Installazione su altre distribuzioni Kubernetes

Questa pagina mostra come installare Config Connector su una distribuzione di Kubernetes diversa da Google Kubernetes Engine (GKE) su Google Cloud. ad esempio Anthos cluster su AWS (GKE su AWS).

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Seleziona o crea un progetto Google Cloud per installare Config Connector.
Assicurati di disporre delle autorizzazioni per creare e scaricare un account di servizio per il progetto.
Crea o identifica un cluster Kubernetes in cui non hai ancora installato Config Connector.
Configura kubectl per connetterti al cluster.

Nota: se installi Config Connector su un cluster non ospitato su Google Cloud, potrebbero essere necessari passaggi di configurazione di kubectl diversi. Per informazioni dettagliate, contatta il tuo provider Kubernetes.

Installazione di Config Connector

Per installare Config Connector in un altro ambiente Kubernetes, dopo aver creato o identificato un cluster Kubernetes, crea un account di servizio IAM (Gestione di identità e accessi), quindi installa i componenti Config Connector nel cluster.

Creazione di un ClusterRoleBinding

Config Connector deve avere l'autorizzazione per creare ruoli Kubernetes prima di poter creare risorse.

Verifica di poter creare ruoli eseguendo questo comando:

kubectl auth can-i create roles

Se l'output è yes, passa alla sezione Creazione di un'identità.

Se l'output è no, crea un ClusterRoleBinding nel cluster, che ti consente di creare ruoli:

kubectl create clusterrolebinding cluster-admin-binding \
    --clusterrole cluster-admin \
    --user ACCOUNT_EMAIL

Sostituisci ACCOUNT_EMAIL con l'indirizzo email che utilizzi per accedere al tuo account di fatturazione Cloud.

L'output deve contenere la frase cluster-admin-binding created. Se questa frase non viene visualizzata, contatta il tuo account di fatturazione Cloud o l'amministratore del cluster GKE per informazioni sulle autorizzazioni.

Creazione di un'identità

Config Connector ha bisogno di Cloud Identity per comunicare con altre risorse. Per configurare l'identità, devi creare un account di servizio IAM e una chiave account di servizio. In seguito, importerai le credenziali della chiave come secret in ogni cluster che esegue Config Connector.

Creazione di un account di servizio

Per creare un account di servizio, segui questi passaggi:

Crea un account di servizio IAM. Se hai già un account di servizio, puoi utilizzarlo invece di crearne uno nuovo.

Utilizza l'interfaccia a riga di comando gcloud per creare l'account di servizio eseguendo questo comando:
```
 gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
Sostituisci SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio.

Per ulteriori informazioni sulla creazione degli account di servizio, consulta la sezione Creare e gestire account di servizio.
Assegna autorizzazioni elevate all'account di servizio IAM sul tuo progetto:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/owner"
```
Sostituisci quanto segue:
- PROJECT_ID con il tuo ID progetto Google Cloud.
- SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio.
Nota: se preferisci concedere l'accesso editor al progetto, sostituisci roles/owner con roles/editor. La concessione del ruolo di editor consente la maggior parte delle funzionalità di Config Connector, tranne le configurazioni a livello di progetto e di organizzazione, come le modifiche IAM.
Crea una chiave dell'account di servizio ed esporta le credenziali in un file denominato key.json:
```
gcloud iam service-accounts keys create --iam-account \
    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com key.json
```
Sostituisci quanto segue:
- SERVICE_ACCOUNT_NAME con il nome del tuo account di servizio.
- PROJECT_ID con il tuo ID progetto Google Cloud.

Applicazione delle credenziali al cluster

Per applicare le credenziali al cluster in cui vuoi eseguire Config Connector, completa i seguenti passaggi:

Crea lo spazio dei nomi cnrm-system:
```
kubectl create namespace cnrm-system
```
Importa le credenziali della chiave come secret.
```
kubectl create secret generic SECRET_NAME \
    --from-file key.json \
    --namespace cnrm-system
```
Sostituisci SECRET_NAME con il nome che vuoi assegnare al secret.

