选择安装类型
本页面简要介绍安装 Config Connector 时可以使用的不同安装选项。
您可以通过以下三种方式之一安装 Config Connector:
配置控制器:Config Controller 是包含 Config Connector 的托管式服务。Config Controller 中的 Config Connector 版本由 Google 管理,并在版本符合条件时定期自动更新。Config Controller 是一种集中式控制平面,可让您以更安全的方式管理 Google Cloud 资源。如需了解详情,请参阅快速入门:使用 Config Controller 管理资源或设置 Config Controller。
手动安装:如需手动安装 Config Connector,您需要下载并使用 Kubernetes Operator。手动安装可让您灵活地选择要应用的版本和升级时间。 如果要在其他 Kubernetes 发行版上安装 Config Connector,则需要手动安装。
GKE Config Connector 插件:Config Connector 插件可让您在集群创建期间安装 Config Connector。Config Connector 插件仅适用于 GKE Standard 集群,不适用于 Autopilot。通过 Config Connector 插件安装的 Config Connector 版本可能明显落后于其他两个选项。如需了解详情,请参阅 Config Connector 插件升级。如果要降低管理 GKE Standard 集群的运营成本,请考虑使用 Config Controller。
选择安装方法时需要考虑多种因素。下表列出了一些总体注意事项:
安装方法 | 优点 | 缺点 |
---|---|---|
配置控制器 | • 无需安装。 • 版本自动升级。 • 包含预构建的 GitOps 组件:Config Sync。 • 由 Google Cloud 管理和支持。 |
• 限制自定义工作负载。 • 管理和集群费用。 |
手动安装 | • 可完全自定义。 • 灵活的版本更新时间表。 • 可在同一集群中与任何自定义工作负载一起运行。 |
• 运营成本。 |
GKE Config Connector 插件 | • Config Connector 的最新版本明显滞后。 |
身份验证
如果要在 GKE 集群上安装 Config Connector,请使用 Workload Identity。借助 Workload Identity,您可以配置 Kubernetes ServiceAccount 以模拟 Identity and Access Management (IAM) 服务帐号来访问 Google Cloud 服务。Config Connector 在您的集群中使用该 Kubernetes ServiceAccount 来创建新资源。Config Connector 只能使用您授予 IAM 服务帐号的角色来创建资源。
如果要在其他部署选项(例如本地或多云选项)上安装 Config Connector,请使用 Cloud Identity 创建帐号,然后使用 IAM 创建服务帐号密钥,并将该密钥的凭据作为 Secret 导入您的集群。
使用服务账号管理资源
您可以选择使用单个服务帐号或多个服务帐号管理资源。如果要使用多个服务帐号,必须在命名空间模式下安装 Config Connector。如需详细了解如何将 IAM 服务帐号与 Config Connector 搭配使用,请参阅使用 IAM 进行访问权限控制。
后续步骤
- 了解如何使用 Config Controller 管理 Google Cloud 资源。
- 了解如何手动安装 Config Connector。
- 了解如何将 Config Connector 作为 GKE 插件安装。
- 了解如何在其他 Kubernetes 发行版上安装 Config Connector。