Instala con el complemento de GKE
En esta página, se describe cómo instalar Config Connector en un clúster de Google Kubernetes Engine (GKE) mediante el complemento de Config Connector.
Para obtener detalles sobre cada opción de instalación, con sus ventajas y desventajas, ver Elige un tipo de instalación.
Antes de comenzar
Antes de comenzar, asegúrate de haber realizado las siguientes tareas:
- Habilita la API de Google Kubernetes Engine. Habilitar la API de Google Kubernetes Engine
- Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta
gcloud components update
para obtener la versión más reciente.
Selecciona o crea un proyecto de Google Cloud para instalar Config Connector.
Si ya usaste Config Connector instalado manualmente desinstálalo antes de instalar el complemento de Config Connector:
Instala el complemento de Config Connector
Para usar el complemento de Config Connector, crea un clúster de GKE nuevo o habilítalo en un clúster existente. Después de instalar el complemento de Config Connector, debes configurar la instalación de Config Connector con las Cuentas de servicio de Google y los espacios de nombres.
Requisitos
El complemento Config Connector tiene los siguientes requisitos:
Debes usar una versión de GKE de lo siguiente:
- 1.15.11-gke.5 y posteriores
- 1.16.8-gke.8 y posteriores
- 1.17.4-gke.5 y posteriores
Debes habilitar un grupo de Workload Identity y Kubernetes Engine Monitoring en los clústeres en los que habilites Config Connector.
Configura un clúster de GKE
Puedes usar el complemento de Config Connector en un clúster nuevo o existente.
Crea un clúster nuevo con el complemento de Config Connector habilitado
Puedes crear un clúster de GKE con la CLI de gcloud o la consola de Google Cloud.
gcloud
Para crear un clúster con Google Cloud CLI, ejecuta el siguiente comando: :
gcloud container clusters create CLUSTER_NAME \
--release-channel CHANNEL \
--addons ConfigConnector \
--workload-pool=PROJECT_ID.svc.id.goog \
--logging=SYSTEM \
--monitoring=SYSTEM
Reemplaza lo siguiente:
- CLUSTER_NAME por el nombre de tu clúster de GKE.
- CHANNEL por un canal de versiones de GKE, se admiten
rapid
yregular
. - PROJECT_ID por el ID del proyecto de Google Cloud
Consola de Google Cloud
Para crear un clúster con la consola de Google Cloud, sigue estos pasos:
Dirígete al menú de Google Kubernetes Engine en la consola de Google Cloud.
Haga clic en Crear. Aparecerá la página Crea un clúster de Kubernetes.
Especifica un Nombre para tu clúster.
Elige una Versión principal compatible.
Configura el resto de tu clúster como desees.
En el panel de navegación, en Clúster, haz clic en Seguridad.
Selecciona la casilla de verificación Habilitar Workload Identity.
En el panel de navegación del lado izquierdo, en Clúster, haz clic en Funciones.
Selecciona la casilla de verificación Habilitar Config Connector.
Haga clic en Crear.
Después de crear el clúster, ve a Crea una identidad.
Habilitar el complemento de Config Connector en un clúster existente
Puedes habilitar el complemento de Config Connector en un clúster de GKE existente
con gcloud
o la consola de Google Cloud.
Requisitos previos
Habilitar el complemento de Config Connector en un clúster existente tiene los siguientes requisitos:
- Necesitas un clúster que cumpla con los requisitos para el complemento de Config Connector.
Configura Workload Identity en el clúster en el que quieres instalar Config Connector.
Para habilitar Workload Identity para un grupo de nodos, usa la herramienta de línea de comandos
gcloud
:
gcloud container node-pools update NODE_POOL \
--workload-metadata=GKE_METADATA \
--cluster CLUSTER_NAME
Reemplaza lo siguiente:
- NODE_POOL con el nombre de tu grupo de nodos
- Reemplaza CLUSTER_NAME por el nombre del clúster.
Habilita el complemento de Config Connector
Puedes habilitar el complemento de Config Connector en un clúster de GKE existente con la CLI de Google Cloud o la consola de Google Cloud.
gcloud
Para habilitar el complemento de Config Connector en un clúster de GKE existente usa Google Cloud CLI:
gcloud container clusters update CLUSTER_NAME \
--update-addons ConfigConnector=ENABLED
Reemplaza CLUSTER_NAME por el nombre de tu clúster de GKE.
Consola de Google Cloud
Dirígete al menú de Google Kubernetes Engine en la consola de Google Cloud.
Selecciona el clúster en el que deseas instalar Config Connector. Aparecerá la página Detalles del clúster.
