GKE アドオンでのインストール

このページでは、Config Connector アドオンを使用して Google Kubernetes Engine(GKE)クラスタに Config Connector をインストールする方法について説明します。

Google Cloud で GKE を使用している場合は、このアドオンを使用して Config Connector をインストールすることをおすすめします。他のインストール オプションについて詳しくは、インストール タイプの選択をご覧ください。

始める前に

作業を始める前に、次のことを確認してください。

次のいずれかの方法で gcloud のデフォルトの設定を指定します。

  • gcloud init。デフォルトの設定全般を確認する場合に使用します。
  • gcloud config。プロジェクト ID、ゾーン、リージョンを個別に設定する場合に使用します。

gcloud init の使用

エラー One of [--zone, --region] must be supplied: Please specify location を受信した場合は、このセクションの内容を実施します。

  1. gcloud init を実行して、次の操作を行います。

    gcloud init

    リモート サーバーで SSH を使用している場合は、--console-only フラグを指定して、コマンドがブラウザを起動しないようにします。

    gcloud init --console-only
  2. 手順に従って gcloud を承認し、Google Cloud アカウントを使用します。
  3. 新しい構成を作成するか、既存の構成を選択します。
  4. Google Cloud プロジェクトを選択します。
  5. ゾーンクラスタの場合はデフォルトの Compute Engine ゾーン、リージョン クラスタまたは Autopilot クラスタの場合はデフォルトの Compute Engine リージョンを選択します。

gcloud config の使用

  • デフォルトのプロジェクト ID を設定します。
    gcloud config set project PROJECT_ID
  • ゾーンクラスタを使用する場合は、デフォルトのコンピューティング ゾーンを設定します。
    gcloud config set compute/zone COMPUTE_ZONE
  • Autopilot クラスタまたはリージョン クラスタを使用する場合は、デフォルトのコンピューティング リージョンを設定します。
    gcloud config set compute/region COMPUTE_REGION
  • gcloud を最新バージョンに更新します。 
    gcloud components update

Config Connector アドオンのインストール

Config Connector アドオンを使用するには、新しい GKE クラスタを作成するか、既存のクラスタでそれを有効化します。Config Connector アドオンをインストールしたら、Google サービス アカウントと Namespace を使用して Config Connector インストールを構成します。

要件

Config Connector アドオンには次の要件があります。

  • 次の GKE バージョンを使用する必要があります。

    • 1.15.11-gke.5 以降
    • 1.16.8-gke.8 以降
    • 1.17.4-gke.5 以降

  • Config Connector を有効にしたクラスタで、Workload Identity プールKubernetes Engine Monitoring を有効にする必要があります。

GKE クラスタを設定する

Config Connector アドオンは、新規または既存のクラスタで使用できます。

Config Connector アドオンを有効にして新しいクラスタを作成する

GKE クラスタは、gcloud ツールまたは Google Cloud Console を使用して作成できます。

gcloud

gcloud コマンドライン ツールを使用してクラスタを作成するには、次のコマンドを実行します。

gcloud container clusters create CLUSTER_NAME \
    --release-channel CHANNEL \
    --addons ConfigConnector \
    --workload-pool=PROJECT_ID.svc.id.goog \
    --enable-stackdriver-kubernetes

以下を置き換えます。

  • CLUSTER_NAME を GKE クラスタの名前に置き換えます。
  • CHANNELGKE リリース チャンネルに置き換えます。rapidregular がサポートされています。
  • PROJECT_ID は、Google Cloud プロジェクト ID に置き換えます。

Cloud Console

Google Cloud Console でクラスタを作成するには、次の手順を行います。

  1. Cloud Console で Google Kubernetes Engine のメニューに移動します。

    Google Kubernetes Engine のメニューに移動

  2. [作成] をクリックします。[Kubernetes クラスタの作成] ページが表示されます。

  3. クラスタの [名前] を指定します。

  4. サポートされている [マスター バージョン] を選択します。

  5. 必要に応じて残りのクラスタを構成します。

  6. ナビゲーション パネルの [クラスタ] の下の [セキュリティ] をクリックします。

  7. [ワークロード ID を有効にする] チェックボックスをオンにします。

  8. 左側のナビゲーションパネルで、[クラスタ] の下の [機能] をクリックします。

  9. [Config Connector を有効にする] チェックボックスをオンにします。

  10. [作成] をクリックします。

クラスタを作成したら、ID の作成に進みます。

既存のクラスタで Config Connector アドオンを有効にする

gcloud または Google Cloud Console を使用して、既存の GKE クラスタで Config Connector アドオンを有効にできます。

