Instala Sincronizador de configuración

Par de claves SSH

Un par de claves SSH consta de dos archivos, una clave pública y una clave privada. Por lo general, la clave pública tiene una extensión .pub.

Para usar un par de claves SSH, completa los siguientes pasos:

1. Crea un par de claves SSH para permitir que el Sincronizador de configuración se autentique en tu repositorio de Git. Este paso es necesario si necesitas autenticarte en el repositorio para clonarlo o leer de él. Omite este paso si un administrador de seguridad te proporciona un par de claves. Puedes usar un solo par de claves para todos los clústeres o un par de claves por clúster, según tus requisitos de seguridad y cumplimiento.

   El siguiente comando crea una clave RSA de 4096 bits. No se recomiendan valores más bajos:

   ssh-keygen -t rsa -b 4096 \
   -C "GIT_REPOSITORY_USERNAME" \
   -N '' \
   -f /path/to/KEYPAIR_FILENAME
   

   Reemplaza lo siguiente:

   • GIT_REPOSITORY_USERNAME: El nombre de usuario que deseas que el Sincronizador de configuración use para autenticarse en el repositorio.
   • /path/to/KEYPAIR_FILENAME: Una ruta de acceso al par de claves.

   Si usas un host del repositorio de Git de terceros, como GitHub, o deseas usar una cuenta de servicio con Cloud Source Repositories, te recomendamos que uses una cuenta distinta.

2. Configura el repositorio para que reconozca la clave pública que acabas de crear. Consulta la documentación de tu proveedor de hosting de Git. Se incluyen instrucciones para algunos proveedores de hosting de Git populares para mayor comodidad:

   • Cloud Source Repositories
   • Bitbucket
   • GitHub: Recomendamos que crees claves de implementación por separado para proporcionar acceso de solo lectura a un único repositorio de GitHub.
   • GitLab

3. Agrega la clave privada a un Secret nuevo del clúster:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=ssh=/path/to/KEYPAIR_PRIVATE_KEY_FILENAME
   

   Reemplaza /path/to/KEYPAIR_PRIVATE_KEY_FILENAME por el nombre de la clave privada (la que no tiene el sufijo .pub).

4. Borra la clave privada del disco local o protégela.

5. Cuando configures el Sincronizador de configuración y agregues la URL de tu repositorio de Git, usa el protocolo SSH. Si usas un repositorio en Cloud Source Repositories, debes usar el siguiente formato cuando ingreses tu URL:

   ssh://EMAIL@source.developers.google.com:2022/p/PROJECT_ID/r/REPO_NAME
   

   Reemplaza lo siguiente:

   • EMAIL: Tu nombre de usuario de Google Cloud
   • PROJECT_ID: El ID del proyecto de Google Cloud en el que se encuentra el repositorio
   • REPO_NAME: El nombre del repositorio.

Archivo cookie

El proceso de adquisición de un cookiefile depende de la configuración del repositorio. Para ver un ejemplo, consulta la sección sobre cómo generar credenciales estáticas en la documentación de Cloud Source Repositories. Por lo general, las credenciales se almacenan en el archivo .gitcookies en el directorio de tu página principal, o las puede proporcionar un administrador de seguridad.

Para usar un cookiefile, completa los siguientes pasos:

1. Después de crear y obtener el cookiefile, agrégalo a un Secret nuevo en el clúster.

   Si no usas el proxy HTTPS, crea el Secret con el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE
   

   Si necesitas usar un proxy HTTPS, agrégalo al Secret junto con cookiefile mediante la ejecución del siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Reemplaza lo siguiente:

   • /path/to/COOKIEFILE: La ruta de acceso y el nombre de archivo adecuados
   • HTTPS_PROXY_URL: La URL del proxy HTTPS que usas cuando te comunicas con el repositorio de Git

2. Protege el contenido de cookiefile, si aún lo necesitas usar de forma local. De lo contrario, bórralo.

Token

Si tu organización no permite el uso de claves SSH, se recomienda usar un token. Con el Sincronizador de configuración, puedes usar tokens de acceso personales (PAT) de GitHub, PAT o claves de implementación de GiLab, o la contraseña de la aplicación de Bitbucket como token.

Para crear un Secret con tu token, completa estos pasos:

1. Crea un token mediante GitHub, GitLab, o Bitbucket.

   • GitHub: Crea un PAT. Otorga el permiso repo al token para que pueda leer de repositorios privados. Debido a que vinculas un PAT a una cuenta de GitHub, también te recomendamos crear un usuario de máquina y vincular tu PAT a este usuario.
   • GitLab: Crea un PAT o un token de implementación.
   • Bitbucket: Crea una contraseña de la aplicación.

