选择安装类型
本页面简要介绍安装 Config Connector 时可以使用的不同安装选项。
您可以通过以下三种方式之一安装 Config Connector:
Config Controller:Config Controller 是包含 Config Connector 的托管服务。Config Controller 中的 Config Connector 版本由 Google 管理,并会在版本符合条件时定期自动更新。Config Controller 是一个指定的集中式控制平面,可让您以更安全的方式管理 Google Cloud 资源。如需了解详情,请参阅快速入门:使用 Config Controller 管理资源或设置 Config Controller。
手动安装:如需手动安装 Config Connector,您需要下载并使用 Kubernetes Operator。手动安装可让您灵活地选择想要应用的版本以及升级时间。 如果要在其他 Kubernetes 发行版上安装 Config Connector,则需要进行手动安装。
GKE Config Connector 插件:借助 Config Connector 插件,您可以在创建集群期间安装 Config Connector。Config Connector 插件仅适用于 GKE Standard 集群,不适用于 Autopilot。通过 Config Connector 插件安装的 Config Connector 版本可能明显落后于其他两个选项。如需了解详情,请参阅 Config Connector 插件升级。如果您希望降低管理 GKE Standard 集群的运营费用,请考虑使用 Config Controller。
选择安装方法时需要考虑多种因素。下表概述了一些简要注意事项:
| 安装方法 | 优点 | 缺点 |
|---|---|---|
| 配置控制器 | • 无需安装。 • 自动升级版本。 • 包含预构建的 GitOps 组件:Config Sync。 • 由 Google Cloud 管理和支持。 |
• 限制自定义工作负载。 • 管理和集群费用。 |
| 手动安装 | • 完全可定制。 • 灵活的版本更新时间表。 • 可与同一集群中的任何自定义工作负载一起运行。 |
• 运营成本。 |
| GKE Config Connector 插件 | • 最新版本的 Config Connector 存在严重延迟。 |
Authentication
如果要在 GKE 集群上安装 Config Connector,请使用 Workload Identity。借助 Workload Identity,您可以配置 Kubernetes ServiceAccount 以模拟 Identity and Access Management (IAM) 服务帐号来访问 Google Cloud 服务。Config Connector 使用集群中的该 Kubernetes ServiceAccount 创建新资源。Config Connector 只能创建具有您授予 IAM 服务帐号的角色的资源。
如果要在其他部署选项(如本地或多云选项)上安装 Config Connector,请使用 Cloud Identity 创建帐号,然后使用 IAM 创建服务帐号密钥,并将密钥的凭据作为 Secret 导入集群。如有必要,您必须轮替密钥凭据。
使用服务账号管理资源
您可以选择使用单个服务帐号或多个服务帐号来管理资源。如果要使用多个服务帐号,则必须在命名空间模式下安装 Config Connector。如需详细了解如何将 IAM 服务帐号与 Config Connector 搭配使用,请参阅使用 IAM 进行访问权限控制。
后续步骤
- 了解如何使用 Config Controller 管理 Google Cloud 资源。
- 了解如何手动安装 Config Connector。
- 了解如何将 Config Connector 作为 GKE 插件安装。
- 了解如何在其他 Kubernetes 发行版上安装 Config Connector。