Diese Seite wurde von der Cloud Translation API übersetzt.

Cluster für Config Sync vorbereiten

Auf dieser Seite werden Konfigurationsoptionen und Anforderungen für die Planung Ihrer Cluster für die Verwendung mit Config Sync erläutert.

Weitere Informationen zu allgemeinen Best Practices bei der Planung Ihrer GKE-Cluster finden Sie in der GKE-Dokumentation unter Cluster-Konfigurationsoptionen.

Ressourcenanforderungen im Autopilot-Modus

Im GKE Autopilot-Modus werden Ressourcenanfragen automatisch geändert, um die Stabilität der Arbeitslasten zu gewährleisten. Informationen zum Planen dieser Anfragen finden Sie in der GKE-Dokumentation unter Autopilot-Ressourcenanfragen.

Aufgrund der Art und Weise, wie Autopilot Ressourcenanfragen ändert, nimmt Config Sync die folgenden Anpassungen vor:

Passt die benutzerdefinierten Überschreibungslimits für Ressourcen an Anfragen an.
Wendet Überschreibungen nur an, wenn eine oder mehrere Ressourcenanfragen vorhanden sind, die höher sind als die entsprechende in der Annotation deklarierte Ausgabe, oder wenn Ressourcenanfragen vorhanden sind, die niedriger sind als die entsprechende Eingabe in der Annotation.

Unterstützte GKE-Plattformen und -Versionen

Damit Sie Config Sync verwenden können, muss Ihr Cluster eine unterstützte GKE-Version verwenden.

Workload Identity Federation for GKE

Die Identitätsföderation von Arbeitslasten für GKE ist die empfohlene Methode, um sicher eine Verbindung zu Google Cloud-Diensten herzustellen. Die Workload Identity-Föderation für GKE ist in Autopilot-Clustern standardmäßig aktiviert.

Wenn Sie Flottenpakete (Vorabversion) mit Config Sync verwenden möchten, ist die Identitätsföderation von Arbeitslasten für GKE erforderlich.

Wenn Sie Config Sync in angehängten GKE-Clustern installiert haben, können Sie Active Directory nicht mit der Identitätsföderation von Arbeitslasten verwenden. Diese Einschränkung besteht, weil Config Sync das Connect-Gateway verwendet, um eine Verbindung zu angehängten GKE-Clustern herzustellen, und das Connect-Gateway diese Funktion nicht unterstützt.

Netzwerk

Im folgenden Abschnitt sind einige der Änderungen aufgeführt, die Sie je nach Ihren Netzwerkeinstellungen an Ihrem GKE-Cluster vornehmen müssen.

Weitere Informationen zu den GKE-Netzwerkoptionen finden Sie in der Netzwerkübersicht.

Private Cluster

Wenn Sie private Cluster verwenden, sollten Sie Ihre Cluster auf eine der folgenden Arten konfigurieren, damit Config Sync Zugriff auf Ihre Source of Truth hat und sich dort authentifizieren kann:

Konfigurieren Sie Cloud NAT so, dass ausgehender Traffic von privaten GKE-Knoten zugelassen wird. Weitere Informationen finden Sie unter Beispielkonfiguration für GKE.
Aktivieren Sie den privaten Google-Zugriff, um eine Verbindung zu der Gruppe von externen IP-Adressen herzustellen, die von Google APIs und Google-Diensten verwendet werden.

Hinweis: Der private Google-Zugriff unterstützt kein SSH auf Port 2022. Wenn Sie Config Sync jedoch Lesezugriff auf Git gewähren, können Sie die cookiefile-Anmeldedaten verwenden.

Öffentliche Cluster

Wenn Sie öffentliche Cluster verwenden, aber strenge VPC-Firewall-Anforderungen haben, die unnötigen Traffic blockieren, müssen Sie Firewallregeln erstellen, um den folgenden Traffic zuzulassen:

TCP: Eingehenden und ausgehenden Traffic an Port 53 und 443 zulassen
UDP: Erlauben Sie ausgehenden Traffic an Port 53.

Wenn Sie diese Regeln nicht angeben, wird Config Sync nicht korrekt synchronisiert. nomos status meldet den folgenden Fehler:

Error: KNV2004: unable to sync repo Error in the git-sync container

Cloud Source Repositories mit Authentifizierung über das Compute Engine-Standarddienstkonto

Wenn Sie Config Sync verwenden, um eine Verbindung zu Cloud Source Repositories herzustellen, und die Identitätsföderation von Arbeitslasten für GKE nicht aktiviert ist, können Sie sich mit dem Compute Engine-Standarddienstkonto authentifizieren. Sie müssen Zugriffsbereiche mit schreibgeschützten Bereichen für die Knoten im Cluster verwenden.

Sie können den schreibgeschützten Bereich für Cloud Source Repositories hinzufügen, indem Sie cloud-source-repos-ro in die Liste --scopes aufnehmen, die beim Erstellen des Clusters angegeben wird, oder indem Sie den Bereich cloud-platform beim Erstellen des Clusters verwenden. Beispiel:

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.

Hinweis: Sie können Zugriffsbereiche nicht ändern, nachdem Sie einen Knotenpool erstellt haben. Allerdings haben Sie die Möglichkeit, unter Verwendung desselben Clusters einen neuen Knotenpool mit dem richtigen Zugriffsbereich zu erstellen. Der Standardbereich gke-default enthält nicht cloud-source-repos-ro.

Armknoten

Config Sync kann nur auf x86-basierten Knoten und nicht auf Arm-Knoten ausgeführt werden. Wenn Sie Config Sync jedoch auf einem Cluster mit mehreren Architekturen ausführen müssen, führen Sie je nach Clustertyp die folgenden Schritte aus:

GKE on AWS oder GKE on Azure: Fügen Sie Ihren Arm-Knoten eine Markierung hinzu, damit auf den Arm-Knoten keine Pods ohne entsprechende Toleranz geplant werden.
GKE: GKE fügt eine Standardmarkierung hinzu, damit Arbeitslasten ohne die entsprechende Toleranz nicht dort geplant werden. Es sind keine weiteren Maßnahmen erforderlich.

Nächste Schritte

Installieren Sie Config Sync.