gcloud 적용 사양 필드

이 페이지에서는 구성 동기화에 대해 구성 파일에서 설정할 수 있는 여러 다른 필드를 설명합니다. Google Cloud CLI로 구성 동기화 구성요소를 구성할 때 이 파일을 사용합니다. 구성 파일을 적용하기 위해 사용하는 gcloud CLI 명령어에는 참조 문서도 포함되어 있습니다.

또한 이러한 명령어로 정책 컨트롤러를 구성할 수 있지만 대신 Policy Controller gcloud 명령어를 사용하는 것이 좋습니다.

gcloud CLI에 사용되는 파일 형식은 ConfigManagement 객체의 형식과 비슷합니다. 하지만 형식이 다르고 서로 혼용될 수 없습니다.

구성 동기화 구성

키	설명
`spec.cluster`	클러스터의 하위 집합에만 구성을 적용하기 위해 구성 동기화 `cluster-name-selector` 주석 또는 `ClusterSelector`에 사용되는 클러스터 이름입니다. 클러스터의 Fleet 멤버십 이름과 다른 이름이 구성 동기화 `cluster-name-selector` 주석 또는 `ClusterSelector`에서 사용되는 경우 이 필드를 설정합니다.
`spec.upgrades`	(미리보기) 구성 동기화의 업그레이드 설정입니다. `auto`로 설정하면 구성 동기화 버전이 자동 업그레이드됩니다. 자동 업그레이드 작동 방식에 대한 자세한 내용은 구성 동기화 업그레이드를 참조하세요. 구성 동기화 버전을 수동으로 업그레이드하려면 `manual`로 설정합니다. 기본값은 `manual`입니다. 이 플래그는 Google Cloud의 GKE 클러스터에서만 지원됩니다.
`spec.configSync.enabled`	`true`이면 구성 동기화를 사용 설정합니다. `false`이면 구성 동기화를 사용 중지합니다. gcloud CLI 버전 429.0.0 이하에 필요합니다. gcloud CLI 버전 430.0.0 이상에서는 선택사항입니다. 기본값: `true`
`spec.configSync.sourceType`	구성 동기화가 동기화할 소스 유형입니다. `git` 또는 `oci`를 허용합니다. 기본값: `git`
`spec.configSync.syncRepo`	정보 소스로 사용할 Git 저장소, OCI 이미지, Helm 차트의 URL입니다. 준비된 저장소가 없으면 이 필드를 생략할 수 있습니다.
`spec.configSync.syncBranch`	동기화할 Git 저장소의 브랜치입니다. `.spec.configSync.sourceType`이 `oci`로 설정되었으면 이 필드가 무시됩니다. 이 필드는 선택사항이며 기본값은 `master`입니다. 구성 동기화 버전 1.17.0부터는 간단히 `spec.configSync.syncRev` 필드를 사용하여 브랜치 이름을 지정하는 것이 좋습니다. `spec.configSync.syncRev` 필드와 `spec.configSync.syncBranch` 필드 모두 지정되면 `spec.configSync.syncRev`이 `spec.configSync.syncBranch`보다 우선 적용됩니다.
`spec.configSync.policyDir`	동기화하려는 구성이 포함된 루트 디렉터리에 대한 Git 저장소 또는 OCI 이미지의 경로입니다. 기본값: 저장소의 루트 디렉터리
`spec.configSync.syncWait`	연속 동기화 간격(초)입니다. 기본값: 15
`spec.configSync.syncRev`	동기화할 Git 버전(태그 또는 해시)입니다. `.spec.configSync.sourceType`이 `oci`로 설정되었으면 이 필드가 무시됩니다. 이 필드는 선택사항이며 기본값은 `HEAD`입니다. 구성 동기화 버전 1.17.0부터는 `spec.configSync.syncRev` 필드에 브랜치 이름을 지정할 수도 있습니다. 버전 1.17.0 이상에서 해시를 사용하는 경우 축약된 양식이 아닌 전체 해시 양식을 사용해야 합니다.
`spec.configSync.preventDrift`	`true`이면 충돌하는 변경사항이 라이브 클러스터로 푸시되지 않도록 거부하여 Config Sync 허용 웹훅에서 드리프트를 방지하도록 사용 설정합니다. 기본값: `false` 구성 동기화는 이 필드 값에 관계없이 항상 드리프트를 조정합니다.
`spec.configSync.secretType`	`.spec.configSync.syncRepo`에 액세스하도록 구성된 보안 비밀 유형입니다. `git`를 소스 유형으로 선택한 경우 값이 `ssh`, `cookiefile`, `gcenode`, `gcpserviceaccount`, `token`, `none`이어야 합니다. `oci`를 소스 유형으로 선택한 경우 값이 `gcenode`, `gcpserviceaccount`, `none`이어야 합니다. 이 필드 검증은 대소문자를 구분합니다. 필수.
`spec.configSync.gcpServiceAccountEmail`	RootSync 또는 RepoSync 컨트롤러의 Kubernetes 서비스 계정에 주석을 달기 위해 사용되는 Google Cloud 서비스 계정입니다. 이 필드는 `spec.configSync.secretType`가 `gcpserviceaccount`일 때만 사용됩니다.
`spec.configSync.metricsGcpServiceAccountEmail`	구성 동기화 측정항목을 Cloud Monitoring으로 내보내기 위해 사용되는 Google Cloud 서비스 계정(GSA)의 이메일입니다. GSA에는 모니터링 측정항목 작성자(`roles/monitoring.metricWriter`) IAM 역할이 있어야 합니다. `config-management-monitoring` 네임스페이스의 Kubernetes 서비스 계정 `default`가 GSA에 바인딩되어야 합니다.
`spec.configSync.sourceFormat`	`unstructured`로 설정하면 비계층적 저장소를 구성합니다. 기본값: `hierarchy`.

