente comando:

gcloud beta container fleet config-management status \
    --project=PROJECT_ID

Reemplaza PROJECT_ID por el ID del proyecto.

Si la instalación se realiza correctamente, tendrá el estado SYNCED. A partir de la versión 1.18.0 del Sincronizador de configuración, el resultado también muestra qué versión del Sincronizador de configuración está instalada y los parámetros de configuración de actualización del Sincronizador de configuración.

Si ves un error después de ejecutar el comando anterior, asegúrate de haber creado el Secret git-creds. Si creaste el Secret, vuelve a ejecutar el siguiente comando:

gcloud beta container fleet config-management apply

1.17

¹ El webhook de admisión tiene dos réplicas, por lo que, cuando calculas el total de solicitudes de recursos, debes duplicar el valor si usas el webhook de admisión. El webhook de admisión está inhabilitado de forma predeterminada.

1.16

¹ El webhook de admisión tiene dos réplicas, por lo que, cuando calculas el total de solicitudes de recursos, debes duplicar el valor si usas el webhook de admisión. El webhook de admisión está inhabilitado de forma predeterminada.

1.15

¹ El webhook de admisión tiene dos réplicas, por lo que, cuando calculas el total de solicitudes de recursos, debes duplicar el valor si usas el webhook de admisión. El webhook de admisión está inhabilitado de forma predeterminada.

1.17

1.16

1.15

1.17

1.16

En las versiones del Sincronizador de configuración anteriores a la 1.17.0, las solicitudes de recursos son las mismas para Standard y Autopilot.

1.15

En las versiones del Sincronizador de configuración anteriores a la 1.17.0, las solicitudes de recursos son las mismas para Standard y Autopilot.