Instalar con el complemento de GKE


En esta página, se describe cómo instalar Config Connector en un clúster de Google Kubernetes Engine (GKE) mediante el complemento de Config Connector.

Si usas GKE en Google Cloud, te recomendamos instalar Config Connector mediante este complemento. Para obtener detalles sobre otras opciones de instalación, consulta Elige un tipo de instalación.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

Establece la configuración de gcloud predeterminada mediante uno de los siguientes métodos:

  • Usa gcloud init si deseas ver una explicación sobre cómo configurar parámetros predeterminados.
  • Usa gcloud config para establecer el ID, la zona y la región del proyecto de manera individual.

Usa gcloud init

Si recibes el error One of [--zone, --region] must be supplied: Please specify location, completa esta sección.

  1. Ejecuta gcloud init y sigue las instrucciones:

    gcloud init

    Si usas SSH en un servidor remoto, usa la marca --console-only para evitar que el comando abra un navegador:

    gcloud init --console-only
  2. Sigue las instrucciones a fin de autorizar a gcloud para que use tu cuenta de Google Cloud.
  3. Crea una configuración nueva o selecciona una existente.
  4. Elige un proyecto de Google Cloud.
  5. Elige una zona predeterminada de Compute Engine para clústeres zonales o una región para clústeres regionales o de Autopilot.

Usa gcloud config

  • Establece tu ID del proyecto predeterminado:
    gcloud config set project PROJECT_ID
  • Si trabajas con clústeres zonales, establece tu zona de procesamiento predeterminada:
    gcloud config set compute/zone COMPUTE_ZONE
  • Si trabajas con clústeres de Autopilot o regionales, configura tu región de procesamiento predeterminada:
    gcloud config set compute/region COMPUTE_REGION
  • Actualiza gcloud a la versión más reciente:
    gcloud components update

Instala el complemento de Config Connector

Para usar el complemento de Config Connector, crea un clúster de GKE nuevo o habilítalo en un clúster existente. Después de instalar el complemento de Config Connector, debes configurar la instalación de Config Connector con las Cuentas de servicio de Google y los espacios de nombres.

Requisitos

El complemento Config Connector tiene los siguientes requisitos:

Configura un clúster de GKE

Puedes usar el complemento de Config Connector en un clúster nuevo o existente.

Crea un clúster nuevo con el complemento de Config Connector habilitado

Puedes crear un clúster de GKE mediante la herramienta de gcloud o Google Cloud Console.

gcloud

Para crear un clúster con la herramienta de línea de comandos de gcloud, ejecuta el siguiente comando:

gcloud container clusters create CLUSTER_NAME \
    --release-channel CHANNEL \
    --addons ConfigConnector \
    --workload-pool=PROJECT_ID.svc.id.goog \
    --enable-stackdriver-kubernetes

Reemplaza lo siguiente:

  • CLUSTER_NAME por el nombre de tu clúster de GKE.
  • CHANNEL por un canal de versiones de GKE, se admiten rapid y regular.
  • PROJECT_ID por el ID del proyecto de Google Cloud

Cloud Console

Para crear un clúster con Google Cloud Console, sigue estos pasos:

  1. Ve al menú de Google Kubernetes Engine en Cloud Console.

    Ir al menú Google Kubernetes Engine

  2. Haga clic en Crear. Aparecerá la página Crea un clúster de Kubernetes.

  3. Especifica un Nombre para tu clúster.

  4. Elige una Versión principal compatible.

  5. Configura el resto de tu clúster como desees.

  6. En el panel de navegación, en Clúster, haz clic en Seguridad.

  7. Selecciona la casilla de verificación Habilitar Workload Identity.

  8. En el panel de navegación del lado izquierdo, en Clúster, haz clic en Funciones.

  9. Selecciona la casilla de verificación Habilitar Config Connector.

  10. Haga clic en Crear.

Después de crear el clúster, ve a Crea una identidad.

Habilitar el complemento de Config Connector en un clúster existente

Puedes habilitar el complemento de Config Connector en un clúster de GKE existente con gcloud o Google Cloud Console.

Requisitos previos

Habilitar el complemento de Config Connector en un clúster existente tiene los siguientes requisitos:

  • Necesitas un clúster que cumpla con los requisitos para el complemento de Config Connector.
  • Configura Workload Identity en el clúster en el que quieres instalar Config Connector.