En la sección Características, busca la fila de Config Connector y haz clic en
Editar.Selecciona la casilla de verificación Habilitar Config Connector y haz clic en Guardar cambios para actualizar tu clúster.
Crea una identidad
Config Connector crea y administra recursos de Google Cloud mediante la autenticación con una cuenta de servicio de administración de identidades y accesos (IAM) y mediante Workload Identity de GKE para vincular cuentas de servicio de IAM con cuentas de servicio de Kubernetes.
Para crear la identidad, sigue estos pasos:
-
Crea una cuenta de servicio de IAM. Si deseas usar una cuenta de servicio existente, puedes usarla y omitir este paso.
Para crear la cuenta de servicio, usa el siguiente comando: Reemplazagcloud iam service-accounts create SERVICE_ACCOUNT_NAME
SERVICE_ACCOUNT_NAME
por un nombre para tu cuenta de servicio. -
Otorga permisos elevados a la cuenta de servicio de IAM en tu proyecto:
Reemplaza lo siguiente:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --role="roles/editor"
PROJECT_ID
por el ID del proyectoSERVICE_ACCOUNT_NAME
por el nombre de tu cuenta de servicio
-
Crea una vinculación de política de IAM entre la cuenta de servicio de IAM y la cuenta de servicio de Kubernetes predefinida que ejecuta Config Connector:
Reemplaza lo siguiente:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --member="serviceAccount:PROJECT_ID.svc.id.goog[cnrm-system/cnrm-controller-manager]" \ --role="roles/iam.workloadIdentityUser"
SERVICE_ACCOUNT_NAME
por el nombre de tu cuenta de servicioPROJECT_ID
por el ID del proyecto
Si deseas obtener más información para crear cuentas de servicio, consulta Crea y administra cuentas de servicio.
Configuración de Config Connector
A fin de completar la instalación, crea un archivo de configuración para el CustomResource de ConfigConnector
y, luego, aplícalo mediante el comando kubectl apply
. El operador de Config Connector instala
Las CRD de recursos de Google Cloud y los componentes de Config Connector en tu clúster
Para configurar el operador como modo de clúster, completa los siguientes pasos:
-
Copia el siguiente YAML en un archivo llamado
configconnector.yaml
: Reemplaza lo siguiente:# configconnector.yaml apiVersion: core.cnrm.cloud.google.com/v1beta1 kind: ConfigConnector metadata: # the name is restricted to ensure that there is only one # ConfigConnector resource installed in your cluster name: configconnector.core.cnrm.cloud.google.com spec: mode: cluster googleServiceAccount: "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" # Setting `stateIntoSpec` to `Absent` is recommended. It means setting `cnrm.cloud.google.com/state-into-spec` # annotation to `absent` for all Config Connector resources created in the cluster in the future. # It prevents Config Connector from populating unspecified fields into the spec. stateIntoSpec: Absent
SERVICE_ACCOUNT_NAME
por el nombre de tu cuenta de servicioPROJECT_ID
por el ID del proyecto
- Aplica la configuración a tu clúster con
kubectl apply
:kubectl apply -f configconnector.yaml
Especifica en que ubicación crear tus recursos
Config Connector puede organizar los recursos por proyecto, carpeta u organización, de la misma manera que organizarías los recursos con Google Cloud.
Antes de crear recursos con Config Connector, debes configurar dónde crear los recursos. Para determinar dónde crear el recurso, Config Connector usa una anotación en la configuración del recurso o en el espacio de nombres. Para obtener más información, consulta Organiza recursos.
Si no tienes un espacio de nombres para este fin, crea uno conkubectl
.
kubectl create namespace NAMESPACE
Reemplaza NAMESPACE
por el nombre de tu espacio de nombres. Por ejemplo config-connector
.
Selecciona una pestaña para elegir dónde deseas que Config Connector cree recursos.
Proyecto
Para crear recursos en un proyecto determinado, ejecuta el siguiente comando:
kubectl annotate namespace \ NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID
Reemplaza lo siguiente:
NAMESPACE
por tu nombre de espacio de nombres.PROJECT_ID
por el ID del proyecto de Google Cloud
Carpeta
Para crear recursos en una carpeta determinada, ejecuta el siguiente comando:
kubectl annotate namespace \ NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID
Reemplaza lo siguiente:
NAMESPACE
por tu nombre de espacio de nombres.FOLDER_ID
por tu ID de carpeta de Google Cloud.
Organización
Para crear recursos en una organización determinada, ejecuta el siguiente comando:
kubectl annotate namespace \ NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID
Reemplaza lo siguiente:
NAMESPACE
por tu nombre de espacio de nombres.ORGANIZATION_ID
por el ID de la organización de Google Cloud.