要件

既存のクラスタで Config Connector アドオンを有効にする前提条件は以下のとおりです。

  • Config Connector アドオンの要件を満たすクラスタが必要です。

  • Config Connector をインストールするクラスタに Workload Identity を設定します。

ノードプールで Workload Identity を有効にするには、gcloud コマンドライン ツールを使用します。

gcloud container node-pools update NODE_POOL \
    --workload-metadata=GKE_METADATA \
    --cluster CLUSTER_NAME

以下を置き換えます。

  • NODE_POOL をノードプールの名前に置き換えます。
  • CLUSTER_NAME をクラスタ名に置き換えます。
Config Connector アドオンを有効にする

gcloud コマンドライン ツールまたは Google Cloud Console を使用して、既存の GKE クラスタで Config Connector アドオンを有効にできます。

gcloud

既存の GKE クラスタで Config Connector アドオンを有効にするには、gcloud コマンドライン ツールを使用します。

gcloud container clusters update CLUSTER_NAME \
    --update-addons ConfigConnector=ENABLED

CLUSTER_NAME を GKE クラスタの名前に置き換えます。

Cloud Console

  1. Cloud Console で Google Kubernetes Engine のメニューに移動します。

    Google Kubernetes Engine のメニューに移動

  2. Config Connector をインストールするクラスタを選択します。[クラスタの詳細] ページが表示されます。

  3. [機能] セクションで、Config Connector の行を見つけて [ 編集] をクリックします。

  4. [Config Connector を有効にする] チェックボックスをオンにして、[変更を保存] をクリックし、クラスタを更新します。

ID を作成する

Config Connector は、Identity and Access Management(IAM)サービス アカウントで認証し、GKE の Workload Identity を使用して IAM サービス アカウントを Kubernetes サービス アカウントにバインドすることで、Google Cloud リソースを作成、管理します。

ID を作成するには、次の手順を行います。

  1. IAM サービス アカウントを作成する。既存のサービス アカウントを使用する場合は、そのアカウントを使用してこの手順を省略できます。

    サービス アカウントを作成するには、次のコマンドを使用します。
      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
    SERVICE_ACCOUNT_NAME をサービス アカウントの名前に置き換えます。

    2. サービス アカウントの作成の詳細については、サービス アカウントの作成と管理をご覧ください。

  2. IAM サービス アカウントに、プロジェクトへの昇格した権限を付与します。
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/owner"
    以下を置き換えます。
    • PROJECT_ID: プロジェクト ID。
    • SERVICE_ACCOUNT_NAME: サービス アカウントの名前。
  3. IAM サービス アカウントと、Config Connector が実行する事前定義された Kubernetes サービス アカウントの間の IAM ポリシー バインディングを作成します。
    gcloud iam service-accounts add-iam-policy-binding \
SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --member="serviceAccount:PROJECT_ID.svc.id.goog[cnrm-system/cnrm-controller-manager]" \
    --role="roles/iam.workloadIdentityUser"
    以下を置き換えます。
    • SERVICE_ACCOUNT_NAME: サービス アカウントの名前。
    • PROJECT_ID: プロジェクト ID。

Config Connector を構成する

インストールを完了するには、ConfigConnector CustomResource の構成ファイルを作成し、kubectl apply コマンドを使用してそれを適用します。Config Connector Operator は、Google Cloud Resource CRD と Config Connector コンポーネントをクラスタにインストールします。

演算子を構成するには、次の手順を行います。

  1. 次の YAML ファイルを configconnector.yaml という名前のファイルにコピーします。
    # configconnector.yaml
apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnector
metadata:
  # the name is restricted to ensure that there is only one
  # ConfigConnector resource installed in your cluster
  name: configconnector.core.cnrm.cloud.google.com
spec:
 mode: cluster
 googleServiceAccount: "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com"
    以下を置き換えます。
    • SERVICE_ACCOUNT_NAME: サービス アカウントの名前。
    • PROJECT_ID: プロジェクト ID。
  2. kubectl apply を使用してクラスタに構成を適用します。 
      kubectl apply -f configconnector.yaml

リソースを作成する場所の指定

Config Connector では、プロジェクト、フォルダ、組織別にリソースを編成できます。これは、Google Cloud でリソースを編成するのと同じ方法です。

Config Connector を使用してリソースを作成する前に、リソースを作成する場所を構成する必要があります。Config Connector は、リソースを作成する場所を決定するために、リソース構成または既存の Namespace のアノテーションを使用します。詳細については、リソースの整理をご覧ください。

この目的の Namespace がない場合は、kubectl を使用して Namespace を作成します。
kubectl create namespace NAMESPACE

