Guía de inicio rápido: Administra recursos con Config Controller

Aprende a crear una instancia de Config Controller que venga preinstalada con Config Connector, Policy Controller y Config Sync. A continuación, completa las siguientes tareas para aprender a usar tu instancia:

Usa Config Connector para crear y administrar un recurso de Google Cloud.
Crea una restricción de Policy Controller para aplicar una política y detectar un incumplimiento antes de que se implemente.
Configura GitOps configurando el Sincronizador de configuración para sincronizar desde un repositorio de muestra que contenga un recurso de Google Cloud.

Antes de comenzar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the KRM, GKE, GKE Enterprise, Resource Manager, and Service Usage APIs:

gcloud services enable krmapihosting.googleapis.com  container.googleapis.com  anthos.googleapis.com  cloudresourcemanager.googleapis.com  serviceusage.googleapis.com

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the KRM, GKE, GKE Enterprise, Resource Manager, and Service Usage APIs:

gcloud services enable krmapihosting.googleapis.com  container.googleapis.com  anthos.googleapis.com  cloudresourcemanager.googleapis.com  serviceusage.googleapis.com

Crea una instancia de Config Controller

En la terminal, crea una instancia de Autopilot Config Controller:

gcloud anthos config controller create cc-example \
    --location=us-central1 \
    --full-management

Esta operación puede tardar hasta 15 minutos en completarse.

Esta es la salida:

Created instance [cc-example].
Fetching cluster endpoint and auth data.
kubeconfig entry generated for krmapihost-cc-example.

Para configurar kubectl para que se comunique con el extremo de Config Controller, obtén las credenciales de autenticación y la información del extremo requeridas:
```
gcloud anthos config controller get-credentials cc-example \
    --location us-central1
```

Para verificar que se haya creado tu instancia, consulta la lista de instancias de Config Controller:

gcloud anthos config controller list --location=us-central1

Esta es la salida:

NAME                 LOCATION                 STATE
cc-example           us-central1              RUNNING

Otorga el permiso necesario a Config Controller

En esta sección, otorgarás permiso al controlador de configuración para administrar los recursos de Google Cloud:

Configura una variable de entorno para el correo electrónico de tu cuenta de servicio:

export SA_EMAIL="$(kubectl get ConfigConnectorContext -n config-control \
    -o jsonpath='{.items[0].spec.googleServiceAccount}' 2> /dev/null)"

Crea la vinculación de políticas:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:${SA_EMAIL}" \
    --role "roles/owner" \
    --project PROJECT_ID

Reemplaza PROJECT_ID con el ID del proyecto.

El resultado es similar a este:

Updated IAM policy for project [PROJECT_ID].
auditConfigs:
- auditLogConfigs:
  - logType: ADMIN_READ
  - logType: DATA_READ
  - logType: DATA_WRITE
  service: gkehub.googleapis.com
# Remainder of output omitted

Usa tu instancia de Config Controller

En las siguientes secciones, se presentan las formas en que puedes usar tu instancia de Config Controller.

Crea un recurso de Google Cloud con Config Connector

Con tu instancia de Config Controller, puedes aprovechar Config Connector para administrar muchos servicios y recursos de Google Cloud con las herramientas y las APIs de Kubernetes. En esta sección, usarás Config Controller para crear un recurso PubSubTopic.

Para crear un tema de Pub/Sub con Config Connector, completa los siguientes pasos:

Usa Config Connector para habilitar la API de Pub/Sub:
1. Con tu editor de texto preferido, crea un archivo llamado enable-pubsub.yaml y copia el siguiente archivo YAML en él:
```
# enable-pubsub.yaml
apiVersion: serviceusage.cnrm.cloud.google.com/v1beta1
kind: Service
metadata:
  name: pubsub.googleapis.com
  namespace: config-control
spec:
  projectRef:
    external: projects/PROJECT_ID
```
  Reemplaza PROJECT_ID con el ID del proyecto.
2. Para habilitar la API de Pub/Sub, aplica el manifiesto a tu clúster:
```
kubectl apply -f enable-pubsub.yaml
```
  Habilitar esta API puede tardar varios minutos.

