Menyinkronkan chart Helm dari Artifact Registry
Halaman ini menunjukkan cara menyinkronkan diagram Helm dari Artifact Registry dengan membuat dan mengirim diagram Helm ke repositori di Artifact Registry. Objek ini juga berisi contoh konfigurasi untuk menyinkronkan chart dari repositori Helm Anda.
Anda dapat mengonfigurasi
Config Sync agar disinkronkan dari repositori Helm.
Anda dapat menyimpan diagram Helm di Artifact Registry, yang merupakan
repositori Helm yang direkomendasikan untuk Google Cloud. Untuk menggunakan fitur ini, Anda harus
mengaktifkan
RootSync dan RepoSync API.
Config Sync merender diagram Helm menggunakan
helm template
sehingga tidak mendukung pengelolaan siklus proses Helm secara penuh.
Versi Helm dan Kustomize yang Dipaketkan mencantumkan versi Kustomize dan Helm yang dipaketkan dengan versi Config Sync yang sesuai.
Sebelum memulai
- Menginstal Helm 3.8.0 atau yang lebih baru. Pada Helm versi sebelumnya, dukungan untuk diagram dalam format OCI adalah fitur eksperimental.
- Aktifkan Workload Identity di cluster Anda.
Batasan
Anda tidak dapat mengubah kolom yang tidak dapat diubah dalam konfigurasi dengan hanya mengubah nilainya di sumber tepercaya. Jika Anda perlu mengupdate kolom yang tidak dapat diubah, buat perubahan terlebih dahulu di sumber tepercaya, lalu hapus objek dalam cluster secara manual. Kemudian, Config Sync dapat membuat ulang objek dengan nilai kolom baru.
Diagram Helm berikut menyertakan Tugas dan tidak direkomendasikan untuk deployment oleh Config Sync:
Untuk mempelajari lebih lanjut alasan Tugas tidak direkomendasikan untuk digunakan dengan Config Sync, lihat Menghindari pengelolaan Tugas dengan Config Sync.
Membuat repositori Artifact Registry
Di bagian ini, Anda akan membuat repositori Artifact Registry. Untuk mempelajari cara membuat repositori Artifact Registry lebih lanjut, lihat Membuat repositori.
Aktifkan Artifact Registry API:
gcloud services enable artifactregistry.googleapis.com --project=PROJECT_IDBuat repositori Artifact Registry:
gcloud artifacts repositories create AR_REPO_NAME \ --repository-format=docker \ --location=AR_REGION \ --description="Config Sync Helm repo" \ --project=PROJECT_ID
Ganti kode berikut:
PROJECT_ID: project ID organisasi.AR_REPO_NAME: ID repositori.AR_REGION: lokasi regional atau multi-regional repositori.
Variabel yang digunakan di bagian berikut:
FLEET_HOST_PROJECT_ID: jika Anda menggunakan GKE Workload Identity, ini sama denganPROJECT_ID. Jika Anda menggunakan fleet Workload Identity, adalah project ID fleet tempat cluster Anda terdaftar.GSA_NAME: nama akun layanan Google kustom yang ingin Anda gunakan untuk terhubung ke Artifact Registry.KSA_NAME: akun layanan Kubernetes untuk rekonsiler.- Untuk repositori root, jika nama
RootSyncadalahroot-sync, tambahkanroot-reconciler. Jika tidak, tambahkanroot-reconciler-ROOT_SYNC_NAME. - Untuk repositori namespace, jika nama
RepoSyncadalahrepo-sync, tambahkanns-reconciler-NAMESPACE. Jika tidak, tambahkanns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTHdenganREPO_SYNC_NAME_LENGTHadalah jumlah karakter dalamREPO_SYNC_NAME.
- Untuk repositori root, jika nama
Berikan izin kepada pembaca
Jika versi Config Sync adalah 1.17.2 atau yang lebih baru di cluster, Anda dapat menggunakan akun layanan Kubernetes untuk melakukan autentikasi ke Artifact Registry. Jika tidak, gunakan akun layanan Google untuk autentikasi.
Menggunakan akun layanan Kubernetes
Berikan peran IAM Artifact Registry Reader (roles/artifactregistry.reader) ke akun layanan Kubernetes dengan kumpulan Workload Identity:
gcloud artifacts repositories add-iam-policy-binding AR_REPO_NAME \
--location=AR_REGION \
--member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
--role=roles/artifactregistry.reader \
--project=PROJECT_ID
Menggunakan akun layanan Google
Berikan peran IAM Artifact Registry Reader (
roles/artifactregistry.reader) ke akun layanan Google:gcloud artifacts repositories add-iam-policy-binding AR_REPO_NAME \ --location=AR_REGION \ --member=serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/artifactregistry.reader \ --project=PROJECT_IDBuat binding kebijakan IAM antara akun layanan Kubernetes dan akun layanan Google:
gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \ GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --project=PROJECT_ID
Mengirim chart Helm ke repositori Artifact Registry
Di bagian ini, Anda akan mendownload chart Helm publik dan mengirimnya ke Artifact Registry.
