설치 유형 선택

개요

다음 방법 중 하나로 Config Connector를 설치할 수 있습니다.

  • Google Cloud ID 서비스 계정,
  • Google Kubernetes Engine(GKE) 워크로드 아이덴티티 또는
  • 네임스페이스 모드를 사용하여 여러 프로젝트 관리를 지원하며, 각 프로젝트는 고유한 Google Cloud ID가 있습니다.

설치 모드 및 서비스 계정

선택한 설치 모드에 따라 리소스를 생성할 수 있는 서비스 계정 수가 결정됩니다.

구성 커넥터를 사용하여 여러 프로젝트를 관리하는 경우에도 Google Cloud ID 옵션과 워크로드 아이덴티티 설치 옵션은 둘 다 단일 서비스 계정을 사용하여 리소스를 생성 및 관리합니다.

동일한 서비스 계정을 사용하여 여러 프로젝트를 관리하는 Config Connector를 보여주는 다이어그램

네임스페이스 모드 설치를 통해 여러 프로젝트에 여러 서비스 계정을 사용할 수 있습니다.

두 개의 서로 다른 서비스 계정을 사용하여 여러 프로젝트를 관리하는 Config Connector를 보여주는 다이어그램

이러한 각 모드는 다음 섹션에 설명되어 있습니다.

Google Cloud ID

Config Connector를 설치하는 가장 쉬운 방법은 단일 Google Cloud 서비스 계정을 사용하는 것입니다.

기본적으로 프로젝트의 Compute Engine 서비스 계정에는 편집자 역할이 부여되어 Identity and Access Management와 같은 특정 조직 수준 기능을 제외하고 Config Connector가 대부분의 리소스를 생성할 수 있습니다.

작업 부하 ID

구성 커넥터 클러스터에 부여된 권한을 더 세밀하게 제어하려면 워크로드 아이덴티티를 선택하세요.

GKE 워크로드 아이덴티티를 사용하면 Kubernetes 서비스 계정을 Google 서비스 계정(GSA)에 결합할 수 있습니다. 그런 다음 구성 커넥터는 클러스터 내의 Kubernetes 서비스 계정(KSA)을 사용하여 새 리소스를 만듭니다. 구성 커넥터는 GSA에 부여된 역할을 통해서만 리소스를 생성할 수 있습니다.

예를 들어, 구성 커넥터 클러스터를 사용하여 Cloud Storage 리소스만 관리하는 경우 roles/storage.admin 역할 부여를 통해 스토리지 리소스만 생성하도록 서비스 계정을 제한할 수 있습니다.

네임스페이스 모드

네임스페이스 모드는 워크로드 아이덴티티 설치의 확장입니다. 구성 커넥터 클러스터에 결합된 여러 Google 서비스 계정으로 여러 프로젝트를 관리할 수 있습니다.

네임스페이스 모드에서 각 Google 서비스 계정은 기본적으로 네임스페이스에 결합됩니다. 해당 네임스페이스 내에 리소스를 만들면 구성 커넥터는이 서비스 계정을 사용하여 Google Cloud 리소스를 만듭니다.

다음과 같은 경우 네임스페이스 모드를 선택하세요.

  • 여러 Google Cloud 프로젝트에서 리소스를 관리하려는 경우
  • 각 프로젝트의 리소스를 관리하기 위해 다른 Google 서비스 계정을 선택하려는 경우

다음 단계