NAMESPACE を実際の Namespace 名に置き換えます。例: config-connector

タブを選択して、Config Connector がリソースを作成する場所を選びます。

プロジェクト

特定のプロジェクトにリソースを作成するには、次のコマンドを実行します。

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

以下を置き換えます。

  • NAMESPACE は、実際の Namespace 名に置き換えます。
  • PROJECT_ID は、Google Cloud プロジェクト ID に置き換えます。

フォルダ

特定のフォルダにリソースを作成するには、次のコマンドを実行します。

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

以下を置き換えます。

  • NAMESPACE は、実際の Namespace 名に置き換えます。
  • FOLDER_ID は、Google Cloud フォルダ ID に置き換えます。

組織

特定の組織にリソースを作成するには、次のコマンドを実行します。

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

以下を置き換えます。

  • NAMESPACE は、実際の Namespace 名に置き換えます。
  • ORGANIZATION_ID は、Google Cloud 組織 ID に置き換えます。

名前空間にアノテーションを付けると、Config Connector は対応するプロジェクト、フォルダー、または組織にリソースを作成します。Config Connector が Kubernetes Namespace を使用する方法の詳細については、Kubernetes Namespace と Google Cloud プロジェクトをご覧ください。

インストールの確認

Config Connector は、すべてのコンポーネントを cnrm-system という名前の Namespace で実行します。Pod の準備ができていることを確認するには、次のコマンドを実行します。

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

Config Connector が正しくインストールされている場合、出力は次のようになります。

pod/cnrm-controller-manager-0 condition met

Config Connector のアップグレード

Config Connector アドオンは、GKE クラスタとともに新しいマイナー リリースにアップグレードされます。アップグレードが行われるたびに、クラスタ内のリソースが保持されます。

Config Connector のアンインストール

Config Connector をアンインストールするには、次の手順を実行します。

  1. kubectl delete を使用して、コントローラ コンポーネントとともに Config Connector CRD を削除します。

    kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com --wait=true

  2. gcloud ツールまたは Google Cloud Console を使用して、クラスタ内の Config Connector アドオンを無効にします。

    gcloud

    gcloud で Config Connector アドオンを無効にするには、次のコマンドを実行します。

    gcloud container clusters update CLUSTER_NAME --update-addons ConfigConnector=DISABLED

    CLUSTER_NAME は、Config Connector アドオンがインストールされているクラスタの名前に置き換えます。

    Cloud Console

    Google Cloud Console から Config Connector アドオンを無効にするには、次の手順を実行します。

    1. Google Cloud Console の [Google Kubernetes Engine Clusters] ページに移動し、更新するクラスタを選択します。

      Google Kubernetes Engine のメニューに移動

    2. [編集] をクリックします。[クラスタの編集] 画面が表示されます。

    3. [アドオン] をクリックします。

    4. [Config Connector] を選択し、[Disabled] を選択します。

    5. [保存] をクリックしてクラスタを更新します。

トラブルシューティング

以下のセクションでは、Config Connector のインストールに関するトラブルシューティングのヒントを紹介します。

Config Connector アドオンのインストールに関するトラブルシューティング

Config Connector アドオンを正常に有効にできない場合は、Node version 1.15.x-gke.x s unsupported というエラー メッセージが表示されます。このエラーを解決するには、GKE クラスタのバージョンが要件を満たしていることを確認します。クラスタのすべての有効なバージョンを取得するには、次のコマンドを実行します。

gcloud container get-server-config --format "yaml(validMasterVersions)" \
    --zone ZONE"

ZONE を Compute Engine ゾーンに置き換えます。

要件を満たすリストからバージョンを選択します。エラー メッセージは、Workload Identity または Kubernetes Engine Monitoring が無効になっている場合にも表示されます。エラーを解決するには、これらの機能を有効になっていることを確認してください。

リソース調整の権限に関するトラブルシューティング

Google Cloud でリソースを正常に調整できない場合は、ログには The caller does not have permission, forbidden. というエラー メッセージが含まれます。

このエラーを調査する手順は次のとおりです。

  1. cloud-sdk イメージでシェルを開きます。
    kubectl run -it \
    --image google/cloud-sdk:slim \
    --serviceaccount cnrm-controller-manager \
    --namespace cnrm-system \
    workload-identity-test
  2. ID を一覧表示します。 
    gcloud auth list

  3. 表示された ID が、リソースにバインドされた Google サービス アカウントと一致していることを確認します。

    ID ではなく、Compute Engine のデフォルトのサービス アカウントが表示されている場合は、GKE クラスタまたはノードプール(あるいは、それらの両方)で Workload Identity が有効になっていません。

  4. Google サービス アカウントに、Google Cloud リソースの管理に必要なロールがあることを確認します。

次のステップ