Nesta página, fornecemos uma visão geral das diferentes opções de instalação que podem ser usadas para instalar o Config Connector.
Métodos de instalação
É possível instalar o Config Connector de três maneiras:
Config Controller: o Config Controller é um serviço hospedado que inclui o Config Connector. A versão do Config Connector no Config Controller é gerenciada pelo Google e atualizada automaticamente sempre que as versões se qualificam. Para mais informações, consulte Guia de início rápido: gerenciar recursos com o Config Controller ou Configurar o Config Controller.
Instalação manual: para instalar manualmente o Config Connector, você precisa fazer o download e usar um operador do Kubernetes. A instalação manual oferece flexibilidade sobre a versão que você quer aplicar e quando fazer upgrade. Se você quiser instalar o Config Connector em outras distribuições do Kubernetes, será necessário usar uma instalação manual.
Complemento do GKE Config Connector: o complemento do Config Connector permite que você instale o Config Connector durante a criação do cluster. O complemento Config Connector está disponível apenas em clusters do GKE Standard, e não no Autopilot. A versão do Config Connector instalada pelo complemento Config Connector pode ficar significativamente atrás das outras duas opções (até 12 meses) se você nem sempre estiver usando a versão secundária mais recente do GKE. Veja mais informações em Upgrades de complementos do Config Connector. Se você quiser reduzir o custo operacional do gerenciamento de um cluster GKE Standard, use o Controlador de configuração.
Há muitos fatores a serem considerados ao selecionar um método de instalação. A tabela a seguir descreve algumas considerações de alto nível:
| Métodos de instalação | Vantagens | Desvantagens |
|---|---|---|
| Controlador de configuração | • Não é necessário instalar nada. • Upgrades automáticos de versão. • Inclui os componentes GitOps pré-criados: Config Sync. • Gerenciado e suportado pelo Google Cloud. |
• Restrição em cargas de trabalho personalizadas. • Taxa de gerenciamento e cluster. |
| Instalação manual | • Totalmente personalizável • Programação flexível de atualização de versão. • Pode ser executado com qualquer carga de trabalho personalizada no mesmo cluster. |
• Custo operacional. |
| Complemento do GKE Config Connector | • Facilidade de instalação. | • Atraso significativo em relação à versão mais recente do Config Connector em canais não rápidos. |
Opções de autenticação
Se você quiser instalar o Config Connector em clusters do GKE, use a Identidade de carga de trabalho. A Identidade de carga de trabalho vincula uma conta de serviço do Kubernetes a uma conta de serviço do Google. O Config Connector usa a conta de serviço do Kubernetes no cluster para criar novos recursos. O Config Connector só pode criar recursos com os papéis que você conceder à conta de serviço do Google.
Se você quiser instalar o Config Connector em outras distribuições do Kubernetes, use o Cloud Identity em vez da Identidade da carga de trabalho. Essa opção requer a criação de uma chave de conta de serviço do Google e a importação das credenciais da chave como um secret para os clusters. Você é responsável por fazer a rotação das credenciais de chave, quando necessário.
Como gerenciar recursos com as contas de serviço
É possível gerenciar recursos com uma ou várias contas de serviço.
Uma conta de serviço única
Ao instalar o Config Connector com o complemento do GKE ou a instalação
manual, é possível definir o modo de cluster no ConfigConnector
CustomResource.
Com o modo de cluster, é possível usar uma única conta de serviço do Google para criar e gerenciar
recursos, mesmo se o Config Connector estiver sendo usado para gerenciar vários projetos.
O diagrama a seguir mostra como esse modo funciona:
Várias contas de serviço
É possível usar várias contas de serviço definindo o modo de namespace no seu
ConfigConnector CustomResource. O modo de namespace permite dividir permissões com base nas respectivas preocupações de diferentes contas de serviço do Google e isolar permissões entre diferentes namespaces do Kubernetes, já que é possível associar diferentes contas de serviço do Google por namespace.
Por exemplo, é possível criar uma conta de serviço do Google por projeto do Google Cloud, organizar recursos do projeto do Google Cloud no mesmo namespace do Kubernetes e vincular a conta de serviço do Google correspondente ao namespace do Kubernetes para separar permissões de IAM distintas e não relacionadas.
O diagrama a seguir mostra uma visão geral de como o modo com namespace funciona:
No modo com namespace, cada conta de serviço do Google está vinculada a um Namespace,
por padrão. Quando você cria recursos nesse Namespace, o Config Connector usa essa
conta de serviço para criar recursos do Google Cloud. Também haverá um pod cnrm-controller-manager do Config Connector dedicado para cada namespace que falsifica a conta de serviço do Google associada ao namespace.
Escolha o modo com namespace se você:
- Quero isolar as permissões do Google Cloud IAM no nível do namespace do Kubernetes.
- Espere gerenciar um grande número de recursos do Google Cloud de vários projetos em um único cluster.
Para saber como configurar o modo com namespace, consulte Como instalar o Config Connector usando um modo com namespace.
A seguir
- Saiba mais sobre contas de serviço do gerenciamento de identidade e acesso.
- Saiba como gerenciar recursos do Google Cloud com o Config Controller.
- Saiba como instalar manualmente o Config Connector.
- Saiba como instalar o Config Connector como um complemento do GKE.
- Saiba como instalar o Config Connector em outras distribuições do Kubernetes.