Synchroniser des objets avec plusieurs espaces de noms

Cette page explique comment utiliser Config Sync pour gérer des espaces de noms et choisir les objets que Config Sync synchronise avec vos espaces de noms.

Les objets de ressources Kubernetes peuvent être à l'échelle du cluster ou de l'espace de noms, en fonction du type de ressource. Vous sélectionnez le cluster en configurant votre client pour qu'il communique avec un cluster spécifique. Vous sélectionnez l'espace de noms en configurant le champ metadata.namespace dans le fichier manifeste d'objet. Config Sync ajoute des fonctionnalités supplémentaires: des sélecteurs de clusters et de namespaces, qui vous permettent de préciser davantage les objets à synchroniser.

Avant de lire cette page, vous devez déjà connaître les concepts Kubernetes suivants:

• Espaces de noms
• Libellés et sélecteurs

À propos de la définition du champ d'application des objets avec Config Sync

Par défaut, lorsque vous installez Config Sync sur un cluster ou comme valeur par défaut pour un parc, Config Sync synchronise tous les objets Kubernetes de votre source de vérité avec les clusters sur lesquels Config Sync est installé ou tous les clusters d'un parc. Toutefois, en définissant la portée des objets sur un cluster ou un espace de noms, vous pouvez contrôler les objets synchronisés avec un cluster ou un espace de noms.

Config Sync propose les méthodes suivantes pour définir le champ d'application de vos objets:

• Configurer des objets à l'échelle d'un cluster avec un sélecteur de cluster
• Configurer des objets à l'échelle d'un cluster avec des libellés de package de parc (aperçu)
• Configurer des objets à l'échelle d'un espace de noms avec un sélecteur d'espace de noms (cette page)

Utiliser des espaces de noms explicites

Nous vous recommandons d'utiliser une déclaration d'espace de noms explicite lors de la configuration de Config Sync, car elle vous permet de gérer les métadonnées d'espace de noms et de supprimer des espaces de noms ultérieurement, si nécessaire.

La valeur par défaut est implicit, mais vous pouvez modifier la stratégie d'espace de noms dans votre objet RootSync ou RepoSync en définissant le champ namespaceStrategy sur explicit. Pour en savoir plus, consultez la section Stratégie d'espace de noms.

À propos des sélecteurs d'espace de noms

Les sélecteurs d'espaces de noms sont une fonctionnalité de Config Sync qui vous permet de déployer des objets de ressources identiques dans plusieurs espaces de noms.

L'utilisation de sélecteurs d'espace de noms est semblable à l'utilisation de sélecteurs de libellés Kubernetes pour mapper un service à un ensemble de pods, mais avec une couche supplémentaire d'indirection. Étant donné que vous ne pouvez pas ajouter de champs personnalisés aux types de ressources existants, vous devez définir votre sélecteur dans un objet NamespaceSelector. Vous faites ensuite référence à ce sélecteur par nom dans une annotation sur les objets que vous souhaitez utiliser.

Pour utiliser des sélecteurs d'espace de noms:

1. Ajoutez ou sélectionnez un libellé existant sur les espaces de noms que vous souhaitez déployer.
2. Définissez un objet de ressource NamespaceSelector dans votre source de vérité. Config Sync ne synchronise pas les objets NamespaceSelector avec votre cluster.
3. Pour chaque objet que vous souhaitez synchroniser avec un ou plusieurs espaces de noms, modifiez la configuration de l'objet pour supprimer le champ metadata.namespace et ajouter l'annotation configmanagement.gke.io/namespace-selector avec une valeur correspondant à l'metadata.name de votre NamespaceSelector.

Les exemples de la section suivante expliquent plus en détail comment définir des objets NamespaceSelector et annoter d'autres objets pour les utiliser.NamespaceSelector

Avant de commencer

• Installer Config Sync
• Créez ou assurez-vous d'avoir accès à une source fiable dans laquelle vous stockez vos fichiers de configuration.
• Si vous ne disposez pas encore d'un ou de plusieurs espaces de noms, créez les espaces de noms auxquels vous souhaitez étendre le champ d'application de vos ressources. Vous pouvez créer l'espace de noms directement dans votre cluster ou dans votre source de vérité.

Utiliser des sélecteurs d'espace de noms

Les sélecteurs d'espace de noms sont définis avec des exigences basées sur l'égalité ou des exigences basées sur des ensembles. Vous pouvez combiner plusieurs exigences.