Git 저장소의 프록시 구성

조직의 보안 정책에 따라 HTTPS 프록시를 통해 트래픽을 라우팅해야 하는 경우 프록시의 URI를 사용하여 Git 호스트와 통신하도록 구성 동기화를 구성할 수 있습니다. 프록시는 cookiefile, none 또는 token 승인 유형을 사용하는 경우에만 지원됩니다.

키 설명

spec.configSync.httpsProxy Git 저장소에 액세스하는 데 사용되는 HTTPS_PROXY 환경 변수를 정의합니다. 예를 들면 https://proxy.internal.business.co:443입니다.
HTTPS 프록시는 https 또는 인증되지 않은 URL만 허용합니다. http://가 포함된 URL은 거부됩니다.
인증되지 않은 URL을 사용하는 경우 프록시 서버와 Git 호스트 간의 통신이 안전한지 확인하세요.

키	설명
`spec.configSync.httpsProxy`	Git 저장소에 액세스하는 데 사용되는 `HTTPS_PROXY` 환경 변수를 정의합니다. 예를 들면 `https://proxy.internal.business.co:443`입니다. HTTPS 프록시는 `https` 또는 인증되지 않은 URL만 허용합니다. `http://`가 포함된 URL은 거부됩니다. 인증되지 않은 URL을 사용하는 경우 프록시 서버와 Git 호스트 간의 통신이 안전한지 확인하세요.

정책 컨트롤러 구성

키	설명
`spec.policyController.enabled`	`true`이면 정책 컨트롤러를 활성화합니다. 기본값은 `false`입니다.
`spec.policyController.templateLibraryInstalled`	`true`이면 일반적인 정책 유형에 대한 제약조건 템플릿의 라이브러리를 설치합니다. 기본값은 `true`입니다.
`spec.policyController.referentialRulesEnabled`	`true`이면 참조 제약조건에 대한 지원을 사용 설정합니다. eventual consistency에 대한 주의사항을 확인해야 합니다. 기본값은 `false`입니다.
`spec.policyController.auditIntervalSeconds`	제약조건 위반을 연속으로 감사할 때 작업 간 간격(초)입니다. 감사를 사용 중지하려면 0으로 설정합니다. 기본값: 60.
`spec.policyController.logDeniesEnabled`	`true`이면 모든 거부를 로깅하고 오류를 테스트 실행합니다. 기본값은 `false`입니다.
`spec.policyController.mutationEnabled`	`true`인 경우 변형에 대한 지원을 사용 설정합니다. 기본값은 `false`입니다.
`spec.policyController.exemptableNamespaces`	정책 컨트롤러 허용 웹훅 시행에서 삭제할 네임스페이스 목록입니다. 위반사항은 감사에 계속 보고됩니다. 기본값은 빈 목록입니다.
`spec.policyController.monitoring.backends`	측정항목을 내보낼 정책 컨트롤러의 모니터링 백엔드 목록입니다. 기본값: `[cloudmonitoring, prometheus]`

계층 구조 컨트롤러 구성

키	설명
`spec.hierarchyController.enabled`	`true`이면 계층 구조 컨트롤러를 사용 설정합니다. 기본값은 `false`입니다.
`spec.hierarchyController.enableHierarchicalResourceQuota`	`true`이면 계층적 리소스 할당량을 사용 설정합니다. 기본값은 `false`입니다.
`spec.hierarchyController.enablePodTreeLabels`	`true`이면 워크로드의 계층적 관찰을 사용 설정합니다. 기본값은 `false`입니다.

gcloud apply 사양 예시

applySpecVersion: 1
spec:
  configSync:
    enabled: true
    sourceFormat: unstructured
    syncRepo: https://github.com/GoogleCloudPlatform/anthos-config-management-samples
    syncBranch: main
    secretType: none
    policyDir: config-sync-quickstart/multirepo/root
  hierarchyController:
    enabled: false