A fin de habilitar Workload Identity para un grupo de nodos, usa la herramienta de línea de comandos de gcloud:

gcloud container node-pools update NODE_POOL \
    --workload-metadata=GKE_METADATA \
    --cluster CLUSTER_NAME

Reemplaza lo siguiente:

  • NODE_POOL con el nombre de tu grupo de nodos
  • Reemplaza CLUSTER_NAME por el nombre del clúster.
Habilita el complemento de Config Connector

Puedes habilitar el complemento de Config Connector en un clúster de GKE existente con la herramienta de línea de comandos de gcloud o Google Cloud Console.

gcloud

Para habilitar el complemento de Config Connector en un clúster de GKE existente, usa la herramienta de línea de comandos de gcloud:

gcloud container clusters update CLUSTER_NAME \
    --update-addons ConfigConnector=ENABLED

Reemplaza CLUSTER_NAME por el nombre de tu clúster de GKE.

Cloud Console

  1. Ve al menú de Google Kubernetes Engine en Cloud Console.

    Ir al menú Google Kubernetes Engine

  2. Selecciona el clúster en el que deseas instalar Config Connector. Aparecerá la página Detalles del clúster.

  3. En la sección Características, busca la fila de Config Connector y haz clic en Editar.

  4. Selecciona la casilla de verificación Habilitar Config Connector y haz clic en Guardar cambios para actualizar tu clúster.

Crea una identidad

Config Connector crea y administra recursos de Google Cloud mediante la autenticación con una cuenta de servicio de administración de identidades y accesos (IAM) y mediante Workload Identity de GKE para vincular cuentas de servicio de IAM con cuentas de servicio de Kubernetes.

Para crear la identidad, sigue estos pasos:

  1. Crea una cuenta de servicio de IAM. Si deseas usar una cuenta de servicio existente, puedes usarla y omitir este paso.

    Para crear la cuenta de servicio, usa el siguiente comando:
      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
    Reemplaza SERVICE_ACCOUNT_NAME por un nombre para la cuenta de servicio.
  2. Si deseas obtener más información para crear cuentas de servicio, consulta Crea y administra cuentas de servicio.

  3. Otorga permisos elevados a la cuenta de servicio de IAM en tu proyecto:
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \
        --role="roles/owner"
    Reemplaza lo siguiente:
    • PROJECT_ID por el ID del proyecto
    • SERVICE_ACCOUNT_NAME por el nombre de tu cuenta de servicio
  4. Crea una vinculación de política de IAM entre la cuenta de servicio de IAM y la cuenta de servicio de Kubernetes predefinida que ejecuta Config Connector:
    gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[cnrm-system/cnrm-controller-manager]" \
        --role="roles/iam.workloadIdentityUser"
    Reemplaza lo siguiente:
    • SERVICE_ACCOUNT_NAME por el nombre de tu cuenta de servicio
    • PROJECT_ID por el ID del proyecto

Configuración de Config Connector

Para completar la instalación, crea un archivo de configuración para el CustomResource de ConfigConnector y, luego, aplícalo con el comando kubectl apply. El operador de Config Connector instala los componentes de CRD de Google Cloud y los componentes de Config Connector en tu clúster.

Para configurar el operador, completa los siguientes pasos:

  1. Copia el siguiente YAML en un archivo llamado configconnector.yaml:
    # configconnector.yaml
    apiVersion: core.cnrm.cloud.google.com/v1beta1
    kind: ConfigConnector
    metadata:
      # the name is restricted to ensure that there is only one
      # ConfigConnector resource installed in your cluster
      name: configconnector.core.cnrm.cloud.google.com
    spec:
     mode: cluster
     googleServiceAccount: "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
    
    Reemplaza lo siguiente:
    • SERVICE_ACCOUNT_NAME por el nombre de tu cuenta de servicio
    • PROJECT_ID por el ID del proyecto
  2. Aplica la configuración a tu clúster con kubectl apply:
      kubectl apply -f configconnector.yaml

Especifica en que ubicación crear tus recursos

Config Connector puede organizar los recursos por proyecto, carpeta u organización, de la misma manera que organizarías los recursos con Google Cloud.

Antes de crear recursos con Config Connector, debes configurar dónde crear los recursos. Para determinar dónde crear el recurso, Config Connector usa una anotación en la configuración del recurso o en el espacio de nombres. Para obtener más información, consulta Organiza recursos.

Si no tienes un espacio de nombres para este fin, crea uno con kubectl.
kubectl create namespace NAMESPACE

Reemplaza NAMESPACE por el nombre de tu espacio de nombres. Por ejemplo config-connector.

Selecciona una pestaña para elegir dónde deseas que Config Connector cree recursos.

Proyecto

Para crear recursos en un proyecto determinado, ejecuta el siguiente comando:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

Reemplaza lo siguiente:

  • NAMESPACE por tu nombre de espacio de nombres.
  • PROJECT_ID por el ID del proyecto de Google Cloud

Carpeta

Para crear recursos en una carpeta determinada, ejecuta el siguiente comando:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

Reemplaza lo siguiente:

  • NAMESPACE por tu nombre de espacio de nombres.
  • FOLDER_ID por tu ID de carpeta de Google Cloud.

