설치 유형 선택

이 페이지에서는 Config Connector를 설치할 때 사용할 수 있는 다양한 설치 옵션에 대한 개요를 제공합니다.

설치 방법

다음 3가지 방법 중 하나로 구성 커넥터를 설치할 수 있습니다.

구성 컨트롤러: 구성 컨트롤러는 구성 커넥터를 포함하는 호스팅된 서비스입니다. 구성 컨트롤러의 구성 커넥터 버전은 Google에서 관리되며 버전이 자격을 갖추면 정기적으로 자동 업데이트됩니다. 구성 컨트롤러는 Google Cloud 리소스를 보다 안전하게 관리하는 중앙 집중식 지정 제어 영역입니다. 자세한 정보는 빠른 시작: 구성 컨트롤러로 리소스 관리 또는 구성 컨트롤러 설정을 참조하세요.
수동 설치: 구성 커넥터를 수동으로 설치하려면 Kubernetes 연산자를 다운로드하여 사용해야 합니다. 수동 설치를 통해 적용할 버전과 업그레이드할 시간을 유연하게 선택할 수 있습니다. 다른 Kubernetes 배포에 구성 커넥터를 설치하려면 수동 설치를 사용해야 합니다.
GKE 구성 커넥터 부가기능: 구성 커넥터 부가기능을 사용하면 클러스터 생성 중에 구성 커넥터를 설치할 수 있습니다. 구성 커넥터 부가기능은 GKE Standard 클러스터에서만 사용할 수 있으며 Autopilot에서는 사용할 수 없습니다. 구성 커넥터 부가기능을 통해 설치된 구성 커넥터 버전은 다른 두 가지 옵션보다 훨씬 뒤쳐질 수 있습니다(최대 12개월). 자세한 내용은 구성 커넥터 부가기능 업그레이드를 참조하세요. GKE Standard 클러스터를 관리하는 운영 비용을 절감하려면 구성 컨트롤러를 사용하는 것이 좋습니다.

설치 방법을 선택할 때는 여러 가지 요소를 고려해야 합니다. 다음 표에서는 대략적인 고려사항을 설명합니다.

설치 방법	장점	단점
구성 컨트롤러	설치는 필요하지 않습니다. • 버전이 자동 업그레이드됩니다. • 사전 빌드된 GitOps 구성요소인 구성 동기화를 포함합니다. • Google Cloud에서 관리하고 지원합니다.	• 커스텀 워크로드 제한 • 관리 및 클러스터 수수료
수동 설치	완전 맞춤형 • 유연한 버전 업데이트 일정 • 동일한 클러스터의 모든 커스텀 워크로드에서 실행 가능	• 운영 비용
GKE 구성 커넥터 부가기능	쉬운 설치	• 비신속 채널에서 최신 구성 커넥터 버전보다 상당한 지연 발생

인증 옵션

GKE 클러스터에 Config Connector를 설치하려면 워크로드 아이덴티티를 사용하는 것이 좋습니다. 워크로드 아이덴티티는 Kubernetes 서비스 계정을 Google 서비스 계정에 결합합니다. 그런 다음 Config Connector는 클러스터 내의 Kubernetes 서비스 계정(KSA)을 사용하여 새 리소스를 만듭니다. Config Connector는 Google 서비스 계정에 부여한 역할로만 리소스를 만들 수 있습니다.

다른 Kubernetes 배포판에 Config Connector를 설치하려면 워크로드 아이덴티티 대신 Cloud ID를 사용해야 합니다. 이 옵션을 사용하려면 Google 서비스 계정 키를 만들고 키의 사용자 인증 정보를 보안 비밀로 클러스터에 가져와야 합니다. 사용자는 필요한 경우 키 사용자 인증 정보를 순환해야 합니다.

서비스 계정으로 리소스 관리

단일 서비스 계정 또는 여러 서비스 계정으로 리소스를 관리할 수 있습니다.

단일 서비스 계정

GKE 부가기능 또는 수동 설치로 구성 커넥터를 설치할 때 ConfigConnector CustomResource에 클러스터 모드를 설정할 수 있습니다. 클러스터 모드에서는 구성 커넥터를 사용하여 여러 프로젝트를 관리하는 경우에도 단일 Google 서비스 계정을 사용하여 리소스를 만들고 관리할 수 있습니다.

다음 다이어그램은 이 모드의 작동 방식을 보여줍니다.

동일한 서비스 계정을 사용하여 여러 프로젝트를 관리하는 Config Connector를 보여주는 다이어그램

여러 서비스 계정

ConfigConnector CustomResource에서 네임스페이스 모드를 설정하여 여러 서비스 계정을 사용할 수 있습니다. 네임스페이스 모드를 사용하면 네임스페이스별로 서로 다른 Google 서비스 계정을 연결할 수 있으므로 여러 Google 서비스 계정의 각 문제에 따라 권한을 나누고 서로 다른 Kubernetes 네임스페이스 간에 권한을 격리할 수 있습니다.

예를 들어 Google Cloud 프로젝트당 하나의 Google 서비스 계정을 만들고, 동일한 Kubernetes 네임스페이스에 있는 Google Cloud 프로젝트의 리소스를 구성하고, 해당 Google 서비스 계정을 Kubernetes 네임스페이스에 바인딩하여 서로 고유하고 관련이 없는 IAM 권한을 분리할 수 있습니다.

다음 다이어그램은 네임스페이스 모드 작동 방식을 간략하게 설명합니다.

두 개의 서로 다른 서비스 계정을 사용하여 여러 프로젝트를 관리하는 Config Connector를 보여주는 다이어그램

네임스페이스 모드에서 각 Google 서비스 계정은 기본적으로 네임스페이스에 결합됩니다. 해당 네임스페이스 내에 리소스를 만들면 구성 커넥터는 이 서비스 계정을 사용하여 Google Cloud 리소스를 만듭니다. 네임스페이스와 연결된 Google 서비스 계정을 가장하는 각 네임스페이스에 대한 전용 구성 커넥터 cnrm-controller-manager 포드도 있습니다.

다음과 같은 경우 네임스페이스 모드를 선택하세요.

Kubernetes 네임스페이스 수준에서 Google Cloud IAM 권한을 격리하려고 합니다.
단일 클러스터에 있는 여러 Google Cloud 프로젝트에서 대량의 Google Cloud 리소스를 관리해야 합니다.

네임스페이스 모드 구성 방법은 네임스페이스 모드를 사용하여 구성 커넥터 설치를 참조하세요.

다음 단계

Identity and Access Management 서비스 계정에 대해 알아보기
구성 컨트롤러로 Google Cloud 리소스 관리 방법 알아보기
구성 커넥터를 수동으로 설치하는 방법 알아보기
구성 커넥터를 GKE 부가기능으로 설치하는 방법 알아보기
다른 Kubernetes 배포판에 Config Connector를 설치하는 방법 알아보기