En la página, se proporciona una descripción general de las diferentes opciones de instalación que puedes usar cuando instalas Config Connector.
Métodos de instalación
Puedes instalar Config Connector de una de estas tres maneras:
Controlador de configuración: El controlador de configuración es un servicio alojado que incluye Config Connector. Google administra la versión del Config Connector en el controlador de configuración y se actualiza de forma automática con regularidad a medida que califican las versiones. Para obtener más información, consulta la Guía de inicio rápido: Administra recursos con el controlador de configuración o Configura el controlador de configuración.
Instalación manual: Para instalar Config Connector de forma manual, debes descargar y usar un operador de Kubernetes. La instalación manual te brinda la flexibilidad de la versión que deseas aplicar y cuándo actualizarla. Si deseas instalar Config Connector en otras distribuciones de Kubernetes, debes usar una instalación manual.
Complemento de GKE Config Connector: El complemento de Config Connector te permite instalar Config Connector durante la creación del clúster. El complemento Config Connector está disponible solo en clústeres de GKE Standard, no en Autopilot. La versión del Config Connector instalada a través del complemento de Config Connector puede ser significativamente posterior a las otras dos opciones (hasta 12 meses) si no siempre usas la última versión secundaria de GKE. Para obtener más información, consulta Actualizaciones del complemento de Config Connector. Si deseas reducir el costo operativo de administrar un clúster de GKE Standard, considera usar Config Controller.
Hay muchos factores por considerar a la hora de seleccionar un método de instalación. En la siguiente tabla, se describen algunas consideraciones de alto nivel:
| Métodos de instalación | Ventajas | Desventajas |
|---|---|---|
| Config Controller | • No se requiere instalación. • Actualizaciones automáticas de versiones • Incluye los componentes de GitOps compilados previamente: Config Sync. • Administrado y admitido por Google Cloud. |
• Restricción en las cargas de trabajo personalizadas. • Tarifa de administración y clúster |
| Instalación manual | • Totalmente personalizable. • Programa de actualización de la versión flexible • Se puede ejecutar con cualquier carga de trabajo personalizada en el mismo clúster. |
• Costo operativo. |
| Complemento de GKE Config Connector | • Facilidad de instalación. | • Retraso significativo con respecto a la última versión de Config Connector en canales que no sean rápidos. |
Opciones de autenticación
Si deseas instalar Config Connector en clústeres de GKE, se recomienda usar Workload Identity. Workload Identity vincula una cuenta de servicio de Kubernetes a una de Google. Config Connector luego usa la cuenta de servicio de Kubernetes (KSA) dentro del clúster para crear nuevos recursos. Config Connector solo puede crear recursos con las funciones que otorgas en la cuenta de servicio de Google.
Si deseas instalar Config Connector en otras distribuciones de Kubernetes, debes usar Cloud Identity en lugar de Workload Identity. Esta opción requiere que crees una clave de cuenta de servicio de Google e importes las credenciales de la clave como un secreto a tus clústeres. Eres responsable de rotar las credenciales de clave cuando sea necesario.
Administra recursos con cuentas de servicio
Puedes elegir administrar recursos con una o con varias cuentas de servicio.
Cuenta de servicio única
Cuando instalas Config Connector con el complemento de GKE o la instalación manual, puedes configurar el modo de clúster en tu CustomResource de ConfigConnector.
Con el modo de clúster, puedes usar una sola cuenta de servicio de Google a fin de crear y administrar recursos, incluso si usas Config Connector para administrar varios proyectos.
En el siguiente diagrama, se muestra cómo funciona este modo:
Varias cuentas de servicio
Para usar varias cuentas de servicio, configura el modo de espacio de nombres en tu CustomResource de ConfigConnector. El modo de espacio de nombres te permite dividir los permisos según las inquietudes respectivas de las diferentes cuentas de servicio de Google y aislar los permisos entre diferentes espacios de nombres de Kubernetes, ya que puedes asociar diferentes cuentas de servicio de Google por espacio de nombres.
Por ejemplo, puede crear una cuenta de servicio de Google por proyecto de Google Cloud, organizar los recursos del proyecto de Google Cloud en el mismo espacio de nombres de Kubernetes y vincular la cuenta de servicio de Google correspondiente al espacio de nombres de Kubernetes para separar los permisos de IAM que son diferentes y no están relacionados entre sí.
En el siguiente diagrama, se muestra una descripción general de cómo funciona el modo de espacio de nombres:
En el modo de espacio de nombres, cada cuenta de servicio de Google está vinculada a un espacio de nombres de forma predeterminada. Cuando creas recursos dentro de ese espacio de nombres, Config Connector usa esta cuenta de servicio para crear recursos de Google Cloud. También habrá un pod cnrm-controller-manager de Config Connector dedicado para cada espacio de nombres que actúe en nombre de la cuenta de servicio de Google asociada con el espacio de nombres.
Elige el modo de espacio de nombres en los siguientes casos:
- Desea aislar los permisos de Google Cloud IAM a nivel de espacio de nombres de Kubernetes.
- Habrá administrado una gran cantidad de recursos de Google Cloud desde varios proyectos de Google Cloud en un solo clúster.
Si deseas obtener información para configurar el modo de espacio de nombres, consulta Instala Config Connector con un modo de espacio de nombres.
¿Qué sigue?
- Obtén más información sobre las cuentas de servicio de la administración de identidades y accesos.
- Obtén más información sobre cómo administrar los recursos de Google Cloud con el controlador de configuración.
- Obtén más información para instalar Config Connector de forma manual.
- Obtén más información para instalar Config Connector como complemento de GKE.
- Aprende a instalar Config Connector en otras distribuciones de Kubernetes.