Questa pagina è stata tradotta dall'API Cloud Translation.

Installazione su altre distribuzioni Kubernetes

Questa pagina mostra come installare Config Connector su una distribuzione Kubernetes diversa da Google Kubernetes Engine (GKE) su Google Cloud, ad esempio GKE su AWS.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

Seleziona o crea un Google Cloud progetto per installare Config Connector.
Assicurati di disporre delle autorizzazioni per creare e scaricare un account di servizio per il progetto.
Crea o identifica un cluster Kubernetes in cui non hai ancora installato Config Connector.
Configura kubectl per connetterti al cluster.

Nota: se stai installando Config Connector su un cluster non ospitato su Google Cloud, potresti dover seguire procedure di configurazione di kubectl diverse. Per informazioni dettagliate, contatta il tuo provider Kubernetes.

Installazione di Config Connector

Per installare Config Connector in un altro ambiente Kubernetes, dopo aver creato o identificato un cluster Kubernetes, crea un account di servizio Identity and Access Management (IAM) e poi installa i componenti di Config Connector sul cluster.

Creazione di un ClusterRoleBinding

Config Connector ha bisogno dell'autorizzazione per creare ruoli Kubernetes prima di poter creare risorse.

Verifica di poter creare ruoli eseguendo il seguente comando:

kubectl auth can-i create roles

Se l'output è yes, vai alla sezione Creare un'identità.

Se l'output è no, crea un ClusterRoleBinding nel cluster, che consente di creare ruoli:

kubectl create clusterrolebinding cluster-admin-binding \
    --clusterrole cluster-admin \
    --user ACCOUNT_EMAIL

Sostituisci ACCOUNT_EMAIL con l'indirizzo email che utilizzi per accedere al tuo account Cloud Billing.

L'output dovrebbe contenere la frase cluster-admin-binding created. Se questa frase non viene visualizzata, contatta l'amministratore del tuo account di fatturazione Cloud o del tuo cluster GKE in merito alle autorizzazioni.

Creazione di un'identità

Config Connector ha bisogno di un'identità Cloud per comunicare con altre risorse. Per configurare l'identità, crea un account di servizio e una chiave dell'account di servizio IAM. Dopodiché, importa le credenziali della chiave come secret in ogni cluster che esegue Config Connector.

Nota: le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per ulteriori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

Nella prossima serie di istruzioni, importerai una Google Cloud chiave delle credenziali dell'account di servizio nel cluster Kubernetes. L'importazione delle credenziali dell'account di servizio direttamente in un cluster è in genere considerata non sicura, soprattutto se esegui workload di terze parti o personalizzati nello stesso cluster. Questo approccio può potenzialmente sfruttare le falle di riassegnazione dei diritti dal nodo al cluster e rubare l'identità dell' Google Cloud account di servizio tramite questo secret. Se utilizzi un cluster GKE, ti consigliamo di utilizzare Workload Identity Federation for GKE.

Creazione di un account di servizio

Per creare un account di servizio, completa i seguenti passaggi:

Crea un account di servizio IAM. Se hai già un account di servizio, puoi utilizzarlo anziché crearne uno nuovo.