Usa Config Connector para crear un tema de Pub/Sub:

Crea un archivo llamado pubsub-topic.yaml y copia el siguiente archivo YAML en él:

# pubsub-topic.yaml
apiVersion: pubsub.cnrm.cloud.google.com/v1beta1
kind: PubSubTopic
metadata:
  annotations:
    cnrm.cloud.google.com/project-id: PROJECT_ID
  labels:
    label-one: "value-one"
  name: example-topic
  namespace: config-control

Crea el tema de Pub/Sub:
```
kubectl apply -f pubsub-topic.yaml
```

Para verificar que el controlador de configuración haya creado tu recurso en Google Cloud, consulta la lista de temas de Pub/Sub:

gcloud pubsub topics list

El resultado es similar a este:

---
name: projects/PROJECT_ID/topics/start-instance-event
---
labels:
  label-one: value-one
  managed-by-cnrm: 'true'
name: projects/PROJECT_ID/topics/example-topic

Aplica una política con Policy Controller

Tu instancia de Config Controller te permite usar Policy Controller y restricciones de Policy Controller. Como parte de la instalación de Policy Controller, Config Controller instala automáticamente la biblioteca de plantillas de restricciones. Puedes usar las plantillas de esta biblioteca para aplicar una variedad de controles comunes de seguridad y cumplimiento en tus instancias de Config Controller.

En esta sección, crearás una restricción con la plantilla de restricción GCPStorageLocationConstraintV1. Esta plantilla te permite restringir la ubicación en la que puedes crear buckets de Cloud Storage. La restricción que creas con esta plantilla limita la ubicación a us-central1. Te recomendamos que uses esta restricción para asegurarte de que tus buckets se creen en una región que ofrezca el mejor precio y rendimiento.

Para crear la restricción, haz lo siguiente:

Crea un archivo llamado bucket-constraint.yaml y copia el siguiente archivo YAML en él:

# bucket-constraint.yaml
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: GCPStorageLocationConstraintV1
metadata:
  name: storage-only-in-us-central1
spec:
  match:
    kinds:
    - apiGroups:
      - storage.cnrm.cloud.google.com
      kinds:
      - StorageBucket
  parameters:
    locations:
    - us-central1

Crea la restricción:

kubectl apply -f bucket-constraint.yaml

Esta es la salida:

gcpstoragelocationconstraintv1.constraints.gatekeeper.sh/storage-only-in-us-central1 created`

Para demostrar que la restricción funciona, intenta usar Config Connector para crear un recurso StorageBucket en asia-southeast1:

Crea un archivo llamado asia-storage-bucket.yaml y copia el siguiente archivo YAML en él:

# asia-storage-bucket.yaml
apiVersion: storage.cnrm.cloud.google.com/v1beta1
kind: StorageBucket
metadata:
  name: bucket-in-disallowed-location
  namespace: config-control
spec:
  location: asia-southeast1

Intenta crear el bucket de Cloud Storage:

kubectl apply -f asia-storage-bucket.yaml

Esta es la salida:

Error from server (Forbidden): error when creating "STDIN": admission webhook "validation.gatekeeper.sh" denied the request: [storage-only-in-us-central1] Cloud Storage bucket <bucket-in-disallowed-location> uses a disallowed location <asia-southeast1>, allowed locations are ["us-central1"]

Configura GitOps con el Sincronizador de configuración

El Sincronizador de configuración es un servicio de GitOps que te permite sincronizar tu instancia de Config Controller con configuraciones, políticas y recursos de Google Cloud almacenados en un repositorio de Git, una imagen de OCI o un repositorio de Helm. Debido a que el Sincronizador de configuración concilia de forma continua el estado del Config Controller con los archivos de configuración de tu fuente, puedes ayudar a garantizar que tus instancias tengan una configuración coherente.

En esta sección, sincronizarás tu instancia de Config Controller con un repositorio público de GitHub. Este repositorio contiene otro recurso PubSubTopic. Cuando sincronizas tu instancia desde este repositorio, el recurso se crea y aplica automáticamente a tu instancia. Puedes crear tus recursos con el Sincronizador de configuración (en lugar de aplicar el recurso directamente) si deseas usar un flujo de trabajo de GitOps.

