Cette page explique les choix et les exigences de configuration lorsque vous planifiez l'utilisation de Config Sync avec vos clusters.
Pour en savoir plus sur les bonnes pratiques générales à suivre lors de la planification de vos clusters GKE, consultez la documentation GKE sur les choix de configuration des clusters.
Ressources requises avec le mode Autopilot
Le mode GKE Autopilot modifie automatiquement les demandes de ressources pour maintenir la stabilité de la charge de travail. Pour comprendre comment planifier ces demandes, consultez la documentation GKE sur les demandes de ressources Autopilot.
En raison de la façon dont Autopilot modifie les demandes de ressources, Config Sync effectue les ajustements suivants:
- Ajuste les limites de forçage de ressources spécifiées par l'utilisateur pour qu'elles correspondent aux requêtes.
- Ne s'applique qu'à la présence d'une ou de plusieurs demandes de ressources supérieures à la sortie ajustée déclarée dans l'annotation, ou lorsqu'une ou plusieurs demandes de ressources sont inférieures à l'entrée correspondante déclarée dans l'annotation.
Plates-formes et versions de GKE Enterprise compatibles
Pour utiliser Config Sync, votre cluster doit se trouver sur une plate-forme et une version compatibles avec GKE Enterprise.
Workload Identity Federation for GKE
La fédération d'identité de charge de travail pour GKE est la méthode recommandée pour se connecter de manière sécurisée aux services Google Cloud. La fédération d'identité de charge de travail pour GKE est activée par défaut dans les clusters Autopilot.
Si vous souhaitez utiliser des paquets de parc (bêta) avec la Config Sync, la fédération d'identité de charge de travail pour GKE est requise.
Canaux de publication GKE
Si vous souhaitez que Config Sync gère automatiquement les mises à niveau, nous vous recommandons d'enregistrer votre cluster dans un canal de publication GKE. Les mises à niveau automatiques de Config Sync utilisent les canaux de publication pour déterminer quand passer à une nouvelle version.
Si vous activez les mises à niveau automatiques sans vous inscrire à un version disponible, Config Sync gère les mises à niveau de ce cluster comme s'il utilisait le version disponible "Stable".
Mise en réseau
La section suivante liste certaines des modifications que vous devrez peut-être apporter à votre cluster GKE, en fonction de vos paramètres réseau.
Pour en savoir plus sur les options de mise en réseau GKE, consultez la présentation du réseau.
Clusters privés
Si vous utilisez des clusters privés, vous devez configurer vos clusters de l'une des manières suivantes pour vous assurer que Config Sync a accès et peut s'authentifier auprès de votre source fiable:
Configurez Cloud NAT pour autoriser la sortie des nœuds GKE privés. Pour en savoir plus, consultez la page Exemple de configuration GKE.
Activez l'accès privé à Google pour vous connecter à l'ensemble des adresses IP externes utilisées par les API et services Google.
Clusters publics
Si vous utilisez des clusters publics, mais que vous avez des exigences strictes concernant le pare-feu VPC afin qu'il bloque tout trafic inutile, vous devez créer des règles de pare-feu pour autoriser le trafic suivant:
- TCP : autorisez les entrées et les sorties sur les ports 53 et 443
- UDP : autorisez la sortie sur le port 53
Si vous n'incluez pas ces règles, Config Sync ne se synchronise pas correctement et nomos status signale l'erreur suivante:
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories avec authentification par le compte de service Compute Engine par défaut
Si vous utilisez Config Sync pour vous connecter à Cloud Source Repositories et que Workload Identity Federation for GKE n'est pas activé, vous pouvez utiliser le compte de service Compute Engine par défaut pour vous authentifier. Vous devez utiliser des niveaux d'accès avec des niveaux en lecture seule pour les nœuds du cluster.
Vous pouvez ajouter le champ d'application en lecture seule pour Cloud Source Repositories en incluant cloud-source-repos-ro dans la liste --scopes spécifiée lors de la création du cluster ou en utilisant le champ d'application cloud-platform au moment de la création du cluster. Exemple :
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Remplacez CLUSTER_NAME par le nom de votre cluster.
Vous ne pouvez pas modifier les niveaux d'accès après la création d'un pool de nœud.
Toutefois, vous pouvez créer un autre pool de nœuds avec le niveau d'accès approprié tout en utilisant le même cluster. Le niveau d'accès par défaut gke-default n'inclut pas cloud-source-repos-ro.
Nœuds d'activation
Config Sync ne peut s'exécuter que sur des nœuds basés sur x86, et non sur des nœuds Arm. Toutefois, si vous devez exécuter Config Sync sur un cluster avec plusieurs architectures, procédez comme suit, en fonction du type de cluster:
- GKE sur AWS ou GKE sur Azure: ajoutez un taint à vos nœuds Arm pour éviter de planifier des pods sur vos nœuds Arm sans tolérance correspondante.
- GKE: GKE ajoute un rejet par défaut pour s'assurer que les charges de travail sans la tolérance correspondante ne sont pas planifiées ici. Aucune action supplémentaire n'est requise.