En esta página, se explican las opciones y los requisitos de configuración cuando planificas tus clústeres para usarlos con el Sincronizador de configuración.
Para obtener más información sobre las prácticas recomendadas generales cuando planificas tus clústeres de GKE, consulta la documentación de GKE sobre Opciones de configuración del clúster.
Requisitos de recursos con el modo Autopilot
El modo GKE Autopilot modifica automáticamente las solicitudes de recursos para mantener la estabilidad de la carga de trabajo. Para comprender cómo planificar esas solicitudes, consulta la documentación de GKE sobre solicitudes de recursos de Autopilot.
Debido a la forma en que Autopilot modifica las solicitudes de recursos, el Sincronizador de configuración realiza los siguientes ajustes:
- Ajusta los límites de anulación de recursos especificados por el usuario para que coincidan con las solicitudes.
- Aplica anulaciones solo cuando hay una o más solicitudes de recursos superiores al resultado ajustado correspondiente que se declara en la anotación o cuando hay una o más solicitudes de recursos inferiores a la entrada correspondiente declarada en la anotación.
Plataformas y versiones compatibles de GKE Enterprise
Para usar el Sincronizador de configuración, tu clúster debe estar en una plataforma y versión compatibles con GKE Enterprise.
Federación de identidades para cargas de trabajo para GKE
La federación de identidades para cargas de trabajo para GKE es la forma recomendada de conectarse de forma segura a los servicios de Google Cloud. La federación de identidades para cargas de trabajo para GKE está habilitada de forma predeterminada en los clústeres de Autopilot.
Si deseas usar paquetes de flota (versión preliminar) con Sincronizador de configuración, se requiere la federación de identidades para cargas de trabajo para GKE.
Canales de versiones de GKE
Si deseas que el Sincronizador de configuración administre automáticamente las actualizaciones, te recomendamos que inscribas tu clúster en un canal de versiones de GKE. Las actualizaciones automáticas del Sincronizador de configuración usan canales de versiones para determinar cuándo actualizar a una versión nueva.
Si habilitas las actualizaciones automáticas sin inscribirte en un canal de versiones, el Sincronizador de configuración administra las actualizaciones de ese clúster como si usara el canal de versiones estable.
Redes
En la siguiente sección, se enumeran algunos de los cambios que podrías necesitar realizar en tu clúster de GKE, según la configuración de red.
Para obtener más información sobre las opciones de herramientas de redes de GKE, consulta Descripción general de la red.
Clústeres privados
Si usas clústeres privados, debes configurarlos de una de las siguientes maneras para asegurarte de que el Sincronizador de configuración tenga acceso y pueda autenticarse en tu fuente de información:
Configura Cloud NAT para permitir la salida desde nodos de GKE privados. Para obtener más detalles, consulta Ejemplo de configuración de GKE.
Habilita el Acceso privado a Google para conectarte al conjunto de direcciones IP externas que usan los servicios y las APIs de Google.
Clústeres públicos
Si usas clústeres públicos, pero tienes requisitos estrictos de firewall de VPC que bloquean el tráfico innecesario, debes crear reglas de firewall para permitir el siguiente tráfico:
- TCP: Permite la entrada y salida en los puertos 53 y 443.
- UDP: Permite la salida en el puerto 53.
Si no incluyes estas reglas, el Sincronizador de configuración no se sincronizará correctamente, y nomos status informará el siguiente error:
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories con autenticación de la cuenta de servicio predeterminada de Compute Engine
Si usas el Sincronizador de configuración para conectarte a Cloud Source Repositories y Workload Identity Federation for GKE no está habilitada, puedes usar la cuenta de servicio predeterminada de Compute Engine para autenticarte. Debes usar permisos de acceso con permisos de solo lectura para los nodos del clúster.
Para agregar el permiso de solo lectura para Cloud Source Repositories, incluye cloud-source-repos-ro en la lista --scopes especificada en el momento de la creación del clúster o usa el permiso cloud-platform en el momento de la creación del clúster. Por ejemplo:
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Reemplaza CLUSTER_NAME por el nombre del clúster.
No puedes modificar los permisos de acceso luego de crear un grupo de nodos.
Sin embargo, puedes crear un grupo de nodos nuevo con el permiso de acceso adecuado mientras usas el mismo clúster. El permiso gke-default predeterminado no incluye cloud-source-repos-ro.
Nodos de Arm
Sincronizador de configuración solo se puede ejecutar en nodos basados en x86, no en nodos Arm. Sin embargo, si necesitas ejecutar el Sincronizador de configuración en un clúster con varias arquitecturas, realiza la siguiente acción según el tipo de clúster:
- GKE en AWS o GKE en Azure: Agrega un taint a tus nodos Arm para evitar programar Pods en tus nodos Arm sin una tolerancia correspondiente.
- GKE: GKE agrega un taint predeterminado para garantizar que no se programen cargas de trabajo sin la tolerancia correspondiente. No se requiere ninguna acción adicional.