忽略未指定的字段


本页面介绍了 spec 字段的默认填充行为以及如何实现 将默认行为从 Merge 更改为建议的行为 Absent。如果您使用的是版本 1.114.0 及更高版本中添加的 CRD,本页内容可能不适用,因为这些 CRD 仅使用 Absent 行为。对于 支持 Merge 的 CRD 列表,请参阅具有 Merge 的 CRD 支持部分。

spec 个字段填充行为

当 Config Connector 创建资源时,Kubernetes 资源规范中未指定的字段可能会有两种不同的默认填充行为:AbsentMerge

缺失

Absent推荐的行为。Config Connector 不会填充任何 向规范添加未指定的字段

对于版本 1.114.0 和 之后, 默认填充行为是 Absent。这也是这些 CRD 支持的唯一填充行为。在这些资源 CR 中,cnrm.cloud.google.com/state-into-spec 注解的值为 absent

合并

1.114.0 及更高版本中添加的 CRD 中不支持 Merge 行为。通过 在对账成功后,spec 字段会采用 API 中的值 除非无法读取如需了解详情,请参阅在外部管理字段

对于 Config Connector 版本支持的 CRD 1.113.0 及更早版本,默认填充行为为 Merge。如需查看支持 Merge 的 CRD 的列表,请参阅本页的支持 Merge 的 CRD 部分。默认值 “cnrm.cloud.google.com/state-into-spec”注解在这些资源中处于“merge”状态 CRs.您还可以按照跳过将未指定的字段填充到规范中中的说明,将填充行为配置为 Absent

默认情况下,在这些资源 CR 中,未在原始 YAML 中指定的字段始终会显示在 CR 规范中。这意味着,当您运行 kubectl get <resource kind> <resource name> -oyaml 时,规范中的许多字段都不会出现在应用的 YAML 中。

例如,假设 CRD 架构允许您在规范中指定两个名为 foobar 的字段,而您应用的 YAML 文件中仅指定了 foo

spec:
  foo: "foo"

应用了 YAML 后,您会在预设回复中发现另一个名为 bar 的字段 并且该资源 UpToDate

spec:
  foo: "foo"
  bar: "bar"

由于 Config Connector 与 Google Cloud API 之间的交互非常复杂,因此您可能需要更改此默认行为,并跳过使用未指定的字段填充 Kubernetes 资源规范。

跳过将未指定的字段填充到规范中

对于 Config Connector 版本 1.113.0 和更早版本:

  • 将集群级或命名空间级 stateIntoSpec 替换配置为 Absent
  • cnrm.cloud.google.com/state-into-spec 注解的值指定为 absent(针对资源)。

配置集群级或命名空间级 stateIntoSpec 替换项

安装 Config Connector 或更新 Config Connector 安装时, 您可以配置集群级或命名空间级 stateIntoSpec 替换 在 ConfigConnector CR 或 ConfigConnectorContext CR 中设置为 Absent

spec:
  stateIntoSpec: Absent

这样一来,如果您未在新资源 YAML 中指定 cnrm.cloud.google.com/state-into-spec 注解,则 Absent 将成为在集群或命名空间中创建的任何新资源的默认 spec 字段填充行为。这意味着,Config Connector 将跳过将未指定的字段填充到这些资源的 Kubernetes 资源规范中。

stateIntoSpec 字段没有默认值。Config Connector 将 确定用于填充行为的spec字段, cnrm.cloud.google.com/state-into-spec 注解,并且它遵循以下逻辑: 以确定注解的值:

  1. 如果 cnrm.cloud.google.com/state-into-spec 注解已指定且有效,请直接使用其值。
  2. 如果未指定注解,则使用 ConfigConnectorContext CR 中的 stateIntoSpec 字段。
  3. 如果 ConfigConnectorContext CR 不存在或 stateIntoSpec 字段未指定,请使用 ConfigConnector CR 中 stateIntoSpec 字段的相应值。
  4. 如果 ConfigConnector CR 不存在或 stateIntoSpec 字段为 未指定,请使用基于 spec 中描述的 CRD 的默认行为 字段填充行为

请注意,1.114.0 及更高版本中添加的唯一填充行为 CRD 是 Absent,无论 ConfigConnector CR 或 ConfigConnectorContext CR 中的 cnrm.cloud.google.com/state-into-spec 注解或 stateIntoSpec 字段如何。