Para sincronizar desde GitHub, configura Cloud NAT. Debes hacerlo porque tu instancia de Config Controller está respaldada por un clúster privado de Google Kubernetes Engine (GKE) de la edición Enterprise, y los nodos de clúster privados no tienen acceso saliente a Internet:

Crea un router de Cloud NAT. Necesitas este router para configurar tu puerta de enlace de NAT.

gcloud compute routers create cc-nat-router \
    --network default \
    --region us-central1

El resultado es similar a este:

Creating router [cc-nat-router]...done.
NAME           REGION       NETWORK
cc-nat-router  us-central1  default

Configura una puerta de enlace NAT en el router que creaste en el paso anterior:

gcloud compute routers nats create cc-nat-config \
    --router-region us-central1 \
    --router cc-nat-router \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

Esta es la salida:

Creating NAT [cc-nat-config] in router [cc-nat-router]...done.

Para configurar tu instancia de Config Controller para que se sincronice desde un repositorio de muestra, crea un archivo llamado cc-rootsync.yaml y copia el siguiente archivo YAML en él:

# cc-rootsync.yaml
apiVersion: configsync.gke.io/v1beta1
kind: RootSync
metadata:
  name: root-sync
  namespace: config-management-system
spec:
  sourceFormat: unstructured
  git:
    repo: https://github.com/GoogleCloudPlatform/anthos-config-management-samples
    branch: main
    dir: config-controller-quickstart
    auth: none

Aplica la configuración:
```
kubectl apply -f cc-rootsync.yaml
```
Después de que tu instancia se sincronice desde el repositorio, el Sincronizador de configuración crea el tema de Pub/Sub y lo aplica a tu instancia de Config Controller.

Verifica que el Sincronizador de configuración esté sincronizando el repositorio de Git con tu instancia de controlador de configuración:

nomos status --contexts gke_PROJECT_ID_us-central1_krmapihost-cc-example

El resultado es similar a este:

*gke_PROJECT_ID_us-central1_krmapihost-cc-example
--------------------
<root>:root-sync                         https://github.com/GoogleCloudPlatform/anthos-config-management-samples/config-controller-quickstart@main
SYNCED @ 2023-01-10 18:31:02 +0000 UTC   715b4295d3eac07b057cce2543275c1ee104cad8
Managed resources:
   NAMESPACE        NAME                                                               STATUS   SOURCEHASH
   config-control   pubsubtopic.pubsub.cnrm.cloud.google.com/pubsub-topic-sample-sync  Current   715b429
   config-control   service.serviceusage.cnrm.cloud.google.com/pubsub.googleapis.com   Current   715b429

Si no ves este resultado, espera unos minutos y vuelve a intentarlo.

Verifica que el controlador de configuración haya creado tu recurso:

gcloud pubsub topics list

El resultado es similar a este:

name: projects/PROJECT_ID/topics/start-instance-event
---
labels:
  managed-by-cnrm: 'true'
name: projects/PROJECT_ID/topics/sample-topic
---
labels:
  managed-by-cnrm: 'true'
name: projects/PROJECT_ID/topics/pubsub-topic-sample-sync
---
labels:
  label-one: value-one
  managed-by-cnrm: 'true'
name: projects/PROJECT_ID/topics/example-topic

En este resultado, puedes ver el Pub/Sub que creaste en la sección Crea una instancia de Config Controller y el que creaste sincronizando tu instancia con un repositorio de GitHub.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Borra el proyecto

Precaución: Borrar un proyecto tiene las siguientes consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Borra los recursos individuales

Borra el recurso PubSubTopic de Config Connector:
```
kubectl delete -f pubsub-topic.yaml
```

Borra la restricción de Policy Controller:

kubectl delete -f bucket-constraint.yaml

Borra el router NAT:

gcloud compute routers delete cc-nat-router \
    --project=PROJECT_ID \
    --region=us-central1

Presiona y cuando se te solicite.

Borra el recurso de Pub/Sub que creó el Sincronizador de configuración:

kubectl delete PubSubTopic pubsub-topic-sample-sync -n config-control

Borra el recurso RootSync:

kubectl delete rootsync root-sync -n config-management-system

Con tu editor de texto preferido, borra todos los archivos YAML que creaste:
- enable-pubsub.yaml
- pubsub-topic.yaml
- bucket-constraint.yaml
- asia-storage-bucket.yaml
- cc-rootsync.yaml

Borra la instancia de Config Controller:

gcloud anthos config controller delete --location=us-central1 cc-example

Presiona y cuando se te solicite.

¿Qué sigue?

Obtén más información para configurar Config Controller.
Obtén más información sobre Config Controller.