Anthos と GKE への Anthos Config Management のインストール

このページでは、Anthos Config Management コンポーネント、Config Sync、Policy Controller、Config Controller をインストールして構成する方法の概要を説明します。Anthos Config Management の詳細については、Anthos Config Management の概要をご覧ください。

サポートされているプラットフォームとバージョン

Config Sync、Policy Controller、Config Controller は、Anthos と Google Kubernetes Engine(GKE)のユーザーが使用できます。GKE ユーザーの場合、Policy Controller と Config Controller を使用すると追加料金が発生します。詳細については、料金をご覧ください。

Anthos Config Management のバージョニングとアップグレードの互換性については、Anthos のバージョンとアップグレードのサポートをご覧ください。

Anthos Config Management の有効化

Anthos Config Management コンポーネントを使用する前に、適切な API と Anthos Config Management を有効にする必要があります。これらの機能を有効にするには、次の手順を行います。

Console - Anthos

  1. Google Cloud Console で、Anthos API ページに移動します。

    Anthos API に移動

  2. [有効にする] をクリックします。

  3. Google Cloud Console で、Anthos の [機能] ページに移動します。

    Anthos の [機能] ページに移動

  4. [構成管理] の行で、[有効にする] をクリックします。

  5. 確認ウィンドウで、[構成管理の有効化] をクリックします。

Console - GKE

  1. Cloud Console で [構成管理] ページに移動します。

    [構成管理] に移動

  2. [CONFIG MANAGEMENT を設定] をクリックします。

  3. Config Management API を有効にするには、[次へ] をクリックします。

gcloud

  1. Anthos ユーザーの場合は、Anthos API を有効にします。

    gcloud services enable anthos.googleapis.com

    GKE ユーザーの場合、Anthos API を有効にする必要はありません。

  2. Anthos Config Management を有効にするには、次のコマンドを実行します。

    gcloud beta container hub config-management enable

Anthos Config Management コンポーネントの設定

これらは連携して動作するように設計されていますが、Anthos Config Management コンポーネントはスタンドアロン プロダクトとしてインストールできます。以下のページでは、これらのコンポーネントを設定して構成する方法について説明しています。

例: Config Sync と Policy Controller のインストール

Anthos と GKE のどちらを使用する場合でも、Google Cloud Console で Config Sync と Policy Controller をインストールして構成できます。これにより、多くのインストール オプションが自動化され、簡素化されます。以降のセクションでは、このインストール方法について説明します。

始める前に

次のセクションの演習を行う前に、次のタスクが完了していることを確認してください。

  • Git リポジトリを作成するか、アクセス権を取得します。Git リポジトリに構成ファイルと制約テンプレートを保存できます。
  • Anthos でサポートされるプラットフォームとバージョンのクラスタを作成するか、アクセス権を取得します。

  • Config Sync の要件を満たす GKE クラスタを作成するか、該当するクラスタへのアクセス権を取得します。

  • フリートクラスタを登録します。プロジェクトのフリートには、クラスタとそのワークロード(Google Cloud の外部に存在するクラスタも含む)を Anthos の一部として表示、管理するための統合された方法が用意されています。Anthos の料金は、登録済みのクラスタにのみ適用されます。

Config Sync と Policy Controller のインストール

Anthos

Anthos を使用している場合は、以降のセクションで説明する手順を行い、Config Sync と Policy Controller をインストールします。

クラスタを登録したら、1 つの連続したワークフローの Config Sync と Policy Controller のインストールと構成に進むことができます。Config Sync と Policy Controller をインストールするには、次の操作を行います。

  1. Cloud Console で Anthos Config Management のページに移動します。

    Anthos Config Management ページに移動

  2. Config Sync と Policy Controller で使用する登録済みクラスタを選択し、[構成] をクリックします。

  3. [ACM の Git リポジトリ認証] プルダウン リストで、以下のいずれかの認証タイプを選択します。

    • なし: 認証を使用しない
    • SSH: SSH 認証鍵ペアを使用
    • Cookiefile: cookiefile を使用
    • トークン: トークンを使用
    • Google Cloud Repository: Google サービス アカウントを使用して Cloud Source Repositories にアクセス。このオプションは、Workload Identity がクラスタで有効になっていない場合にのみ、選択してください。

