本页面简要介绍安装 Config Connector 时可以使用的不同安装选项。
安装方法
您可以通过以下三种方式之一安装 Config Connector:
Config Controller:Config Controller 是一种包含 Config Connector 的托管服务。Config Controller 中的 Config Connector 版本由 Google 管理,并会在版本符合条件时定期更新。如需了解详情,请参阅快速入门:使用 Config Controller 管理资源或设置 Config Controller。
手动安装:如需手动安装 Config Connector,您需要下载并使用 Kubernetes 运算符。手动安装可让您灵活选择想要采用的版本和升级时间。如果要在其他 Kubernetes 发行版上安装 Config Connector,您需要使用手动安装。
GKE Config Connector 插件:利用 Config Connector 插件,您可以在创建集群期间安装 Config Connector。Config Connector 插件仅适用于 GKE Standard 集群,不适用于 Autopilot。如果您不总是使用最新的 GKE 次要版本,那么通过 Config Connector 插件安装的 Config Connector 版本可能比其他两个方案(最长 12 个月)大得多。如需了解详情,请参阅Config Connector 插件升级。 如果要降低管理 GKE Standard 集群的操作费用,请考虑使用 Config Controller。
选择安装方法时需要考虑很多因素。下表列出了一些总体注意事项:
| 安装方法 | 优点 | 缺点 |
|---|---|---|
| 配置控制器 | • 无需安装。 • 自动升级版本。 • 包含预构建的 GitOps 组件:Config Sync。 • 由 Google Cloud 管理和提供支持。 |
• 对自定义工作负载的限制。 • 管理和集群费用。 |
| 手动安装 | • 可完全自定义。 • 灵活的版本更新时间表。 • 可在同一集群中使用任何自定义工作负载运行。 |
• 运营费用。 |
| GKE Config Connector 插件 | • 安装简便。 | • 与非快速渠道中最新的 Config Connector 版本相比,效果明显滞后。 |
身份验证选项
如果要在 GKE 集群上安装 Config Connector,建议使用 Workload Identity。Workload Identity 将 Kubernetes 服务帐号绑定到 Google 服务帐号。然后,Config Connector 使用集群中的 Kubernetes 服务帐号创建新资源。Config Connector 只能使用您授予 Google 服务帐号的角色来创建资源。
如果您要在其他 Kubernetes 发行版上安装 Config Connector,则应使用 Cloud Identity 而不是 Workload Identity。此选项要求您创建 Google 服务帐号密钥,并将密钥的凭据作为 Secret 导入集群。您要负责在需要时轮替密钥凭据。
使用服务帐号管理资源
您可以选择使用单个服务帐号或多个服务帐号管理资源。
单个服务帐号
使用 GKE 插件或手动安装安装 Config Connector 时,您可以在 ConfigConnector
CustomResource 中设置集群模式。使用集群模式时,即使您使用 Config Connector 管理多个项目,也可以使用单个 Google 服务帐号创建和管理资源。
下图展示了此模式的工作原理:
多个服务帐号
您可以通过在 ConfigConnector CustomResource 中设置命名空间模式来使用多个服务帐号。借助命名空间模式,您可以根据不同 Google 服务帐号的各自顾虑来划分权限,并在不同的 Kubernetes 命名空间之间隔离权限,因为您可以为每个命名空间关联不同的 Google 服务帐号。
例如,您可以为每个 Google Cloud 项目创建一个 Google 服务帐号,在同一 Kubernetes 命名空间中组织来自 Google Cloud 项目的资源,并将相应的 Google 服务帐号绑定到 Kubernetes 命名空间,从而分离不同且彼此无关的 IAM 权限。
下图展示了命名空间模式工作原理的概览:
在命名空间型模式下,默认每个 Google 服务帐号都绑定到一个命名空间。当您在该命名空间中创建资源时,Config Connector 会使用此服务帐号来创建 Google Cloud 资源。此外,每个命名空间还有一个专用的 Config Connector cnrm-controller-manager pod,用于模拟与该命名空间关联的 Google 服务帐号。
在以下情况下选择命名空间型模式:
- 希望在 Kubernetes 命名空间级别隔离 Google Cloud IAM 权限。
- 您需要通过一个集群管理多个 Google Cloud 项目中的大量 Google Cloud 资源。
如需了解如何配置命名空间模式,请参阅使用命名空间模式安装 Config Connector。
后续步骤
- 了解 Identity and Access Management 服务帐号。
- 了解如何使用 Config Controller 管理 Google Cloud 资源。
- 了解如何手动安装 Config Connector。
- 了解如何将 Config Connector 作为 GKE 插件安装。
- 了解如何在其他 Kubernetes 发行版上安装 Config Connector。