2. Después de crear y obtener el token, agrégalo a un Secreto nuevo en el clúster.

   Si no usas el proxy HTTPS, crea el Secret con el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace="config-management-system" \
     --from-literal=username=USERNAME \
     --from-literal=token=TOKEN
   

   Reemplaza lo siguiente:

   • USERNAME: El nombre de usuario que deseas usar
   • TOKEN: El token que creaste en el paso anterior

   Si necesitas usar un proxy HTTPS, agrégalo al Secret junto con username y token mediante la ejecución del siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
     --from-literal=token=TOKEN \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Reemplaza lo siguiente:

   • USERNAME: El nombre de usuario que deseas usar
   • TOKEN: El token que creaste en el paso anterior
   • HTTPS_PROXY_URL: La URL del proxy HTTPS que usas cuando te comunicas con el repositorio de Git

3. Protege el token si lo necesitas de forma local. De lo contrario, bórralo.

Cuenta de servicio
de Google

Si tu repositorio se encuentra en un repositorio de Cloud Source Repositories, puedes otorgar al Sincronizador de configuración acceso a un repositorio en el mismo proyecto que tu clúster administrado con una cuenta de servicio de Google.

Para usar un repositorio en Cloud Source Repositories como el repositorio del Sincronizador de configuración, completa los siguientes pasos:

1. Recupera tu URL de Cloud Source Repositories:

   1. Enumera todos los repositorios:

      gcloud source repos list
      

   2. Copia la URL del repositorio que deseas usar desde el resultado: Por ejemplo:

      REPO_NAME  PROJECT_ID  URL
      my-repo    my-project  https://source.developers.google.com/p/my-project/r/my-repo-csr
      

      Debes usar esta URL cuando configures el Sincronizador de configuración en la siguiente sección. Si configuras el Sincronizador de configuración con Google Cloud Console, debes agregar la URL en el campo URL. Si configuras el Sincronizador de configuración con la herramienta de línea de comandos de gcloud, debes agregar la URL al campo syncRepo del archivo de configuración.

2. Cuando configures el Sincronizador de configuración, selecciona el tipo de autenticación adecuado. El tipo de autenticación que debes elegir varía según si tienes Workload Identity habilitado en tu clúster:

   Workload Identity habilitado.

   1. Si es necesario, crea una cuenta de servicio. Asegúrate de que la cuenta de servicio tenga acceso de lectura a Cloud Source Repositories. Para ello, otórgale el rol source.reader.

   2. Si configuras el Sincronizador de configuración con Google Cloud Console, selecciona Workload Identity como el Tipo de autenticación y, luego, agrega el correo electrónico de la cuenta de servicio.

      Si configuras el Sincronizador de configuración con la herramienta de línea de comandos de gcloud, agrega gcpserviceaccount como secretType y, luego, agrega el correo electrónico de tu cuenta de servicio a gcpServiceAccountEmail.

   3. Después Configura el Sincronizador de configuración, crea unVinculación de políticas de IAM entre la cuenta de servicio de Kubernetes y la cuenta de servicio de Google. La cuenta de servicio de Kubernetes no se creará hasta que configures el Sincronizador de configuración por primera vez.

      Esta vinculación permite que la cuenta de servicio del Sincronizador de configuración de Kubernetes funcione como la cuenta de servicio de Google:

      gcloud iam service-accounts add-iam-policy-binding \
         --role roles/iam.workloadIdentityUser \
         --member "serviceAccount:PROJECT_ID.svc.id.goog[config-management-system/root-reconciler]" \
         GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
      

      Reemplaza lo siguiente:

      • PROJECT_ID: El ID del proyecto de tu organización
      • GSA_NAME: Es la cuenta de servicio de Google personalizada que deseas usar para conectarte a Cloud Source Repositories. Asegúrate de que la cuenta de servicio de Google que selecciones tenga la función source.reader.

   Workload Identity no habilitado

   Si configuras el Sincronizador de configuración con Google Cloud Console, selecciona Google Cloud Repository como el Tipo de autenticación.

   Si configuras el Sincronizador de configuración con la herramienta de línea de comandos de gcloud, agrega gcenode como secretType.

   Si seleccionas Google Cloud Repository o gcenode, puedes usar la cuenta de servicio predeterminada de Compute Engine. De forma predeterminada, la cuenta de servicio predeterminada de Compute Engine PROJECT_ID-compute@developer.gserviceaccount.com tiene acceso source.reader al repositorio del mismo proyecto. Sin embargo, si Cloud Source Repositories se encuentra en un proyecto diferente del proyecto de tu clúster, debes otorgar a la cuenta de servicio de Compute Engine predeterminada del proyecto del clúster, source.reader en el proyecto de Cloud Source Repositories.