Exemple de sélecteur d'étiquettes basé sur l'égalité

L'exemple suivant montre comment utiliser des sélecteurs basés sur l'égalité pour sélectionner les espaces de noms auxquels une configuration s'applique:

1. Ajoutez un libellé à un ou plusieurs espaces de noms:

   kubectl label namespace NAMESPACE app=gamestore
   

   Remplacez NAMESPACE par le nom de votre espace de noms.

   Exécutez cette commande pour chaque espace de noms auquel vous souhaitez ajouter une étiquette.

2. Créez un sélecteur d'espace de noms appelé gamestore-selector.

   kind: NamespaceSelector
   apiVersion: configmanagement.gke.io/v1
   metadata:
     name: gamestore-selector
   spec:
     selector:
       matchLabels:
         app: gamestore
   

   Si la configuration d'un autre objet référence ce sélecteur d'espace de noms, elle ne peut être appliquée qu'aux objets des espaces de noms portant le libellé app: gamestore.

3. Un sélecteur d'espace de noms n'a aucun effet tant que vous ne le référencez pas dans une autre configuration. Créez un exemple de quota d'objets qui fait référence au sélecteur d'espace de noms:

   kind: ResourceQuota
   apiVersion: v1
   metadata:
     name: quota
     annotations:
       configmanagement.gke.io/namespace-selector: gamestore-selector
   spec:
     hard:
       pods: "1"
       cpu: "200m"
       memory: "200Mi"
   

   Le quota de ressources n'est créé que dans les espaces de noms portant le libellé app: gamestore.

Exemple de sélecteur d'étiquettes basé sur un ensemble

L'exemple suivant montre comment utiliser des sélecteurs basés sur des ensembles pour exempter les espaces de noms de l'héritage d'objets:

1. Ajoutez un libellé à un ou plusieurs espaces de noms:

   kubectl label namespace NAMESPACE quota-exempt=exempt
   

   Remplacez NAMESPACE par le nom de votre espace de noms.

   Exécutez cette commande pour chaque espace de noms auquel vous souhaitez ajouter une étiquette.

2. Créez un sélecteur d'espace de noms appelé exclude-exempt-namespaces:

   kind: NamespaceSelector
   apiVersion: configmanagement.gke.io/v1
   metadata:
     name: excludes-exempt-namespaces
   spec:
     selector:
       matchExpressions:
         - key: quota-exempt
           operator: NotIn
             values:
               - exempt
   

   Si la configuration d'un autre objet fait référence à ce sélecteur d'espace de noms, cette configuration est appliquée à tous les espaces de noms sauf ceux associés à la paire clé-valeur quota-exempt: exempt.

3. Un sélecteur d'espace de noms n'a aucun effet tant que vous ne le référencez pas dans une autre configuration. Créez un exemple de quota d'objets qui fait référence au sélecteur d'espace de noms:

   kind: ResourceQuota
   apiVersion: v1
   metadata:
     name: quota
     annotations:
       configmanagement.gke.io/namespace-selector: exclude-exempt-namespaces
   spec:
     hard:
       pods: "1"
       cpu: "200m"
       memory: "200Mi"
   

   Le quota de ressources est créé dans tous les espaces de noms, à l'exception de ceux qui comportent la paire clé-valeur quota-exempt: exempt.

Intégration aux champs d'application d'équipe et aux espaces de noms de parc

Les espaces de noms de parc créés dans Google Cloud portent automatiquement le libellé fleet.gke.io/fleet-scope: your-scope. Tous les espaces de noms portent également l'étiquette kubernetes.io/metadata.name: your-namespace Kubernetes. Vous pouvez utiliser ces libellés par défaut pour configurer un sélecteur d'espace de noms afin de sélectionner des espaces de noms de parc.

Le tutoriel sur la location de parc explique plus en détail comment utiliser des sélecteurs d'espace de noms avec des parcs et des champs d'application d'équipe pour gérer sélectivement des objets pour différentes équipes.

Objets à l'échelle d'un espace de noms avec le mode hiérarchique

Bien que les dépôts non structurés soient recommandés pour la plupart des cas d'utilisation, vous pouvez utiliser des sélecteurs d'espace de noms pour définir le champ d'application de vos objets avec un dépôt hiérarchique. L'utilisation des sélecteurs d'espace de noms est la même, mais il existe des limites et des exigences supplémentaires concernant la manière dont vous organisez la configuration de votre espace de noms dans votre source de vérité.