如果您已创建资源,但想更改 spec 字段 Absent 的行为,您应该:

  1. 确保 ConfigConnector CR 或 ConfigConnectorContext CR 中的集群级或命名空间级 stateIntoSpec 替换项为 Absent

  2. 放弃并获取资源。 确保用于获取的 YAML 配置包含 cnrm.cloud.google.com/state-into-spec 注解。

指定资源级 cnrm.cloud.google.com/state-into-spec 注解

创建 YAML 文件时,您可以将 cnrm.cloud.google.com/state-into-spec 注解的值指定为 absent。这会跳过 将未指定的字段填充到 Kubernetes 资源规范中:

metadata:
  annotations:
    cnrm.cloud.google.com/state-into-spec: absent

如果未指定,此注解的默认值为 merge,这意味着 Config Connector 会将所有未指定的字段填充到规范中。此注解不可变,这意味着您无法更新现有 Config Connector 资源的注解值。

如果您已经创建了资源,但想更改此资源的值 注解,您必须按照以下步骤操作:

  1. 修改和添加注解 cnrm.cloud.google.com/deletion-policy: abandon 现有 Kubernetes 资源,以确保在下一步中删除不会 删除底层 Google Cloud 资源。

  2. 从 Kubernetes 集群中删除资源。

  3. 将注解 cnrm.cloud.google.com/state-into-spec: absent 添加到资源的 YAML 中。

  4. (可选)从cnrm.cloud.google.com/deletion-policy: abandon YAML。

  5. 应用更新后的 YAML。

为了进一步说明此注解引入的差异,假设有一个架构如下所示:

foo1: string
foo2: string
bars:
- bar:
    br1: string
    br2: string
barz:
  bz1: string
  bz2: string

另外,假设您已在 YAML 中按如下方式指定该规范:

spec:
  foo1: "foo1"
  bars:
  - br1: "1_br1"
  - br1: "2_br1"
  barz:
    bz1: "bz1"

然后,默认情况下,已创建的 Kubernetes 资源中填充的规范可能是:

spec:
  foo1: "foo1"
  foo2: "foo2"
  bars:
  - br1: "1_br1"
    br2: "1_br2"
  - br1: "2_br1"
    br2: "2_br2"
  barz:
    bz1: "bz1"
    bz2: "bz2"

如果您设置 cnrm.cloud.google.com/state-into-spec: absent,则创建的 Kubernetes 资源中的最终规范将为:

spec:
  foo1: "foo1"
  bars:
  - br1: "1_br1"
  - br1: "2_br1"
  barz:
    bz1: "bz1"

何时使用 cnrm.cloud.google.com/state-into-spec: absent

在大多数情况下,您需要设置 cnrm.cloud.google.com/state-into-spec: absent,用于获取 Absent 填充 spec 字段的行为。以下是最常见的受益于 Absent 填充行为的场景。

在外部管理列表中的未指定字段

Config Connector 将 Kubernetes 资源规范中的所有列表字段视为原子 字段。因此,默认情况下,Config Connector 会还原您在 Config Connector 之外对列表中的子字段所做的更改。不过,您可以使用此注解让 Config Connector 取消管理列表中的子字段。对于 有关详情,请参阅资源中列表字段的行为 规范

解决配置管理工具与 Config Connector 之间的争用

如果您使用的是 Config SyncArgo CD 等配置管理工具,可能会发现配置管理工具与 Config Connector 之间存在冲突。例如,问题排查指南中介绍的 KNV2005 错误。此类问题的根本原因包括 因为:

  1. Config Connector 将填充内容,并默认在 规范,spec.bars[0].br2 是一个示例。
  2. 配置管理工具和 Config Connector 都将列表字段视为 原子,因此添加的 spec.bars[0].br2 会被视为配置偏移 管理工具,我们将移除此工具,以更正drift

如需解决这些问题,您可以设置 cnrm.cloud.google.com/state-into-spec: absent,以便 Config Connector 不会添加未指定的字段 spec.bars[0].br2 添加到规范中。

解决 GET/PUT 对称性问题

GET/PUT 对称性是 REST API 中的一个设计原则。具体来说, 表示当 GET 响应作为 PUT 请求发送到同一个网址时, 返回 HTTP 200 OK 响应,且底层服务器 REST 资源。