Utilizza la CLI gcloud per creare l'account di servizio eseguendo il seguente comando:
```
 gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Sostituisci SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio.

Per scoprire di più sulla creazione degli account di servizio, consulta Creare e gestire gli account di servizio.
Concedi all'account di servizio IAM autorizzazioni elevate sul progetto:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/owner"
```
Sostituisci quanto segue:
- PROJECT_ID con il tuo Google Cloud ID progetto.
- SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio.
Nota: se preferisci concedere accesso al progetto come editor, sostituire roles/owner con roles/editor. L'assegnazione del ruolo Editor consente la maggior parte delle funzionalità di Config Connector, ad eccezione delle configurazioni a livello di progetto e organizzazione, come le modifiche IAM.
Crea una chiave dell'account di servizio ed esporta le relative credenziali in un file chiamato key.json:
```
gcloud iam service-accounts keys create --iam-account \
    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com key.json
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio.
- PROJECT_ID con il tuo Google Cloud ID progetto.

Applicazione delle credenziali al cluster

Per applicare le credenziali al cluster in cui vuoi eseguire Config Connector, completa i seguenti passaggi:

Crea lo spazio dei nomi cnrm-system:
```
kubectl create namespace cnrm-system
```
Importa le credenziali della chiave come secret.
```
kubectl create secret generic SECRET_NAME \
    --from-file key.json \
    --namespace cnrm-system
```
Sostituisci SECRET_NAME con il nome che vuoi assegnare al segreto.

Importante: il file deve avere il nome key.json per creare un segreto valido.
Rimuovi le credenziali dal sistema:
```
rm key.json
```

Installazione di Config Connector Operator

Completa i seguenti passaggi per installare l'operatore Config Connector:

Scarica il file tar dell'operatore Config Connector più recente:
```
gcloud storage cp gs://configconnector-operator/latest/release-bundle.tar.gz release-bundle.tar.gz
```
Nota: per disinstallare Config Connector devi disporre del bundle, quindi conserva una copia del bundle di installazione per utilizzarla in un secondo momento.
Estrai il file tar:
```
tar zxvf release-bundle.tar.gz
```

Installa l'operatore Config Connector nel cluster:

kubectl apply -f operator-system/configconnector-operator.yaml

Configurazione di Config Connector

Per configurare Config Connector utilizzando l'operatore, crea un file di configurazione per ConfigConnector CustomResource, poi applicalo utilizzando il comando kubectl apply.

Per configurare Config Connector utilizzando l'operatore:

Copia il seguente codice YAML in un file denominato configconnector.yaml:

apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnector
metadata:
  # the name is restricted to ensure that there is only ConfigConnector
  # instance installed in your cluster
  name: configconnector.core.cnrm.cloud.google.com
spec:
  mode: cluster
  credentialSecretName: SECRET_NAME
  stateIntoSpec: Absent

Sostituisci SECRET_NAME con il nome del secret che hai creato in precedenza.

Applica la configurazione al cluster con kubectl apply:
```
kubectl apply -f configconnector.yaml
```

Specificare dove creare le risorse

Config Connector può organizzare le risorse per progetto, cartella o organizzazione, come faresti con Google Cloud.

Prima di creare risorse con Config Connector, devi configurare la posizione in cui creare le risorse. Per determinare dove creare la risorsa, Config Connector utilizza un'annotazione nella configurazione della risorsa o in uno spazio dei nomi esistente. Per ulteriori informazioni, consulta Organizzare le risorse.

Se non hai un ambito per questo scopo, creane uno con kubectl.

kubectl create namespace NAMESPACE

Sostituisci NAMESPACE con il nome dello spazio dei nomi. Ad esempio config-connector.

Seleziona una scheda per scegliere dove vuoi che Config Connector crei le risorse.

Progetto

Per creare risorse in un determinato progetto, esegui il seguente comando:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

Sostituisci quanto segue:

NAMESPACE con il nome dello spazio dei nomi.
PROJECT_ID con il tuo Google Cloud ID progetto.

Cartella

Per creare risorse in una determinata cartella, esegui il seguente comando:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

Sostituisci quanto segue:

NAMESPACE con il nome dello spazio dei nomi.
FOLDER_ID con il tuo Google Cloud ID cartella.

Organizzazione

Per creare risorse in una determinata organizzazione, esegui il seguente comando:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

Sostituisci quanto segue:

NAMESPACE con il nome dello spazio dei nomi.
ORGANIZATION_ID con il tuo Google Cloud ID organizzazione.

Quando annoti lo spazio dei nomi, Config Connector crea risorse nel progetto, nella cartella o nell'organizzazione corrispondente. Per scoprire di più su come Config Connector utilizza gli spazi dei nomi Kubernetes, consulta Spazi dei nomi e progetti Google Cloud Kubernetes.

Verifica dell'installazione

Config Connector esegue tutti i suoi componenti in uno spazio dei nomi denominato cnrm-system. Puoi verificare che i pod siano pronti eseguendo il seguente comando:

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

Se Config Connector è installato correttamente, l'output è simile al seguente:

pod/cnrm-controller-manager-0 condition met

Eseguire l'upgrade di Config Connector

Per eseguire l'upgrade di Config Connector, scarica e installa la versione più recente dell'operatore Config Connector:

gcloud storage cp gs://configconnector-operator/latest/release-bundle.tar.gz release-bundle.tar.gz
tar zxvf release-bundle.tar.gz
kubectl apply -f operator-system/configconnector-operator.yaml

Disinstallazione di Config Connector

Utilizza kubectl delete per rimuovere i CRD di Config Connector insieme ai componenti del controller:

kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com \
    --wait=true

Per disinstallare l'operatore Config Connector, esegui il seguente comando:

kubectl delete -f operator-system/configconnector-operator.yaml  --wait=true

Passaggi successivi

Scopri di più sulla scelta di un tipo di installazione.
Scopri come risolvere i problemi di Config Connector.