Config Sync 概览
Config Sync 是一项 GitOps 服务,作为 Google Kubernetes Engine (GKE) Enterprise 版本的一部分提供。Config Sync 基于开源核心构建,可让集群运维人员和平台管理员从可信来源部署配置。该服务可以灵活地支持一个或多个集群或每个集群或命名空间任意数量的代码库。这些集群可以位于混合云或多云环境中。
Config Sync 适用于 Google Kubernetes Engine (GKE) Enterprise 版本许可。
Config Sync 的优势
GitOps 被视为组织按规模管理 Kubernetes 配置的通用最佳实践。所有 GitOps 工具都具有提升稳定性,提高可读性、一致性、审核和安全性等优势。Config Sync 是 Google Kubernetes Engine (GKE) 企业版的一部分,具有一系列独特的优势:
- 与 Google Kubernetes Engine (GKE) Enterprise 版本集成:平台管理员可以在 Google Cloud 控制台中点击几下、使用 Terraform 或在连接到舰队的任何集群上使用 Google Cloud CLI 安装 Config Sync。该服务已预先配置为与其他 Google Kubernetes Engine (GKE) 企业版和 Google Cloud 服务(如 Policy Controller、Workload Identity 和 Cloud Monitoring)搭配使用。
- 内置可观测性:Config Sync 具有在 Google Cloud 控制台中内置的可观测性信息中心,无需额外设置。平台管理员可以通过访问 Google Cloud 控制台或使用 Google Cloud CLI 查看其同步和协调的状态。
- 多云和混合支持:在每个正式版发布之前,在多个云服务提供商之间和混合环境中测试 Config Sync。如需查看支持矩阵,请参阅 Google Kubernetes Engine (GKE) 企业版版本和升级支持。
了解 Config Sync
下图简要介绍了团队如何将他们的集群同步到单个根代码库(由管理员管理)和多个命名空间代码库(由应用运维人员管理):
中心管理员管理组织的集中式基础架构,并对集群和组织中的所有命名空间实施政策。负责管理实时部署的应用运维人员将配置应用于其处理的命名空间中的应用。
配置集群
借助 Config Sync,您可以创建一组通用的配置和政策(例如 Policy Controller 限制条件),并在已注册和已连接的集群中根据单一可靠来源一致地应用它们。
您可以通过 GitOps 式工具将配置更改编排部署到集群舰队,而无需手动重复运行 kubectl apply 命令。如需了解详情,请参阅使用 Config Sync 进行安全发布。虽然本教程和其他教程使用 Git 代码库作为可靠来源,但也可以使用 OCI 映像或 Helm 图表。
配置命名空间
使用 Config Sync 配置命名空间可为您提供以下功能:
- 您可以通过跨已注册和已连接的集群,一致地使用使用命名空间范围的政策(例如 RBAC 角色)来预配 Kubernetes 命名空间。命名空间范围的政策可让您更轻松地在集群中实现和管理多租户。
- 将政策应用于多个相关的命名空间,而无需复制配置,并且能够替换或扩展一个指定命名空间或一组命名空间的配置,从而更轻松地跨租户应用一致的政策。