Importante: il file deve essere denominato key.json per creare un Secret valido.
Rimuovi le credenziali dal sistema:
```
rm key.json
```

Installazione dell'operatore Config Connector

Completa i seguenti passaggi per installare l'operatore Config Connector:

Scarica l'ultimo file tar dell'operatore di Config Connector:
```
gsutil cp gs://configconnector-operator/latest/release-bundle.tar.gz release-bundle.tar.gz
```
Nota: devi avere il bundle per disinstallare Config Connector, quindi conserva una copia del bundle per l'utilizzo futuro.
Estrai il file tar:
```
tar zxvf release-bundle.tar.gz
```

Installa l'operatore Config Connector sul tuo cluster:

kubectl apply -f operator-system/configconnector-operator.yaml

Configurazione di Config Connector

Per configurare Config Connector con l'operatore, devi creare un file di configurazione per ConfigConnector CustomResource, quindi applicarlo con il comando kubectl apply.

Per configurare Config Connector utilizzando l'operatore:

Copia il seguente YAML in un file denominato configconnector.yaml:

apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnector
metadata:
  # the name is restricted to ensure that there is only ConfigConnector
  # instance installed in your cluster
  name: configconnector.core.cnrm.cloud.google.com
spec:
 mode: cluster
 credentialSecretName: SECRET_NAME

Sostituisci SECRET_NAME con il nome del secret che hai creato in precedenza.

Applica la configurazione al tuo cluster con kubectl apply:
```
kubectl apply -f configconnector.yaml
```

Specificare dove creare le risorse

Config Connector può organizzare le risorse per progetto, cartella o organizzazione, esattamente come faresti per Google Cloud.

Prima di creare risorse con Config Connector, devi configurare la piattaforma in cui creare le risorse. Per determinare dove creare la risorsa, Config Connector utilizza un'annotazione nella configurazione della risorsa o in uno spazio dei nomi esistente. Per ulteriori informazioni, consulta la sezione Organizzare le risorse.

Se non hai uno spazio dei nomi a questo scopo, creane uno con kubectl.

kubectl create namespace NAMESPACE

Sostituisci NAMESPACE con il nome dello spazio dei nomi. Ad esempio config-connector.

Seleziona una scheda per scegliere dove creare le risorse Config Connector.

Progetto

Per creare le risorse in un determinato progetto, esegui il comando seguente:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

Sostituisci quanto segue:

NAMESPACE con il nome del tuo spazio dei nomi.
PROJECT_ID con il tuo ID progetto Google Cloud.

Cartella

Per creare le risorse in una determinata cartella, esegui il comando seguente:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

Sostituisci quanto segue:

NAMESPACE con il nome del tuo spazio dei nomi.
FOLDER_ID con il tuo ID cartella Google Cloud.

Organizzazione

Per creare le risorse in una determinata organizzazione, esegui il comando seguente:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

Sostituisci quanto segue:

NAMESPACE con il nome del tuo spazio dei nomi.
ORGANIZATION_ID con il tuo ID organizzazione Google Cloud.

Quando annota lo spazio dei nomi, Config Connector crea risorse nel progetto, nella cartella o nell'organizzazione corrispondenti. Per saperne di più su come Config Connector utilizza gli spazi dei nomi Kubernetes, vedi Spazi dei nomi Kubernetes e progetti Google Cloud.

Verifica dell'installazione

Config Connector esegue tutti i suoi componenti in uno spazio dei nomi denominato cnrm-system. Puoi verificare che i pod siano pronti eseguendo questo comando:

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

Se Config Connector è installato correttamente, l'output è simile al seguente:

pod/cnrm-controller-manager-0 condition met

Upgrade di Config Connector

Per eseguire l'upgrade di Config Connector, scarica e installa la versione più recente dell'operatore Config Connector:

gsutil cp gs://configconnector-operator/latest/release-bundle.tar.gz release-bundle.tar.gz
tar zxvf release-bundle.tar.gz
kubectl apply -f operator-system/configconnector-operator.yaml

Disinstallazione di Config Connector

Utilizza kubectl delete per rimuovere i CRD di Config Connector insieme ai componenti del controller:

kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com \
    --wait=true

Per disinstallare l'operatore Config Connector, esegui questo comando:

kubectl delete -f operator-system/configconnector-operator.yaml  --wait=true

Passaggi successivi

Ulteriori informazioni sulla scelta di un tipo di installazione.
Scopri come risolvere i problemi di Config Connector.