Cuando anotas el espacio de nombres, Config Connector crea recursos en el proyecto, la carpeta o la organización correspondiente. Si deseas obtener más información para Config Connector usa los espacios de nombres de Kubernetes, consulta Espacios de nombres de Kubernetes y proyectos de Google Cloud.
Verifica tu instalación
Config Connector ejecuta todos sus componentes en un espacio de nombres llamado cnrm-system
.
Puedes verificar que los Pods estén listos si ejecutas el siguiente comando:
kubectl wait -n cnrm-system \
--for=condition=Ready pod --all
Si Config Connector está instalado correctamente, el resultado es similar al siguiente:
pod/cnrm-controller-manager-0 condition met
Actualiza Config Connector
Google Cloud administra las actualizaciones del complemento de Config Connector de tu clúster.
Los recursos en tu clúster se conservan cada vez que se produce una actualización.
Obtén información sobre cómo Google Cloud administra las actualizaciones del complemento de Config Connector, o bien omite este paso. para obtener la versión más reciente de Config Connector.
Cómo administra Google Cloud las actualizaciones del complemento de Config Connector
La versión de Config Connector que obtiene un clúster de GKE depende completamente en la versión secundaria de GKE del clúster. Por ejemplo:
Versión secundaria de GKE | Versión de Config Connector |
---|---|
1.20 | 1.69.0 |
1.21 | 1.69.0 |
1.22 | 1.71.0 |
1.23 | 1.82.0 |
1.24 | 1.89.0 |
A medida que las versiones califican, Google Cloud vuelve a asignar las versiones menores más recientes de GKE a una versión de Config Connector recién publicada. Esto se hace para todas las versiones secundarias de GKE que son lo suficientemente nuevas para no disponibles en los canales de versiones Normal o Estable.
Dado que la versión de Config Connector que obtiene un clúster depende de la configuración secundaria de GKE, hay dos casos en los que la versión Google Cloud actualiza automáticamente el complemento de Config Connector:
El clúster se actualiza a una nueva versión secundaria de GKE que se asignado a una versión más reciente de Config Connector.
El clúster está en una versión secundaria de GKE que es lo suficientemente nueva como para no deben estar disponibles en los canales de versiones Normal o Estable. Google Cloud reasigna esa versión secundaria de GKE a una nueva Versión de Config Connector.
Cuando Google Cloud reasigna una versión secundaria de GKE y la actualiza clústeres existentes a una nueva versión de Config Connector, se dice que una nueva versión de Config Connector” a esa versión secundaria de GKE.
Google Cloud no lanza versiones nuevas de Config Connector para versiones secundarias de GKE que son lo suficientemente antiguas como para estar disponibles en Las versiones de canales de versiones regulares o estables por motivos de estabilidad, excepto en situaciones de emergencia en las que se detecta un problema generalizado.
Cómo obtener la versión más reciente de Config Connector
Se puede instalar la versión de Config Connector a través del complemento de Config Connector con un retraso significativamente en hasta 12 meses. Si necesitas la versión más reciente de Config Connector versión, te recomendamos cambiar a Controlador de configuración o instalar Config Connector de forma manual y realizar las actualizaciones por su cuenta. Las instrucciones de migración para cada opción son las siguientes:
Para cambiar a Config Controller, sigue las instrucciones de migración de Config Controller para migrar tus recursos existentes de Config Connector a una instancia de Config Controller.
Para instalar Config Connector de forma manual, sigue las instrucciones para cambiar del complemento de Config Connector a la instalación manual.
Desinstalar Config Connector
Para desinstalar Config Connector, completa los siguientes pasos:
Usa
kubectl delete
para quitar las CRD de Config Connector junto con los componentes del controlador:kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com --wait=true
Inhabilita el complemento de Config Connector en tu clúster con gcloud CLI o la consola de Google Cloud:
gcloud
Para inhabilitar el complemento Config Connector con
gcloud
, ejecuta el siguiente comando:gcloud container clusters update CLUSTER_NAME --update-addons ConfigConnector=DISABLED
Reemplaza CLUSTER_NAME por el nombre del clúster que tiene instalado el complemento Config Connector.
Consola de Cloud
Para inhabilitar el complemento de Config Connector desde la consola de Google Cloud, realiza los los siguientes pasos.
Ve a la página de clústeres de Google Kubernetes Engine en la consola de Google Cloud y selecciona el clúster que quieres actualizar.
Haz clic en Editar. Aparecerá la pantalla Editar clústeres.
Haz clic en Complementos.
Selecciona Config Connector y elige Inhabilitado.
Haz clic en Guardar para actualizar tu clúster.
¿Qué sigue?
- Comienza con Config Connector.
- Obtén más información para solucionar problemas de Config Connector.