   Puedes agregar el rol source.reader con el siguiente comando:

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
     --role roles/source.reader
   

   Reemplaza lo siguiente:

   • PROJECT_ID: El ID del proyecto de tu organización
   • PROJECT_NUMBER: El número de proyecto de tu organización

   No puedes modificar los permisos de acceso luego de crear un grupo de nodos. Sin embargo, puedes crear un grupo de nodos nuevo con el permiso de acceso adecuado mientras usas el mismo clúster. El permiso gke-default predeterminado no incluye cloud-source-repos-ro.

Console

Registra tus clústeres

Para usar Config Management, primero debes registrar tus clústeres. Cuando registras tus clústeres, estos pueden compartir un conjunto común de opciones de configuración y políticas.

Para registrar tus clústeres, completa las siguientes tareas:

1. En Cloud Console:

   • Si usas Google Kubernetes Engine, ve a la página Config Management.

     Ir a Config Management

   • Si usas Anthos, ve a la página Anthos Config Management.

     Ir a Anthos Config Management

   En esta página, se muestra qué clústeres están registrados y configurados en este momento, y puedes comenzar a registrar clústeres nuevos.

2. Haz clic en Configuración nueva.

3. En la página Selecciona clústeres registrados para Config Management, ubica la tabla Clústeres no registrados de este proyecto y busca el clúster que deseas registrar.

4. Haz clic en Registrar junto al clúster que deseas registrar.

   Una vez que el clúster se registra de forma correcta, aparece en la tabla Selecciona clústeres registrados para Config Management.

Instala Sincronizador de configuración

Una vez que hayas registrado tus clústeres, puedes continuar con la instalación y configuración de Config Sync.

Para configurar el Sincronizador de configuración, completa los siguientes pasos.

1. En la página Selecciona clústeres registrados para la administración de configuración, selecciona los clústeres que deseas configurar y haz clic en Next.

2. Si deseas instalar el controlador de políticas, deja seleccionada la casilla de verificación Habilitar controlador de políticas y haz clic en Siguiente.

3. En la lista desplegable Repositorio, selecciona Usar la muestra de Google o Personalizado.

   Muestra de Google

   Selecciona Usar la muestra de Google para usar el repositorio de muestra de Google. Este repositorio viene propagado con restricciones de CIS. El Sincronizador de configuración sincroniza estas restricciones con tu clúster y el controlador de políticas las aplica.

   Para seleccionar esta opción, debes instalar el controlador de políticas, instalar la biblioteca de plantillas de restricciones del controlador de políticas y habilitar las restricciones referenciales. Estas opciones del controlador de políticas están habilitadas de forma predeterminada.

   Personalizado

   Selecciona Personalizado para usar tu propio repositorio de Git y, luego, configura los siguientes campos:

   1. En el campo URL, agrega la URL del repositorio de Git para usarla como fuente de verdad. Ingresa las URL con el protocolo HTTPS o SSH. Por ejemplo, https://github.com/GoogleCloudPlatform/anthos-config-management-samples Si planeas usar SSH como tu Tipo de autenticación, ingresa la URL con el protocolo SSH. Si no ingresas un protocolo, la URL se trata como una URL HTTPS.

   2. Haz clic en Show advanced options.

   3. En la lista desplegable Tipo de autenticación, selecciona una de las siguientes opciones:

      • Ninguna: No usa autenticación.
      • SSH: Usa un par de claves SSH.
      • Cookiefile: Usa un cookiefile.
      • Token: Usa un token.
      • Google Cloud Repository: Usa una cuenta de servicio de Google para acceder a un Cloud Source Repositories. Selecciona esta opción solo si Workload Identity no está habilitado en tu clúster.
      • Workload Identity: Usa una cuenta de servicio de Google para acceder a un repositorio de Cloud Source Repositories. Solo puedes seleccionar Workload Identity cuando usas clústeres de GKE con Workload Identity habilitado. No se admite la integración con Fleet Workload Identity para otros clústeres de Anthos. Cuando seleccionas Workload Identity, debes agregar la dirección de correo electrónico de la cuenta de servicio de Google. Por ejemplo: acm@PROJECT_ID.iam.gserviceaccount.com. Si seleccionas este tipo de autenticación, también debes crear una vinculación de política de IAM después de que termines de configurar el Sincronizador de configuración. Para obtener más información, consulta la pestaña Cuenta de servicio de Google de laOtorga acceso de solo lectura al Sincronizador de configuración a Git.

   4. Sigue las instrucciones en Google Cloud Console para otorgar acceso de solo lectura al Sincronizador de configuración a Git y haz clic en Continuar.

   5. En el campo Rama, agrega la rama del repositorio desde la que deseas realizar la sincronización. El valor predeterminado es la rama principal.