Limites

Lorsque vous utilisez une configuration de sélecteur d'espace de noms avec un dépôt hiérarchique, tenez compte des limites et des exigences suivantes:

• Vous devez stocker tous les fichiers de configuration des espaces de noms et des objets définis à l'échelle d'un espace de noms dans le répertoire namespaces/ du dépôt hiérarchique et ses répertoires descendants.
• Vous devez spécifier explicitement une configuration d'espace de noms dans le sous-répertoire namespaces/NAMESPACE, où NAMESPACE correspond au nom de l'espace de noms. Tous les autres objets de portée d'espace de noms doivent être stockés dans le même sous-répertoire. Si une configuration d'espace de noms est manquante, Config Sync renvoie une erreur KNV1044.
• Les ressources qui référencent un sélecteur d'espace de noms sont appliquées aux espaces de noms qui héritent d'une configuration donnée d'un espace de noms abstrait, quelle que soit la structure du répertoire namespaces/.

Emplacement du sélecteur d'espace de noms

Dans un dépôt hiérarchique, vous pouvez placer une configuration de sélecteur d'espace de noms dans n'importe quel répertoire d'espace de noms abstrait, mais pas dans un répertoire d'espace de noms.

L'exemple d'architecture de dépôt suivant montre les emplacements valides et non valides pour les sélecteurs d'espaces de noms:

namespace-inheritance
...
├── namespaces
│   ├── eng
│   │   ├── gamestore
│   │   │   ├── namespace.yaml
│   │   │   └── ns_selector.yaml  # invalid
│   │   └── ns_selector.yaml  # valid
│   ├── ns_selector.yaml  # valid
│   ├── rnd
│   │   ├── incubator-1
│   │   │   ├── namespace.yaml
│   │   │   └── ns_selector.yaml  # invalid
│   │   └── ns_selector.yaml  # valid

Comme les répertoires namespaces, eng et rnd représentent des espaces de noms abstraits, vous pouvez y ajouter un sélecteur. Toutefois, du fait que les répertoires gamestore et incubator-1 représentent des espaces de noms réels, vous ne pouvez pas y inclure d'objet NamespaceSelector.

Configurer un espace de noms abstrait

Avec un dépôt hiérarchique, vous pouvez éventuellement utiliser des espaces de noms abstraits.

L'exemple suivant montre comment déplacer votre répertoire d'espace de noms dans un espace de noms abstrait contenant des configurations supplémentaires héritées par l'espace de noms:

1. Dans votre dépôt, créez un répertoire d'espace de noms abstrait. Le répertoire d'espace de noms abstrait ne contient aucune configuration pour les espaces de noms, mais les répertoires d'espaces de noms descendants en contiennent.

2. Dans le répertoire d'espace de noms abstrait que vous avez créé, créez une configuration pour un rôle qui accorde des autorisations get et list à tous les objets de n'importe quel espace de noms qui hérite du rôle:

   apiVersion: rbac.authorization.k8s.io/v1
   kind: Role
   metadata:
     name: ROLE_NAME
   rules:
   - apiGroups: [""]
     resources: ["*"]
     verbs: ["get", "list"]
   

   Remplacez ROLE_NAME par le nom du rôle.

3. Créez une configuration pour une liaison de rôle qui lie le rôle à un groupe de messagerie:

   kind: RoleBinding
   apiVersion: rbac.authorization.k8s.io/v1
   metadata:
     name: ROLE_NAME
   subjects:
   - kind: Group
     name: group@example.com
     apiGroup: rbac.authorization.k8s.io
   roleRef:
     kind: Role
     name:  ROLEBINDING_NAME
     apiGroup: rbac.authorization.k8s.io
   

   Remplacez ROLEBINDING_NAME par le nom du rôle.

4. Déplacez la configuration de l'espace de noms que vous avez créée dans la section précédente du répertoire namespaces/ vers le répertoire d'espace de noms abstrait que vous avez créé dans cette section.

Désactiver l'héritage pour les objets

Vous pouvez désactiver de manière sélective l'héritage de toute configuration en définissant le champ hierarchyMode sur none. Les ressources HierarchyConfig sont stockées dans le répertoire system/ du dépôt. Dans l'exemple ci-dessous, l'héritage est désactivé pour les liaisons de rôle:

# system/hierarchy-config.yaml
kind: HierarchyConfig
apiVersion: configmanagement.gke.io/v1
metadata:
  name: rbac
spec:
  resources:
  # Configure role to only be allowed in leaf namespaces.
  - group: rbac.authorization.k8s.io
    kinds: [ "RoleBinding" ]
    hierarchyMode: none