  4. Google Cloud Console の手順に沿って、Config Sync に Git への読み取り専用アクセス権を付与し、[続行] をクリックします。

  5. [クラスタ用の ACM 設定] セクションで、次のフィールドを設定します。

    1. 省略可: [バージョン] フィールドで、Anthos Config Management のバージョンを選択します。デフォルトは現在のバージョンです。

    2. [Config Sync を有効にする] チェックボックスをオンにして、次のフィールドに入力します。

      1. [URL] フィールドに、信頼できる情報源として使用する Git リポジトリの URL を追加します。HTTPS または SSH プロトコルを使用して URL を入力できます。たとえば、https://github.com/GoogleCloudPlatform/anthos-config-management-samples では HTTPS プロトコルを使用します。プロトコルを入力しない場合、URL は HTTPS URL として扱われます。
      2. 省略可: [ブランチ] フィールドに、同期元となるリポジトリのブランチを追加します。デフォルトはマスター ブランチです。
      3. 省略可: [タグ / commit] フィールドに、チェックアウトする Git リビジョン(タグまたはハッシュ)を追加します。デフォルトは HEAD です。
      4. 省略可: [ポリシーのディレクトリ] フィールドに、リポジトリ内の、同期するポリシー階層の最上位へのパスを追加します。デフォルトは、リポジトリのルート ディレクトリです。
      5. 省略可: [同期の待機時間] フィールドに、連続する同期の間隔(秒)を追加します。デフォルト値は 15 秒です。
      6. 省略可: [Git プロキシ] フィールドに、Git リポジトリとの通信時に使用する HTTPS プロキシの URL を入力します。これは省略可能なフィールドです。空白のままにすると、プロキシは使用されません。
      7. 省略可: [ソース形式] フィールドで、階層(デフォルト)または非構造化(推奨)のいずれかを選択します。非構造化を選択することをおすすめします。この形式では、自分が一番使いやすい方法で構成ファイルを整理できます。

    3. [Policy Controller] の [Policy Controller を有効にする] チェックボックスをオンにし、次のフィールドに入力します。

      1. 省略可: 一般的なポリシータイプの制約テンプレートのライブラリをインストールする場合は、[デフォルトのテンプレート ライブラリをインストールする] チェックボックスをオンのままにします。
      2. 省略可: [監査間隔] フィールドで、連続する同期の間隔(秒)を選択します。デフォルトは 60 秒です。監査間隔を 0 に設定すると、監査は無効になります。
      3. 省略可: [名前空間の除外] フィールドに、有効な名前空間のリストを入力します。これらの名前空間内のオブジェクトは、すべてのポリシーで無視されます。現時点で名前空間が存在する必要はありません。
      4. 省略可: 参照制約を有効にするには、[評価中のオブジェクト以外のオブジェクトを参照する制約テンプレートの使用を有効にする] チェックボックスをオンにします。
      5. [完了] をクリックします。[Anthos Config Management] ページに戻ります。

数分後、Config Sync のステータス列に Synced が表示され、構成したクラスタの横の Policy Controller のステータス列に Installed が表示されます。Config Sync 列に Error と表示されている場合は、[エラー] をクリックして詳細を確認してください。

GKE

GKE を使用している場合は、以降のセクションで Config Sync と Policy Controller をインストールします。

クラスタの登録

クラスタを登録するには、次の操作を行います。

  1. Cloud Console で [構成管理] ページに移動します。

    [構成管理] に移動

  2. [新しい設定] をクリックします。

  3. [構成管理の登録済みクラスタを選択する] ページで、[このプロジェクトの未登録のクラスタ] テーブルを探し、登録したいクラスタを見つけます。

  4. 登録するクラスタの横にある [登録] をクリックします。

    クラスタが正常に登録されると、[構成管理の登録済みクラスタを選択する] テーブルに表示されます。

Config Sync と Policy Controller のインストール

クラスタを登録したら、1 つの連続したワークフローの Config Sync と Policy Controller のインストールと構成に進むことができます。

Config Sync をインストールするには、次の手順を行います。

  1. 構成するクラスタを選択し、[次へ] を選択します。
  2. 省略可: 表示された [Config Sync] ページで、使用する Anthos Config Management のバージョンを選択します。デフォルトは現在のバージョンです。
  3. 構成セクションで、[Config Sync を有効にする] チェックボックスをオンのままにします。
  4. [URL] フィールドに、信頼できる情報源として使用する Git リポジトリの URL を追加します。HTTPS または SSH プロトコルを使用して URL を入力できます。たとえば、https://github.com/GoogleCloudPlatform/anthos-config-management-samples では HTTPS プロトコルを使用します。プロトコルを入力しない場合、URL は HTTPS URL として扱われます。