Organización

Para crear recursos en una organización determinada, ejecuta el siguiente comando:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

Reemplaza lo siguiente:

  • NAMESPACE por tu nombre de espacio de nombres.
  • ORGANIZATION_ID por el ID de la organización de Google Cloud.

Cuando anotas el espacio de nombres, Config Connector crea recursos en el proyecto, la carpeta o la organización correspondiente. Si deseas obtener más información para Config Connector usa los espacios de nombres de Kubernetes, consulta Espacios de nombres de Kubernetes y proyectos de Google Cloud.

Verifica tu instalación

Config Connector ejecuta todos sus componentes en un espacio de nombres llamado cnrm-system. Puedes verificar que los Pods estén listos si ejecutas el siguiente comando:

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

Si Config Connector está instalado correctamente, el resultado es similar al siguiente:

pod/cnrm-controller-manager-0 condition met

Actualiza Config Connector

El complemento de Config Connector se actualizará a una versión secundaria nueva con tu clúster de GKE. Los recursos de tu clúster se conservan cada vez que se produce una actualización.

Desinstalar Config Connector

Para desinstalar Config Connector, completa los siguientes pasos:

  1. Usa kubectl delete para quitar las CRD de Config Connector junto con los componentes del controlador:

    kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com --wait=true
    
  2. Inhabilita el complemento de Config Connector en tu clúster con la herramienta de gcloud o Google Cloud Console:

    gcloud

    Para inhabilitar el complemento Config Connector con gcloud, ejecuta el siguiente comando:

    gcloud container clusters update CLUSTER_NAME --update-addons ConfigConnector=DISABLED
    

    Reemplaza CLUSTER_NAME por el nombre del clúster que tiene instalado el complemento Config Connector.

    Cloud Console

    Para inhabilitar el complemento Config Connector de Google Cloud Console, realiza los siguientes pasos.

    1. Ve a la página de clústeres de Google Kubernetes Engine en Google Cloud Console y selecciona el clúster que deseas actualizar.

      Ir al menú Google Kubernetes Engine

    2. Haz clic en Editar. Aparecerá la pantalla Editar clústeres.

    3. Haz clic en Complementos.

    4. Selecciona Config Connector y elige Inhabilitado.

    5. Haz clic en Guardar para actualizar tu clúster.

Soluciona problemas

En las siguientes secciones, se proporcionan sugerencias para solucionar problemas relacionados con la instalación de Config Connector.

Solución de problemas de las instalaciones de complementos de Config Connector

Si no puedes habilitar de forma correcta el complemento de Config Connector, aparecerá el siguiente mensaje de error: Node version 1.15.x-gke.x s unsupported. Para corregir el error, verifica que la versión del clúster de GKE cumpla con los requisitos. Para obtener todas las versiones válidas de los clústeres, ejecuta el siguiente comando.

gcloud container get-server-config --format "yaml(validMasterVersions)" \
    --zone ZONE

Reemplaza ZONE por la zona de Compute Engine.

Elige una versión de la lista que cumpla con los requisitos. El mensaje de error también aparece si están inhabilitados Workload Identity o Kubernetes Engine Monitoring. Asegúrate de que estén habilitadas estas funciones para corregir el error.

Solución de problemas de permisos para conciliaciones de recursos

Si Config Connector no puede conciliar los recursos de forma correcta y los registros contienen el mensaje de error The caller does not have permission, forbidden., es posible que Workload Identity no esté habilitada en tu clúster de GKE o grupo de nodos.

Para realizar una investigación, completa los siguientes pasos:

  1. Guarda la configuración del pod siguiente como wi-test.yaml:
    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: cnrm-system
    spec:
      containers:
      - image: google/cloud-sdk:slim
        name: workload-identity-test
        command: ["sleep","infinity"]
      serviceAccountName: cnrm-controller-manager
    
  2. Crea el pod en tu clúster de GKE:
    kubectl apply -f wi-test.yaml
    
  3. Abre una sesión interactiva en el Pod:
    kubectl exec -it workload-identity-test \
      --namespace cnrm-system \
      -- /bin/bash
    
  4. Indica tu identidad:
    gcloud auth list
    
  5. Verifica que la identidad detallada coincida con la cuenta de servicio de Google vinculada con tus recursos.

    Si, en cambio, ves la cuenta de servicio predeterminada de Compute Engine, significa que Workload Identity no está habilitada en tu clúster de GKE o grupo de nodos.

  6. Sal de la sesión interactiva y, luego, borra el pod de tu clúster de GKE:
    kubectl delete pod workload-identity-test \
    --namespace cnrm-system
    

¿Qué sigue?