Config Connector 在 Kubernetes 资源规范中填充的未指定字段是通过 GET 请求填充的。这意味着,在未来的对账中,Config Connector 可能会向底层 Google Cloud API 发送 PUT/PATCH 请求,其中包含从 GET 请求中学习到的这些未指定字段值。这通常不是问题 由于这些原因,Google Cloud API 会拒绝 PUT/PATCH 请求 未指定字段值。在同一示例中,如果 API 实现违反了 GET/PUT 对称性原则,则填充值为“bz2”的 spec.barz.bz2 可能会导致 HTTP 400 客户端错误或其他意外响应。

为避免此类问题,您可以尝试设置 cnrm.cloud.google.com/state-into-spec: absent,并检查是否会消除在协调期间出现的错误。

观察到的状态

如果您需要设置 cnrm.cloud.google.com/state-into-spec: absent,但 解决方案依赖于来自未指定字段的填充值,请检查这些 字段存在于 CRD 架构中的 status.observedState 下。如果这些字段在 status.observedState 下表示,则您可以设置 cnrm.cloud.google.com/state-into-spec: absent,并且在成功进行对账后,仍可以访问未指定字段的值。

status.observedState 字段包含所选对象的实时状态, Config Connector 最近观察到的资源字段 对账成功如果观察到的字段 常见用例的依赖项,经过计算的 spec 字段。您可以在 CRD 架构中找到观察到的字段。

如果您找不到所需的观察字段,请在公开问题跟踪器中检查是否存在现有问题或提交新问题。

支持 Merge 的种类

以下是支持 Merge 填充行为的所有 Config Connector 类型:

