Halaman ini menjelaskan pilihan dan persyaratan konfigurasi saat merencanakan cluster untuk digunakan dengan Config Sync.
Untuk informasi selengkapnya tentang praktik terbaik umum saat merencanakan cluster GKE, tinjau dokumentasi GKE untuk Pilihan konfigurasi cluster.
Persyaratan resource dengan mode Autopilot
Mode Autopilot GKE secara otomatis mengubah permintaan resource untuk mempertahankan stabilitas workload. Untuk memahami cara merencanakan permintaan tersebut, tinjau dokumentasi GKE untuk Permintaan resource Autopilot.
Karena cara Autopilot mengubah permintaan resource, Config Sync akan melakukan penyesuaian berikut:
- Menyesuaikan batas penggantian resource yang ditentukan pengguna agar cocok dengan permintaan.
- Menerapkan penggantian hanya jika ada satu atau beberapa permintaan resource yang lebih tinggi dari output yang disesuaikan yang sesuai dan dideklarasikan dalam anotasi, atau ada permintaan resource yang lebih rendah dari input yang sesuai dan dideklarasikan dalam anotasi.
Platform dan versi GKE Enterprise yang didukung
Untuk menggunakan Config Sync, cluster Anda harus menggunakan platform dan versi yang didukung GKE Enterprise.
Workload Identity Federation for GKE
Workload Identity Federation untuk GKE adalah cara yang direkomendasikan untuk terhubung dengan aman ke layanan Google Cloud. Workload Identity Federation for GKE diaktifkan secara default di cluster Autopilot.
Jika Anda ingin menggunakan paket fleet (Pratinjau) dengan Config Sync, Workload Identity Federation for GKE diperlukan.
Saluran rilis GKE
Jika Anda ingin Config Sync mengelola upgrade secara otomatis, sebaiknya daftarkan cluster Anda di saluran rilis GKE. Upgrade otomatis Config Sync menggunakan saluran rilis untuk menentukan kapan harus mengupgrade ke versi baru.
Jika Anda mengaktifkan upgrade otomatis tanpa mendaftar ke saluran rilis, Config Sync akan mengelola upgrade untuk cluster tersebut seolah-olah cluster menggunakan saluran rilis Stabil.
Jaringan
Bagian berikut mencantumkan beberapa perubahan yang mungkin perlu Anda lakukan pada cluster GKE, bergantung pada setelan jaringan Anda.
Untuk mengetahui informasi selengkapnya tentang pilihan jaringan GKE, lihat Ringkasan jaringan.
Cluster pribadi
Jika menggunakan cluster pribadi, Anda harus mengonfigurasi cluster dengan salah satu cara berikut untuk memastikan Config Sync memiliki akses dan dapat melakukan autentikasi ke sumber tepercaya:
Konfigurasikan Cloud NAT untuk mengizinkan traffic keluar dari node GKE pribadi. Untuk mengetahui detailnya, lihat Contoh penyiapan GKE.
Aktifkan Akses Google Pribadi untuk terhubung ke kumpulan alamat IP eksternal yang digunakan oleh API dan layanan Google.
Cluster publik
Jika menggunakan cluster publik, tetapi memiliki persyaratan Firewall VPC yang ketat yang memblokir traffic yang tidak perlu, Anda harus Membuat aturan firewall untuk mengizinkan traffic berikut:
- TCP: Mengizinkan traffic masuk dan keluar di port 53 dan 443
- UDP: Mengizinkan keluar di port 53
Jika Anda tidak menyertakan aturan ini, Config Sync tidak akan disinkronkan dengan benar, dengan
nomos status
melaporkan error berikut:
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories dengan autentikasi akun layanan default Compute Engine
Jika Anda menggunakan Config Sync untuk terhubung ke Repositori Sumber Cloud dan Workload Identity Federation untuk GKE tidak diaktifkan, Anda dapat menggunakan akun layanan default Compute Engine untuk melakukan autentikasi. Anda harus menggunakan cakupan akses dengan cakupan hanya baca untuk node di cluster.
Anda dapat menambahkan cakupan hanya baca untuk Repositori Sumber Cloud dengan menyertakan cloud-source-repos-ro
dalam daftar --scopes
yang ditentukan pada waktu pembuatan cluster, atau dengan menggunakan cakupan cloud-platform
pada waktu pembuatan cluster. Misalnya:
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Ganti CLUSTER_NAME
dengan nama cluster Anda.
Anda tidak dapat mengubah cakupan akses setelah membuat node pool.
Namun, Anda dapat membuat node pool baru dengan cakupan akses yang tepat saat
menggunakan cluster yang sama. Cakupan gke-default
default tidak menyertakan
cloud-source-repos-ro
.
Node Arm
Config Sync hanya dapat berjalan di node berbasis x86, bukan node Arm. Namun, jika Anda perlu menjalankan Config Sync di cluster dengan beberapa arsitektur, lakukan tindakan berikut, bergantung pada jenis cluster Anda:
- GKE di AWS atau GKE di Azure: tambahkan taint ke node Arm, untuk menghindari penjadwalan Pod ke node Arm tanpa toleransi yang sesuai.
- GKE: GKE menambahkan taint default untuk memastikan beban kerja tanpa toleransi yang sesuai tidak dijadwalkan di sana. Tidak perlu tindakan tambahan.