   6. Opcional: En el campo Etiqueta/Confirmación, agrega la revisión de Git (etiqueta o hash) que se debe pagar. El predeterminado es HEAD.

   7. Opcional: En el campo Directorio de políticas, agrega la ruta dentro del repositorio en la parte superior de la jerarquía de políticas que deseas sincronizar. La opción predeterminada es el directorio raíz del repositorio.

   8. Opcional: En el campo Tiempo de espera de la sincronización, agrega el período en segundos entre las sincronizaciones consecutivas. El tiempo predeterminado es 15 segundos.

   9. Opcional: En el campo Proxy de Git, ingresa la URL para el proxy HTTPS que se usará durante la comunicación con el repositorio de Git. Este es un campo opcional y, si se deja en blanco, no se usa ningún proxy. El proxy solo se admite cuando se usa un tipo de autorización de cookiefile, none o token.

      La URL del proxy HTTPS se muestra como texto sin formato en el recurso RootSync que crea el Sincronizador de configuración. Si la URL contiene información sensible, como un nombre de usuario o contraseña, y necesitas ocultarla, puedes dejar el proxy de Git vacío y agregar la URL para HTTPS. proxy en el mismo secreto que se usa para la credencial de Git. El almacenamiento en el secreto en el secreto es compatible cuando el tipo de autorización es cookiefile o token.

   10. Opcional: DesdeFormato de origen Elige una de las siguientes listas desplegables:no estructurado ojerarquía. El valor predeterminado es no estructurado, y te recomendamos que selecciones no estructurado, ya que este formato te permite organizar las configuraciones de la manera más conveniente.

   11. Opcional: En la lista desplegable Versión de Config Management, selecciona la versión de Anthos Config Management que deseas usar. El valor predeterminado es la versión actual.

4. Para finalizar la instalación, haz clic en Complete. Volverás a la página Anthos Config Management.

gcloud

Antes de continuar, asegúrate de registrar tus clústeres en una flota.

Si usas Anthos o GKE, completa los siguientes pasos para configurar el Sincronizador de configuración con la herramienta de línea de comandos de gcloud.

1. Para preparar la configuración, crea un nuevo manifiesto apply-spec.yaml o usa un manifiesto existente. El uso de un manifiesto existente te permite configurar tu clúster con la misma configuración que usa otro clúster.

# apply-spec.yaml

applySpecVersion: 1
spec:
  configSync:
    # Set to true to install and enable Config Sync
    enabled: true
    # If you don't have a Git repository, omit the following fields. You
    # can configure them later.
    sourceFormat: FORMAT
    syncRepo: REPO
    syncBranch: BRANCH
    secretType: TYPE
    gcpServiceAccountEmail: EMAIL
    policyDir: DIRECTORY
    # the `preventDrift` field is supported in Anthos Config Management version 1.10.0 and later.
    preventDrift: PREVENT_DRIFT

 gcloud alpha container hub config-management fetch-for-apply \
     --membership=MEMBERSHIP_NAME \
     --project=PROJECT_ID \
     > CONFIG_YAML_PATH

2. Aplica el archivo apply-spec.yaml. Si usas un manifiesto existente, debes aplicar el archivo al clúster que deseas establecer con la configuración que recuperaste en el comando anterior:

  gcloud beta container hub config-management apply \
      --membership=MEMBERSHIP_NAME \
      --config=CONFIG_YAML_PATH \
      --project=PROJECT_ID

Reemplaza lo siguiente:

• MEMBERSHIP_NAME: El nombre de la membresía que elegiste cuando registraste tu clúster, puedes encontrar el nombre con gcloud container hub memberships list.
• CONFIG_YAML_PATH: La ruta de acceso a tu archivo apply-spec.yaml.
• PROJECT_ID: el ID de tu proyecto

Console

Completa los siguientes pasos:

1. En Cloud Console:

   • Si usas Google Kubernetes Engine, ve a la página Config Management.

     Ir a Config Management

   • Si usas Anthos, ve a la página Anthos Config Management.

     Ir a Anthos Config Management

2. En la tabla del clúster, consulta la columna Estado de sincronización de la configuración. Si la instalación se realiza correctamente, tendrá el estado Sincronizada.

gcloud

Ejecuta el siguiente comando:

gcloud beta container hub config-management status \
    --project=PROJECT_ID

Reemplaza PROJECT_ID por el ID del proyecto.

Si la instalación se realiza correctamente, tendrá el estado SYNCED. Si ves un error después de ejecutar el comando anterior, asegúrate de haber creado el Secret git-creds. Si creaste el Secret, vuelve a ejecutar el siguiente comando:

gcloud beta container hub config-management apply