  5. [認証タイプ] プルダウン リストで、次のいずれかを選択します。

    • なし: 認証を使用しない
    • SSH: SSH 認証鍵ペアを使用
    • Cookiefile: cookiefile を使用
    • トークン: トークンを使用
    • Google Cloud Repository: Google サービス アカウントを使用して Cloud Source Repositories にアクセス。このオプションは、Workload Identity がクラスタで有効になっていない場合にのみ、選択してください。

  6. Google Cloud Console の手順に沿って、Config Sync に Git への読み取り専用アクセス権を付与し、[続行] をクリックします。

  7. 省略可: [ブランチ] フィールドに、同期元となるリポジトリのブランチを追加します。デフォルトはマスター ブランチです。

  8. 省略可: [タグ / commit] フィールドに、チェックアウトする Git リビジョン(タグまたはハッシュ)を追加します。デフォルトは HEAD です。

  9. 省略可: [ポリシーのディレクトリ] フィールドに、リポジトリ内の、同期するポリシー階層の最上位へのパスを追加します。デフォルトは、リポジトリのルート ディレクトリです。

  10. 省略可: [同期の待機時間] フィールドに、連続する同期の間隔(秒)を追加します。デフォルト値は 15 秒です。

  11. 省略可: [Git プロキシ] フィールドに、Git リポジトリとの通信時に使用する HTTPS プロキシの URL を入力します。これは省略可能なフィールドです。空白のままにすると、プロキシは使用されません。

  12. 省略可: [ソース形式] フィールドで、階層(デフォルト)または非構造化(推奨)のいずれかを選択します。リポジトリの形式として非構造化を選択することをおすすめします。この形式を使用すると、構成ファイルを使いやすいように整理できます。

  13. [次へ] をクリックして Policy Controller のインストールを開始します。

Policy Controller のインストール手順は次のとおりです。

  1. Policy Controller ページで、[Policy Controller を有効にする] チェックボックスをオンのままにします。
  2. 省略可: 一般的なポリシータイプの制約テンプレートのライブラリをインストールする場合は、[デフォルトのテンプレート ライブラリをインストールする] チェックボックスをオンのままにします。
  3. 省略可: [監査間隔] フィールドで、連続する同期の間隔(秒)を選択します。デフォルトは 60 秒です。監査間隔を 0 に設定すると、監査は無効になります。
  4. 省略可: [名前空間の除外] フィールドに、名前空間のリストを入力します。これらの名前空間内のオブジェクトは、すべてのポリシーで無視されます。現時点で名前空間が存在する必要はありません。
  5. 省略可: 参照制約を有効にするには、[評価中のオブジェクト以外のオブジェクトを参照する制約テンプレートの使用を有効にする] チェックボックスをオンにします。

  6. [完了] をクリックします。[構成管理] ページに戻ります。

    数分後、Config Sync のステータス列に [同期済み] が表示され、構成したクラスタの横にある Policy Controller ステータス列に [インストール済み] が表示されます。Config Sync の列に [Error] と表示されている場合は、[エラー] をクリックして詳細を確認してください。

リソース リクエスト

次の表は、Anthos Config Management コンポーネントの Kubernetes リソース要件を示したものです。詳細については、Kubernetes ドキュメントのコンテナのリソースの管理をご覧ください。

コンポーネント CPU メモリ
Config Management Operator 100m 20Mi
Policy Controller 100m 256Mi
Config Sync(デフォルト モード) 710 m + 260 m *(RootSync オブジェクトおよび RepoSync オブジェクトの数) 620 Mi + 210 Mi *(RootSync オブジェクトと RepoSync オブジェクトの数)

コンポーネント別の Config Sync のリソース リクエストについて詳しくは、Config Sync のインストール ページでリソース リクエストをご覧ください。

次のステップ