  • AccessContextManagerAccessLevel
  • AccessContextManagerAccessPolicy
  • AccessContextManagerServicePerimeter
  • AlloyDBBackup
  • AlloyDBCluster
  • AlloyDBInstance
  • AlloyDBUser
  • ApigeeEnvironment
  • ApigeeOrganization
  • ArtifactRegistryRepository
  • BigQueryDataset
  • BigQueryJob
  • BigQueryTable
  • BigtableAppProfile
  • BigtableGCPolicy
  • BigtableInstance
  • BigtableTable
  • BillingBudgetsBudget
  • BinaryAuthorizationAttestor
  • BinaryAuthorizationPolicy
  • CertificateManagerCertificate
  • CertificateManagerCertificateMap
  • CertificateManagerCertificateMapEntry
  • CertificateManagerDNSAuthorization
  • CloudBuildTrigger
  • CloudFunctionsFunction
  • CloudIdentityGroup
  • CloudIdentityMembership
  • Cloud Scheduler 作业
  • ComputeAddress
  • ComputeBackendBucket
  • ComputeBackendService
  • ComputeDisk
  • ComputeExternalVPNGateway
  • ComputeFirewall
  • ComputeFirewallPolicy
  • ComputeFirewallPolicyAssociation
  • ComputeFirewallPolicyRule
  • ComputeForwardingRule
  • ComputeHTTPHealthCheck
  • ComputeHTTPSHealthCheck
  • ComputeHealthCheck
  • ComputeImage
  • ComputeInstance
  • ComputeInstanceGroup
  • ComputeInstanceGroupManager
  • ComputeInstanceTemplate
  • ComputeInterconnectAttachment
  • ComputeNetwork
  • ComputeNetworkEndpointGroup
  • ComputeNetworkFirewallPolicy
  • ComputeNetworkPeering
  • ComputeNodeGroup
  • ComputeNodeTemplate
  • ComputePacketMirroring
  • ComputeProjectMetadata
  • ComputeRegionNetworkEndpointGroup
  • ComputeReservation
  • ComputeResourcePolicy
  • ComputeRoute
  • ComputeRouter
  • ComputeRouterInterface
  • ComputeRouterNAT
  • ComputeRouterPeer
  • ComputeSSLCertificate
  • ComputeSSLPolicy
  • ComputeSecurityPolicy
  • ComputeServiceAttachment
  • ComputeSharedVPCHostProject
  • ComputeSharedVPCServiceProject
  • ComputeSnapshot
  • ComputeSubnetwork
  • ComputeTargetGRPCProxy
  • ComputeTargetHTTPProxy
  • ComputeTargetHTTPSProxy
  • ComputeTargetInstance
  • ComputeTargetPool
  • ComputeTargetSSLProxy
  • ComputeTargetTCPProxy
  • ComputeTargetVPNGateway
  • ComputeURLMap
  • ComputeVPNGateway
  • ComputeVPNTunnel
  • ConfigControllerInstance
  • ContainerAnalysisNote
  • ContainerAttachedCluster
  • ContainerCluster
  • ContainerNodePool
  • DLPDeidentifyTemplate
  • DLPInspectTemplate
  • DLPJobTrigger
  • DLPStoredInfoType
  • DNSManagedZone
  • DNSPolicy
  • DNSRecordSet
  • DataFusionInstance
  • DataflowFlexTemplateJob
  • DataflowJob
  • DataprocAutoscalingPolicy
  • Dataproc 集群
  • DataprocWorkflowTemplate
  • EdgeContainerCluster
  • EdgeContainerNodePool
  • EdgeContainerVpnConnection
  • EdgeNetworkNetwork
  • EdgeNetworkSubnet
  • EventarcTrigger
  • FilestoreBackup
  • FilestoreInstance
  • FirestoreIndex
  • 文件夹
  • GKEHubFeature
  • GKEHubFeatureMembership
  • GKEHubMembership
  • IAMAccessBoundaryPolicy
  • IAMAuditConfig
  • IAMCustomRole
  • IAMPartialPolicy
  • IAMPolicy
  • IAMPolicyMember
  • IAMServiceAccount
  • IAMServiceAccountKey
  • IAMWorkforcePool
  • IAMWorkforcePoolProvider
  • IAMWorkloadIdentityPool
  • IAMWorkloadIdentityPoolProvider
  • IAPBrand
  • IAPIdentityAwareProxyClient
  • IdentityPlatformConfig
  • IdentityPlatformOAuthIDPConfig
  • IdentityPlatformTenant
  • IdentityPlatformTenantOAuthIDPConfig
  • KMSCryptoKey
  • KMSKeyRing
  • LoggingLogBucket
  • LoggingLogExclusion
  • LoggingLogSink
  • LoggingLogView
  • Memcache 实例
  • MonitoringAlertPolicy
  • MonitoringDashboard
  • MonitoringGroup
  • MonitoringMetricDescriptor
  • MonitoringMonitoredProject
  • MonitoringNotificationChannel
  • MonitoringService
  • MonitoringServiceLevelObjective
  • MonitoringUptimeCheckConfig
  • NetworkConnectivityHub
  • NetworkConnectivitySpoke
  • NetworkSecurityAuthorizationPolicy
  • NetworkSecurityClientTLSPolicy
  • NetworkSecurityServerTLSPolicy
  • NetworkServicesEndpointPolicy
  • NetworkServicesGRPCRoute
  • NetworkServicesGateway
  • NetworkServicesHTTPRoute
  • NetworkServicesMesh
  • NetworkServicesTCPRoute
  • NetworkServicesTLSRoute
  • OSConfigGuestPolicy
  • OSConfigOSPolicyAssignment
  • PrivateCACAPool
  • PrivateCACertificate
  • PrivateCACertificateAuthority
  • PrivateCACertificateTemplate
  • 项目
  • PubSubLiteReservation
  • PubSubSchema
  • PubSubSubscription
  • PubSubTopic
  • RecaptchaEnterpriseKey
  • RedisInstance
  • ResourceManagerLien
  • ResourceManagerPolicy
  • RunJob
  • RunService
  • SQLDatabase
  • SQLInstance
  • SQLSSLCert
  • SQLUser
  • SecretManagerSecret
  • SecretManagerSecretVersion
  • 服务
  • ServiceDirectoryEndpoint
  • ServiceDirectoryNamespace
  • ServiceDirectoryService
  • ServiceIdentity
  • ServiceNetworkingConnection
  • SourceRepoRepository
  • SpannerDatabase
  • SpannerInstance
  • StorageBucket
  • StorageBucketAccessControl
  • StorageDefaultObjectAccessControl
  • StorageNotification
  • StorageTransferJob
  • VPCAccessConnector

以下种类不支持从以下日期开始的 Merge 填充行为: 相应的版本:

种类名称 版本
LoggingLogMetric 1.118.1