Anthos Config Management 概览

Anthos Config Management 是一个用于配置和政策管理的服务，它结合了三个组件：政策控制器、Config Sync 和配置控制器。如下图所示，这些组件协同工作，使 Anthos Config Management 能够持续保护和配置 Google Cloud 及 Kubernetes 资源：

Anthos Config Management 组件如何协同工作的概览

由于 Anthos Config Management 可以跨多个集群自动同步配置和应用政策，因此具有诸多优势：

简化管理：借助 Anthos Config Management，您可以跨环境定义和部署配置和政策，而无需从头开始构建自己的工具链。
一致的配置和政策管理：Anthos Config Management 提供了一个可审核且具有版本控制的系统来管理组织的集群配置。
可跨环境扩缩：Anthos Config Management 可将多个环境的配置和治理集中到一处，创建了一种可扩缩、自动化且可靠的方法来管理生产环境中的复杂现代系统。
安全且合规：平台管理员可以通过使用 Anthos Config Management 来降低安全风险。您可以完全自定义一组政策并确保这些政策以一致的方式在多个环境中应用。Anthos Config Management 还会持续监控环境，以确保实现所需配置并且不出现违反治理控制的行为。
开源技术：Anthos Config Management 基于 Kubernetes 和 Cloud Native 开源工具和项目。政策控制器基于 Open Policy Agent Gatekeeper，而 Config Sync 是一种开源工具。

组件

您可以单独使用每个 Anthos Config Management 组件，但它们的设计初衷是协同工作：

政策控制器: 政策控制器支持强制执行完全可编程的政策，这些政策表示对所需状态的限制条件。这些政策可充当“保护措施”，防止配置违反安全和合规控制措施。您可以使用这些政策主动屏蔽不符合政策的 API 请求，也可以仅审核集群的配置并报告违规行为。政策控制器基于开源的 Open Policy Agent Gatekeeper 项目，并附带一个完整的预构建政策库，用于进行常见的安全与合规控制。此外，通过遵循政策管理的最佳做法，您还可以在修改配置时强制执行保护措施，或将其作为 Config Sync 的提交前检查。
Config Sync: Config Sync 会持续将集群与存储在一个或多个 Git 代码库中的一组中央配置同步。借助这种 GitOps 方法，您能够通过可审核、事务性且受版本控制的部署流程，以一致的方式跨集群和环境应用配置。
配置控制器: 配置控制器是一个用于预配和编排 Anthos 和 Google Cloud 资源的托管服务。此组件提供一个 API 端点，可以作为 Anthos Config Management 的组件预配、启用和编排 Google Cloud 资源。

后续步骤

Anthos Config Management 使用入门。此教程介绍如何启用政策控制器和 Config Sync。
详细了解政策控制器、Config Sync 和配置控制器。
了解如何设置配置控制器。
参阅运营大规模 Anthos Config Management 部署的最佳实践。