Ambil paket
mysql-9.3.1.tgzdari repositori Helm publik dan download secara lokal:helm pull mysql --repo https://charts.bitnami.com/bitnami --version 9.3.1Autentikasi dengan token akses:
Linux / Mac
gcloud auth print-access-token | helm registry login -u oauth2accesstoken \ --password-stdin https://AR_REGION-docker.pkg.devWindows
gcloud auth print-access-token ya29.8QEQIfY_... helm registry login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \ https://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAMEDalam perintah ini,
oauth2accesstokenadalah nama pengguna yang akan digunakan saat mengautentikasi dengan token akses dangcloud auth print-access-tokenadalah perintah untuk mendapatkan token akses. Token akses Anda adalah sandi untuk autentikasi. Autentikasi dengan token akses adalah metode autentikasi yang paling aman.Kirim chart Helm ke Artifact Registry:
helm push mysql-9.3.1.tgz oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME
Mengonfigurasi Config Sync agar disinkronkan dari chart Helm
Di bagian ini, Anda akan membuat objek RootSync dan mengonfigurasi Config Sync agar disinkronkan dari diagram Helm.
Jika ingin mengganti nilai default diagram Helm, Anda dapat melakukannya
dengan menentukan nilai di kolom spec.helm.values atau dengan menambahkan referensi ke
ConfigMap
menggunakan kolom spec.helm.valuesFileRefs
(di Config Sync versi 1.16.0 dan yang lebih baru). Untuk mempelajari kolom opsional
lebih lanjut, lihat
Konfigurasi untuk repositori Helm.
values
Buat objek RootSync dengan nama unik:
cat <<EOF>> ROOT_SYNC_NAME.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceFormat: unstructured sourceType: helm helm: repo: oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME chart: mysql version: 9.3.1 releaseName: my-mysql namespace: test # The k8sserviceaccount auth type is available in version 1.17.2 and # later. Use `gcpserviceaccount` if using an older version. # auth: gcpserviceaccount # gcpServiceAccountEmail: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com auth: k8sserviceaccount # Use the optional field spec.helm.values to override default values. # You can use the same format as the default values file to override # default values. values: image: pullPolicy: Always primary: resources: limits: cpu: 250m memory: 256Mi requests: cpu: 250m memory: 256Mi EOFGanti
ROOT_SYNC_NAMEdengan nama objek RootSync Anda. Nama dalam cluster harus unik dan tidak lebih dari 26 karakter. Jika Anda menginstal Config Sync menggunakan Google Cloud Console atau Google Cloud CLI, pilih nama selainroot-sync.Dalam contoh ini, diagram Helm di-deploy di namespace
testkarena resource-nya berisinamespace: {{ .Release.Namespace }}dalam template-nya.Anda dapat menggunakan
helm.valuesuntuk mengganti nilai default. Untuk mempelajari kolom opsional, lihat Konfigurasi untuk repositori Helm.Terapkan objek RootSync:
kubectl apply -f ROOT_SYNC_NAME.yamlPastikan bahwa Config Sync disinkronkan dari gambar:
nomos status --contexts=$(kubectl config current-context)Outputnya mirip dengan hal berikut ini:
Connecting to clusters... *cluster-name -------------------- <root>:root-sync oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME/mysql:9.3.1 SYNCED 9.3.1 Managed resources: NAMESPACE NAME STATUS SOURCEHASH default configmap/my-mysql Current 9.3.1 default secret/my-mysql Current 9.3.1 default service/my-mysql Current 9.3.1 default service/my-mysql-headless Current 9.3.1 default serviceaccount/my-mysql Current 9.3.1 default statefulset.apps/my-mysql Current 9.3.1Anda berhasil menyinkronkan chart Helm ke cluster.
valuesFileRefs
Buat objek RootSync dengan nama unik:
cat <<EOF>> ROOT_SYNC_NAME.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceFormat: unstructured sourceType: helm helm: repo: oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME chart: mysql version: 9.3.1 releaseName: my-mysql # The k8sserviceaccount auth type is available in version 1.17.2 and # later. Use `gcpserviceaccount` if using an older version. # auth: gcpserviceaccount # gcpServiceAccountEmail: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com auth: k8sserviceaccount # use the optional field spec.helm.valuesFilesRefs to override default values # by referencing a ConfigMap valuesFileRefs: - name: CONFIGMAP_NAME dataKey: DATA_KEY EOFGanti kode berikut:
ROOT_SYNC_NAME: nama objek RootSync. Nama dalam cluster harus unik dan tidak lebih dari 26 karakter. Jika Anda menginstal Config Sync menggunakan Google Cloud Console atau Google Cloud CLI, pilih nama selainroot-sync.CONFIGMAP_NAME: nama ConfigMap Anda. Nama ini dapat berupa nama ConfigMap valid yang diterima oleh Kubernetes dan bersifat unik di cluster Anda.- (opsional)
DATA_KEY: kunci data di ConfigMap yang ingin Anda baca nilainya. Defaultnya adalahvalues.yaml.
