Campos de especificação de aplicação do gcloud

Nesta página, explicamos os diferentes campos que podem ser definidos no arquivo de configuração do Config Sync. Use esse arquivo ao configurar componentes do Config Sync com a Google Cloud CLI. O comando da CLI gcloud que você usa para aplicar o arquivo de configuração também tem documentação de referência.

Esses comandos também podem configurar o Policy Controller, mas é recomendável usar os comandos Policy Controller gcloud.

O formato do arquivo usado com a CLI gcloud é semelhante ao formato do objeto ConfigManagement. No entanto, os formatos são diferentes e os dois não são intercambiáveis.

Configuração para o Config Sync

Chave	Descrição
`spec.upgrades`	(Prévia) A configuração de upgrade do Config Sync. Se definida como `auto`, a versão do Config Sync será atualizada automaticamente. Para mais informações sobre como os upgrades automáticos funcionam, consulte Fazer upgrade do Config Sync. Defina como `manual` para fazer upgrade manual da versão do Config Sync. O valor padrão é `manual`. Essa sinalização é compatível apenas com clusters do GKE no Google Cloud.
`spec.configSync.enabled`	Se `true`, ativa o Config Sync. Se `false`, desativa o Config Sync. Obrigatório para a CLI gcloud versão 429.0.0 e anteriores. Opcional para a CLI gcloud versão 430.0.0 e posterior. Padrão: `true`
`spec.configSync.sourceType`	O tipo de origem da sincronização do Config Sync. Aceita `git` ou `oci`. Padrão: `git`.
`spec.configSync.syncRepo`	O URL do repositório Git, a imagem OCI ou o gráfico Helm para usar como fonte da verdade. É possível omitir esse campo se você não tiver um repositório preparado.
`spec.configSync.syncBranch`	A ramificação do repositório com que sincronizar. Este campo será ignorada se `.spec.configSync.sourceType` for definido como `oci`. Esse campo é opcional, e o padrão é `master`. A partir da versão 1.17.0 do Config Sync, é recomendável usar o campo `spec.configSync.syncRev` para especificar um nome de ramificação para simplificar. Se os campos `spec.configSync.syncRev` e `spec.configSync.syncBranch` forem especificados, `spec.configSync.syncRev` terá precedência sobre `spec.configSync.syncBranch`.
`spec.configSync.policyDir`	O caminho no repositório Git ou na imagem OCI para o diretório raiz que contém a configuração que você quer sincronizar. Padrão: o diretório raiz do repositório.
`spec.configSync.syncWait`	Período em segundos entre sincronizações consecutivas. Padrão: 15.
`spec.configSync.syncRev`	Revisão Git (tag ou hash) para sincronização. Este campo será ignorada se `.spec.configSync.sourceType` for definido como `oci`. Esse campo é opcional e o valor padrão é `HEAD`. A partir da versão 1.17.0 do Config Sync, também é possível especificar um nome de ramificação no campo `spec.configSync.syncRev`. Ao usar um hash na versão 1.17.0 ou mais recente, ele precisa ser um hash completo, e não uma forma abreviada.
`spec.configSync.preventDrift`	Se `true`, ativa o webhook de admissão do Config Sync para evitar desvios rejeitando as alterações conflitantes que estão sendo enviadas para clusters ativos. Padrão: `false` O Config Sync sempre corrige desvios, independentemente do valor desse campo.
`spec.configSync.secretType`	O tipo de Secret configurado para acessar o `.spec.configSync.syncRepo`. Se você tiver selecionado `git` como o tipo de origem, o valor precisará ser `ssh`, `cookiefile`, `gcenode`, `gcpserviceaccount`, `token` ou `none`. Se você tiver selecionado `oci` como o tipo de origem, o valor precisará ser `gcenode`, `gcpserviceaccount` ou `none`. A validação desse campo diferencia maiúsculas de minúsculas. Obrigatório.
`spec.configSync.gcpServiceAccountEmail`	A conta de serviço do Google Cloud usada para anotar a conta de serviço do Kubernetes do controlador RootSync ou RepoSync. Este campo é usado apenas quando `spec.configSync.secretType` é `gcpserviceaccount`.
`spec.configSync.metricsGcpServiceAccountEmail`	O e-mail da conta de serviço do Google Cloud (GSA) usado para exportar as métricas do Config Sync para o Cloud Monitoring. A GSA precisa ter o papel do IAM de gravador de métricas do Monitoring (`roles/monitoring.metricWriter`). A conta de serviço do Kubernetes `default` no namespace `config-management-monitoring` precisa estar vinculada ao GSA.
`spec.configSync.sourceFormat`	Quando definido como `unstructured`, configura um repositório não hierárquico. Padrão: `hierarchy`.

Configuração de proxy para o repositório Git

Se as políticas de segurança da sua organização exigirem o roteamento do tráfego por meio de um proxy HTTPS, use o URI do proxy para configurar o Config Sync para se comunicar com o host Git. O proxy só é compatível com o tipo de autorização cookiefile, none ou token.

Chave	Descrição
`spec.configSync.httpsProxy`	Define uma variável de ambiente `HTTPS_PROXY` usada para acessar o repositório Git. Por exemplo, `https://proxy.internal.business.co:443`. O proxy HTTPS só aceita URLs `https` ou sem adornos. Os URLs que contêm `http://` são rejeitados. Se você estiver usando um URL não adornado, verifique se a comunicação entre o servidor proxy e o host do Git é segura.

Configuração do Policy Controller

Chave	Descrição
`spec.policyController.enabled`	Se `true`, ativa o Policy Controller. O padrão é `false`.
`spec.policyController.templateLibraryInstalled`	Se `true`, instala uma biblioteca de modelos de restrição para tipos de política comuns. O padrão é `true`.
`spec.policyController.referentialRulesEnabled`	Se `true`, ativa o suporte para restrições referenciais. Entenda as advertências sobre consistência posterior. O padrão é `false`.
`spec.policyController.auditIntervalSeconds`	Período em segundos entre auditorias consecutivas de violações de restrições. Defina como 0 para desativar a auditoria. Padrão: 60.
`spec.policyController.logDeniesEnabled`	Se `true`, registra todas as negações e falhas de simulação. O padrão é `false`.
`spec.policyController.mutationEnabled`	Se `true`, permite compatibilidade com mutações O padrão é `false`.
`spec.policyController.exemptableNamespaces`	Uma lista de namespaces a serem removidos da aplicação do webhook de admissão do Policy Controller. Todas as violações ainda serão informadas na auditoria. O padrão é uma lista vazia.
`spec.policyController.monitoring.backends`	Uma lista de back-ends de monitoramento para o Policy Controller exportar métricas. Padrão: `[cloudmonitoring, prometheus]`.

Configuração do controlador de hierarquia

Chave	Descrição
`spec.hierarchyController.enabled`	Se `true`, ativa o controlador de hierarquia. O padrão é `false`.
`spec.hierarchyController.enableHierarchicalResourceQuota`	Se `true`, ativa cotas de recursos hierárquicas. O padrão é `false`.
`spec.hierarchyController.enablePodTreeLabels`	Se `true`, ativa a observação hierárquica de cargas de trabalho. O padrão é `false`.

Exemplo de especificação do gcloud apply

applySpecVersion: 1
spec:
  configSync:
    enabled: true
    sourceFormat: unstructured
    syncRepo: https://github.com/GoogleCloudPlatform/anthos-config-management-samples
    syncBranch: main
    secretType: none
    policyDir: config-sync-quickstart/multirepo/root
  hierarchyController:
    enabled: false