インストール タイプの選択

このページでは、Config Connector のインストール時に使用できるさまざまなインストール オプションの概要を示します。

インストール方法

Config Connector は、次の 2 つのうちのいずれかの方法でインストールできます。

認証のオプション

Config Connector を GKE クラスタにインストールする場合は、Workload Identity を使用する方法をおすすめします。Workload Identity は、Kubernetes サービス アカウントを Google サービス アカウントにバインドします。次に、Config Connector はクラスタ内の Kubernetes サービス アカウント(KSA)を使用して新しいリソースを作成します。Config Connector は、Google サービス アカウントに付与したロールを持つリソースのみを作成できます。

他の Kubernetes ディストリビューションに Config Connector をインストールする場合は、Workload Identity ではなく Cloud Identity を使用する必要があります。このオプションでは、Google サービス アカウントキーを作成し、そのキーの認証情報を Secret としてクラスタにインポートする必要があります。必要に応じてキーの認証情報をローテーションする責任は、お客様にあります。

サービス アカウントによるリソースの管理

リソースは単一のサービス アカウントで管理することも、複数のサービス アカウントで管理することもできます。

単一のサービス アカウント

Config Connector を GKE アドオンまたは手動インストールとともにインストールする場合は、ConfigConnector CustomResource でクラスタモードを使用できます。クラスタモードでは、Config Connector を使用して複数のプロジェクトを管理している場合でも、単一の Google サービス アカウントを使用してリソースを作成、管理できます。

次の図に、このモードの仕組みを示します。

同じサービス アカウントを使用して複数のプロジェクトを管理する Config Connector を示す図

複数のサービス アカウント

複数のサービス アカウントを使用するには、ConfigConnector CustomResource に名前空間モードを使用します。名前空間モードを使用すると、Config Connector クラスタにバインドされた複数の Google サービス アカウントで複数のプロジェクトを管理できます。

次の図は、Namespace が指定されたモードの仕組みの概要を示しています。

2 つの異なるサービス アカウントを使用して複数のプロジェクトを管理する Config Connector を示す図

Namespace が指定されたモードでは、各 Google サービス アカウントはデフォルトで Namespace にバインドされます。その Namespace 内にリソースを作成すると、Config Connector はこのサービス アカウントを使用して Google Cloud リソースを作成します。

次の場合は、Namespace が指定されたモードを選択してください。

  • 複数の Google Cloud プロジェクトのリソースを管理する。
  • 別の Google サービス アカウントを選択して、各プロジェクトのリソースを管理する。

Namespace が指定されたモードを構成する方法については、Namespace が指定されたモードを使用した Config Connector のインストールをご覧ください。

次のステップ