Buat objek ConfigMap dengan nilai Anda:
cat <<EOF>> CONFIGMAP_NAME.yaml apiVersion: v1 kind: ConfigMap metadata: name: CONFIGMAP_NAME namespace: config-management-system immutable: true # You can use the same format as the default values file to override # default values. data: DATA_KEY: |- image: pullPolicy: Always primary: resources: limits: cpu: 250m memory: 256Mi requests: cpu: 250m memory: 256Mi EOFJika Anda tidak menentukan nilai untuk
DATA_KEYdi RootSync, nilai tersebut harus berupavalues.yamldefault.Terapkan objek ConfigMap:
kubectl apply -f CONFIGMAP_NAME.yamlTerapkan objek RootSync:
kubectl apply -f ROOT_SYNC_NAME.yamlPastikan bahwa Config Sync disinkronkan dari gambar:
nomos status --contexts=$(kubectl config current-context)Outputnya mirip dengan hal berikut ini:
Connecting to clusters... *cluster-name -------------------- <root>:root-sync oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME/mysql:9.3.1 SYNCED 9.3.1 Managed resources: NAMESPACE NAME STATUS SOURCEHASH default configmap/my-mysql Current 9.3.1 default secret/my-mysql Current 9.3.1 default service/my-mysql Current 9.3.1 default service/my-mysql-headless Current 9.3.1 default serviceaccount/my-mysql Current 9.3.1 default statefulset.apps/my-mysql Current 9.3.1Anda berhasil menyinkronkan chart Helm ke cluster.
Anda juga dapat melihat
imagePullPolicydi salah satu resource yang disinkronkan di cluster untuk memverifikasi bahwa nilai dari ConfigMap digunakan untuk merender diagram:kubectl get statefulset -n test my-mysql -o yaml | grep imagePullPolicyKarena ConfigMap tidak dapat diubah, untuk mengubah nilai ini, Anda harus membuat ConfigMap baru dan memperbarui
spec.helm.valuesFileRefsdi spesifikasi RootSync atau RepoSync agar mengarah ke ConfigMap baru. Membuat ConfigMap baru memastikan perubahan pada nilai yang menyebabkan chart Helm dirender ulang, yang berguna saat beberapa ConfigMaps yang direferensikan dalamspec.helm.valuesFileRefsperlu diupdate secara bersamaan saat rendering ulang. Untuk mengubah nilai yang digunakan untuk merender diagram Anda, buat ConfigMap baru dengan nama yang berbeda:cat <<EOF>> CONFIGMAP_NAME-2.yaml apiVersion: v1 kind: ConfigMap metadata: name: CONFIGMAP_NAME-2 namespace: config-management-system immutable: true # You can use the same format as the default values file to override # default values. data: DATA_KEY: |- image: pullPolicy: Never primary: resources: limits: cpu: 100m memory: 256Mi requests: cpu: 250m memory: 200Mi EOFUpdate objek RootSync Anda untuk merujuk ConfigMap baru:
cat <<EOF>> ROOT_SYNC_NAME.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceFormat: unstructured sourceType: helm helm: repo: oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME chart: mysql version: 9.3.1 releaseName: my-mysql namespace: test # The k8sserviceaccount auth type is available in version 1.17.2 and # later. Use `gcpserviceaccount` if using an older version. # auth: gcpserviceaccount # gcpServiceAccountEmail: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com auth: k8sserviceaccount # use the optional field spec.helm.valuesFilesRefs to override default values # by referencing a ConfigMap valuesFileRefs: - name: CONFIGMAP_NAME-2 dataKey: DATA_KEY EOFTerapkan objek ConfigMap:
kubectl apply -f CONFIGMAP_NAME-2.yamlTerapkan objek RootSync:
kubectl apply -f ROOT_SYNC_NAME.yamlPastikan bahwa Config Sync disinkronkan dari gambar:
nomos status --contexts=$(kubectl config current-context)Anda juga dapat melihat
imagePullPolicydi salah satu resource yang disinkronkan di cluster untuk memverifikasi bahwa nilai baru dari ConfigMap yang diperbarui digunakan untuk merender diagram:kubectl get statefulset -n test my-mysql -o yaml | grep imagePullPolicy
Langkah selanjutnya
- Pelajari lebih lanjut cara menginstal Config Sync.