Felder zur Anwendung der Spezifikation mit gcloud

Auf dieser Seite werden die verschiedenen Felder beschrieben, die Sie in der Konfigurationsdatei für Anthos Config Management festlegen können. Sie verwenden diese Datei, wenn Sie Anthos Config Management-Komponenten mit dem gcloud-Befehlszeilentool konfigurieren. Der Befehl des gcloud-Tools, mit dem Sie die Konfigurationsdatei anwenden, enthält auch eine Referenzdokumentation.

Das mit dem gcloud-Tool verwendete Dateiformat ähnelt dem Format des ConfigManagement-Objekts. Die Formate sind jedoch unterschiedlich und die beiden sind nicht austauschbar.

Konfiguration für Config Sync

Schlüssel Beschreibung
spec.configSync.enabled Wenn true, wird Config Sync aktiviert. Die Standardeinstellung ist false.
spec.configSync.syncRepo Die URL des Git-Repositorys, das als „Source of Truth“ verwendet werden soll. Erforderlich.
spec.configSync.syncBranch Der Zweig des Repositories, von dem aus synchronisiert werden soll. Standardeinstellung: master.
spec.configSync.policyDir Der Pfad im Git-Repository zu dem Stammverzeichnis mit der Konfiguration, die Sie synchronisieren möchten. Standard: Stammverzeichnis des Repositorys
spec.configSync.syncWait Zeitraum in Sekunden zwischen aufeinanderfolgenden Synchronisierungen. Standardeinstellung: 15.
spec.configSync.syncRev Git-Revision (Tag oder Hash) zum Auschecken. Standardeinstellung: HEAD.
spec.git.auth Die Art des Secrets, das für den Zugriff auf das Git-Repository konfiguriert ist. Es muss sein: ssh, cookiefile, gcenode, gcpserviceaccount, token oder none. Bei der Validierung dieses Feldes wird zwischen Groß- und Kleinschreibung unterschieden. Erforderlich.
spec.git.gcpServiceAccountEmail Das Google Cloud-Dienstkonto, das zum Annotieren des Kubernetes-Dienstkontos des RootSync- oder RepoSync-Controllers verwendet wird. Dieses Feld wird nur verwendet, wenn spec.git.auth den Wert gcpserviceaccount hat.
spec.configSync.sourceFormat Wenn dieser Parameter auf unstructured gesetzt ist, wird ein nicht hierarchisches Repository konfiguriert. Standardeinstellung: hierarchy.

Proxykonfiguration für das Git-Repository

Wenn Sie gemäß den Sicherheitsrichtlinien Ihrer Organisation Traffic über einen HTTP(S)-Proxy weiterleiten müssen, können Sie Config Sync für die Kommunikation mit Ihrem Git-Host über den URI des Proxys konfigurieren. Der Proxy wird nur unterstützt, wenn der Autorisierungstyp cookiefile oder none verwendet wird.

Schlüssel Beschreibung
spec.configSync.httpsProxy Definiert eine Umgebungsvariable HTTP_PROXY für den Zugriff auf das Git-Repository.

Konfiguration für Policy Controller

Schlüssel Beschreibung
spec.policyController.enabled Wenn true, wird Policy Controller aktiviert. Die Standardeinstellung ist false.
spec.policyController.templateLibraryInstalled Wenn true, wird eine Bibliothek mit Einschränkungsvorlagen für gängige Richtlinientypen installiert. Die Standardeinstellung ist true.
spec.policyController.referentialRulesEnabled Wenn true, wird die Unterstützung für referenzielle Einschränkungen aktiviert. Informieren Sie sich über die Beschränkungen von Eventual Consistency. Die Standardeinstellung ist false.
spec.policyController.auditIntervalSeconds Zeitraum in Sekunden zwischen aufeinanderfolgenden Audits von Einschränkungsverstößen. Legen Sie 0 fest, um die Prüfung zu deaktivieren. Standard: 60.
spec.policyController.logDeniesEnabled Wenn true, werden alle Ablehnungen und Probelauffehler protokolliert. Die Standardeinstellung ist false.
spec.policyController.exemptableNamespaces Eine Liste von Namespaces, die aus der Webhook-Erzwingung von Policy Controller entfernt werden sollen. Alle Verstöße werden weiterhin im Audit gemeldet. Die Standardeinstellung ist eine leere Liste.

Konfiguration für Hierarchy Controller

Schlüssel Beschreibung
spec.hierarchyController.enabled Wenn true, wird der Hierarchy Controller aktiviert. Die Standardeinstellung ist false.
spec.hierarchyController.enableHierarchicalResourceQuota Wenn true, werden hierarchische Ressourcenkontingente aktiviert. Die Standardeinstellung ist false.
spec.hierarchyController.enablePodTreeLabels Wenn true, wird die hierarchische Beobachtung von Arbeitslasten aktiviert. Die Standardeinstellung ist false.

Beispiel für gcloud apply spec

applySpecVersion: 1
spec:
  configSync:
    enabled: true
    sourceFormat: unstructured
    syncRepo: https://github.com/GoogleCloudPlatform/anthos-config-management-samples
    syncBranch: main
    secretType: none
    policyDir: root-multirepo-unstructured
  policyController:
    enabled: false
  hierarchyController:
     enabled: false