Questa pagina illustra le scelte e i requisiti di configurazione per la pianificazione dei cluster da utilizzare con Config Sync.
Per ulteriori informazioni sulle best practice generali per la pianificazione dei cluster GKE, consulta la documentazione di GKE relativa alle scelte di configurazione del cluster.
Requisiti delle risorse con la modalità Autopilot
La modalità GKE Autopilot modifica automaticamente le richieste di risorse per mantenere la stabilità del carico di lavoro. Per capire come pianificare queste richieste, consulta la documentazione di GKE relativa alle richieste di risorse Autopilot.
A causa del modo in cui Autopilot modifica le richieste di risorse, Config Sync apporta le seguenti modifiche:
- Modifica i limiti di override delle risorse specificati dall'utente in modo che corrispondano alle richieste.
- Applica le sostituzioni solo se sono presenti una o più richieste di risorse superiori all'output adeguato corrispondente dichiarato nell'annotazione o se esistono richieste di risorse inferiori all'input corrispondente dichiarato nell'annotazione.
Piattaforme e versioni di GKE Enterprise supportate
Per utilizzare Config Sync, il cluster deve essere su una piattaforma e una versione supportate di GKE Enterprise.
Workload Identity Federation for GKE
La federazione delle identità per i carichi di lavoro per GKE è il metodo consigliato per connettersi in modo sicuro ai servizi Google Cloud. Workload Identity Federation for GKE è abilitato per impostazione predefinita nei cluster Autopilot.
Se vuoi utilizzare i pacchetti del parco risorse (anteprima) con Config Sync, è necessaria la federazione delle identità per i carichi di lavoro per GKE.
Canali di rilascio GKE
Se vuoi che Config Sync gestisca automaticamente gli upgrade, ti consigliamo di registrare il tuo cluster in un canale di rilascio GKE. Gli upgrade automatici di Config Sync utilizzano i canali di rilascio per determinare quando eseguire l'upgrade a una nuova versione.
Se attivi gli upgrade automatici senza registrarti a un canale di rilascio, Config Sync gestisce gli upgrade per quel cluster come se utilizzasse il canale di rilascio stabile.
Networking
La sezione seguente elenca alcune delle modifiche che potresti dover apportare al tuo cluster GKE, a seconda delle impostazioni di rete.
Per saperne di più sulle opzioni di networking di GKE, consulta Panoramica della rete.
Cluster privati
Se utilizzi cluster privati, devi configurarli in uno dei modi riportati di seguito per assicurarti che Config Sync abbia accesso e possa autenticarsi nella tua fonte di riferimento:
Configura Cloud NAT per consentire l'uscita dai nodi GKE privati. Per maggiori dettagli, consulta Esempio di configurazione GKE.
Attiva Accesso privato Google per connetterti all'insieme di indirizzi IP esterni utilizzati dalle API e dai servizi Google.
Cluster pubblici
Se utilizzi cluster pubblici, ma hai requisiti rigorosi per il firewall VPC che bloccano qualsiasi traffico non necessario, devi creare regole firewall per consentire il seguente traffico:
- TCP: consenti il traffico in entrata e in uscita sulle porte 53 e 443
- UDP: consenti l'uscita sulla porta 53
Se non includi queste regole, Config Sync non si sincronizza correttamente e nomos status genera il seguente errore:
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories con autenticazione dell'account di servizio predefinito di Compute Engine
Se utilizzi Config Sync per connetterti a Cloud Source Repositories e la federazione delle identità di lavoro per GKE non è abilitata, puoi utilizzare il account di servizio predefinito di Compute Engine per l'autenticazione. Devi utilizzare ambiti di accesso con ambiti di sola lettura per i nodi del cluster.
Puoi aggiungere l'ambito di sola lettura per Cloud Source Repositories includendo
cloud-source-repos-ro nell'elenco --scopes specificato al momento della creazione del cluster
o utilizzando l'ambito cloud-platform al momento della creazione del cluster. Ad
esempio:
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Sostituisci CLUSTER_NAME con il nome del cluster.
Non puoi modificare gli ambiti di accesso dopo aver creato un pool di nodi.
Tuttavia, puoi creare un nuovo pool di nodi con l'ambito di accesso appropriato utilizzando lo stesso cluster. L'ambito gke-default predefinito non includecloud-source-repos-ro.
Nodi del braccio
Config Sync può essere eseguito solo su nodi basati su x86, non su nodi Arm. Tuttavia, se devi eseguire Config Sync su un cluster con più architetture, svolgi la seguente azione, a seconda del tipo di cluster:
- GKE su AWS o GKE su Azure: aggiungi un contaminante ai nodi Arm per evitare di pianificare i pod sui nodi Arm senza una tolleranza corrispondente.
- GKE: GKE aggiunge un'anomalia predefinita per assicurarsi che i carichi di lavoro senza la tolleranza corrispondente non vengano pianificati lì. Non è richiesta alcuna azione aggiuntiva.