이 페이지는 Cloud Translation API를 통해 번역되었습니다.

구성 동기화를 위한 클러스터 준비

이 페이지에서는 구성 동기화와 함께 사용할 클러스터를 계획할 때의 구성 옵션과 요구사항을 설명합니다.

GKE 클러스터를 계획할 때의 일반적인 권장사항에 관한 자세한 내용은 GKE 문서의 클러스터 구성 옵션을 참고하세요.

Autopilot 모드의 리소스 요구사항

GKE Autopilot 모드는 워크로드 안정성을 유지하기 위해 리소스 요청을 자동으로 수정합니다. 이러한 요청을 계획하는 방법을 알아보려면 GKE 문서에서 Autopilot 리소스 요청을 검토하세요.

Autopilot이 리소스 요청을 수정하는 방식으로 인해 구성 동기화는 다음과 같이 조정합니다.

일치 요청에 대한 사용자 지정 리소스 재정의 한도를 조정합니다.
주석에 선언된 조정 출력보다 높은 리소스 요청이 하나 이상 있거나 주석에 선언된 해당 입력보다 낮은 리소스 요청이 하나 이상 있는 경우에만 재정의를 적용합니다.

지원되는 GKE Enterprise 플랫폼 및 버전

구성 동기화를 사용하려면 클러스터가 GKE Enterprise 지원 플랫폼 및 버전에 있어야 합니다.

GKE용 워크로드 아이덴티티 제휴

GKE용 워크로드 아이덴티티 제휴는 Google Cloud서비스에 안전하게 연결하는 데 권장되는 방법입니다. GKE용 워크로드 아이덴티티 제휴는 기본적으로 Autopilot 클러스터에서 사용 설정됩니다.

구성 동기화와 함께 플릿 패키지 (미리보기)를 사용하려면 GKE용 워크로드 아이덴티티 제휴가 필요합니다.

GKE 출시 채널

구성 동기화에서 업그레이드를 자동으로 관리하도록 하려면 클러스터를 GKE 출시 채널에 등록하는 것이 좋습니다. 구성 동기화 자동 업그레이드는 출시 채널을 사용하여 새 버전으로 업그레이드할 시기를 결정합니다.

출시 채널에 등록하지 않고 자동 업그레이드를 사용 설정하면 구성 동기화는 클러스터가 안정화 버전 출시 채널을 사용하는 것처럼 해당 클러스터의 업그레이드를 관리합니다.

네트워킹

다음 섹션에는 네트워킹 설정에 따라 GKE 클러스터에 적용해야 할 수 있는 몇 가지 변경사항이 나와 있습니다.

GKE 네트워킹 옵션에 관한 자세한 내용은 네트워크 개요를 참고하세요.

비공개 클러스터

비공개 클러스터를 사용하는 경우 구성 동기화가 액세스하고 정보 소스에 인증할 수 있도록 다음 방법 중 하나로 클러스터를 구성해야 합니다.

비공개 GKE 노드에서 이그레스를 허용하도록 Cloud NAT를 구성합니다. 자세한 내용은 GKE 설정 예시를 참고하세요.
Google API 및 서비스에서 사용되는 외부 IP 주소 집합에 연결하도록 비공개 Google 액세스를 사용 설정합니다.

참고: 비공개 Google 액세스는 포트 2022에서 SSH를 지원하지 않습니다. 하지만 구성 동기화에 Git에 대한 읽기 전용 액세스 권한을 부여하면 cookiefile 사용자 인증 정보를 사용할 수 있습니다.

공개 클러스터

공개 클러스터를 사용하지만 불필요한 트래픽을 차단하는 엄격한 VPC 방화벽 요구사항이 있는 경우 방화벽 규칙을 만들어 다음 트래픽을 허용해야 합니다.

TCP: 포트 53 및 443에서 인그레스 및 이그레스 허용
UDP: 포트 53에서 이그레스 허용

이러한 규칙을 포함하지 않으면 구성 동기화가 올바르게 동기화되지 않고 nomos status에서 다음 오류를 보고합니다.

Error: KNV2004: unable to sync repo Error in the git-sync container

Compute Engine 기본 서비스 계정 인증을 사용하는 Cloud Source Repositories

구성 동기화를 사용하여 Cloud Source Repositories에 연결하고 GKE용 워크로드 아이덴티티 제휴가 사용 설정되지 않은 경우 Compute Engine 기본 서비스 계정을 사용하여 인증할 수 있습니다. 클러스터의 노드에 읽기 전용 범위와 함께 액세스 범위를 사용해야 합니다.

클러스터 생성 시 지정된 --scopes 목록에 cloud-source-repos-ro를 포함하거나 클러스터 생성 시 cloud-platform 범위를 사용하여 Cloud Source Repositories의 읽기 전용 범위를 추가할 수 있습니다. 예를 들면 다음과 같습니다.

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

노드 풀을 만든 후에는 액세스 범위를 수정할 수 없습니다. 그러나 동일한 클러스터를 사용하는 동안에 액세스 범위가 적절한 새 노드 풀을 만들 수 있습니다. 기본 gke-default 범위에는 cloud-source-repos-ro가 포함되지 않습니다.

Arm 노드

구성 동기화는 Arm 노드가 아닌 x86 기반 노드에서만 실행할 수 있습니다. 그러나 여러 아키텍처가 있는 클러스터에서 구성 동기화를 실행해야 하는 경우 클러스터 유형에 따라 다음 작업을 실행합니다.

GKE on AWS 또는 GKE on Azure: Arm 노드에 taint를 추가하여 해당 톨러레이션(toleration) 없이 Arm 노드에 포드를 예약하지 않도록 합니다.
GKE: GKE는 해당 톨러레이션(toleration)이 없는 워크로드가 예약되지 않도록 기본 taint를 추가합니다. 추가 조치는 필요하지 않습니다.

다음 단계

구성 동기화 설치