En esta página se explican las opciones de configuración y los requisitos que debes tener en cuenta al planificar tus clústeres para usarlos con Config Sync.
Para obtener más información sobre las prácticas recomendadas generales al planificar tus clústeres de GKE, consulta la documentación de GKE sobre las opciones de configuración de clústeres.
Requisitos de recursos con el modo Autopilot
El modo Autopilot de GKE modifica automáticamente las solicitudes de recursos para mantener la estabilidad de las cargas de trabajo. Para saber cómo planificar estas solicitudes, consulta la documentación de GKE sobre las solicitudes de recursos de Autopilot.
Debido a la forma en que Autopilot modifica las solicitudes de recursos, Config Sync hace los siguientes ajustes:
- Ajusta los límites de anulación de recursos especificados por el usuario para que coincidan con las solicitudes.
- Aplica las anulaciones solo cuando hay una o varias solicitudes de recursos superiores al resultado ajustado correspondiente declarado en la anotación, o cuando hay solicitudes de recursos inferiores a la entrada correspondiente declarada en la anotación.
Plataformas y versiones de GKE admitidas
Para usar Config Sync, tu clúster debe tener una versión compatible de GKE.
Workload Identity Federation para GKE
Workload Identity Federation for GKE es la forma recomendada de conectarse de forma segura a los servicios de Google Cloud. Workload Identity Federation para GKE está habilitado de forma predeterminada en los clústeres de Autopilot.
Si quieres usar paquetes de flota (vista previa) con Config Sync, debes usar Workload Identity Federation para GKE.
Si has instalado Config Sync en clústeres de GKE vinculados, no puedes usar Active Directory con la federación de identidades de carga de trabajo. Esta limitación se debe a que Config Sync usa la pasarela de conexión para conectarse a los clústeres adjuntos de GKE y la pasarela de conexión no admite esta función.
Redes
En la siguiente sección se enumeran algunos de los cambios que puede que tengas que hacer en tu clúster de GKE, en función de tu configuración de red.
Para obtener más información sobre las opciones de red de GKE, consulta la información general de la red.
Clústeres privados
Si usas clústeres privados, debes configurar tus clústeres de una de las siguientes formas para asegurarte de que Config Sync tenga acceso y pueda autenticarse en tu fuente de información veraz:
Configura Cloud NAT para permitir las salidas de los nodos de GKE privados. Para obtener más información, consulta la configuración de ejemplo de GKE.
Habilita Acceso privado de Google para conectarte al conjunto de direcciones IP externas que usan las APIs y los servicios de Google.
.
Clústeres públicos
Si usas clústeres públicos, pero tienes requisitos estrictos de cortafuegos de VPC que bloquean el tráfico innecesario, debes crear reglas de cortafuegos para permitir el siguiente tráfico:
- TCP permite la entrada y la salida en los puertos 53 y 443.
- UDP permite el tráfico saliente en el puerto 53
Si no incluyes estas reglas, Config Sync no se sincronizará correctamente y nomos status mostrará el siguiente error:
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories con autenticación de cuenta de servicio predeterminada de Compute Engine
Si usas Config Sync para conectarte a Cloud Source Repositories y la federación de identidades de carga de trabajo para GKE no está habilitada, puedes usar la cuenta de servicio predeterminada de Compute Engine para autenticarte. Debes usar ámbitos de acceso con ámbitos de solo lectura para los nodos del clúster.
Puedes añadir el ámbito de solo lectura de Cloud Source Repositories incluyendo cloud-source-repos-ro en la lista --scopes especificada al crear el clúster o usando el ámbito cloud-platform al crear el clúster. Por ejemplo:
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Sustituye CLUSTER_NAME por el nombre de tu clúster.
No puedes modificar los permisos de acceso después de crear un pool de nodos.
Sin embargo, puedes crear un grupo de nodos con el ámbito de acceso adecuado mientras usas el mismo clúster. El permiso gke-default predeterminado no incluye
cloud-source-repos-ro.
Nodos de brazo
Config Sync solo se puede ejecutar en nodos basados en x86, no en nodos Arm. Sin embargo, si necesitas ejecutar Config Sync en un clúster con varias arquitecturas, realiza la siguiente acción en función del tipo de clúster:
- GKE en AWS o GKE en Azure: añade un taint a tus nodos Arm para evitar que se programen pods en tus nodos Arm sin la tolerancia correspondiente.
- GKE GKE añade un taint predeterminado para asegurarse de que las cargas de trabajo sin la tolerancia correspondiente no se programen allí. No es necesario que hagas nada más.