Esta página foi traduzida pela API Cloud Translation.

Prepare o cluster para o Config Sync

Esta página explica as opções de configuração e os requisitos ao planear os seus clusters para utilização com o Config Sync.

Para mais informações sobre as práticas recomendadas gerais ao planear os seus clusters do GKE, reveja a documentação do GKE para Opções de configuração de clusters.

Requisitos de recursos com o modo de piloto automático

O modo Autopilot do GKE modifica automaticamente os pedidos de recursos para manter a estabilidade da carga de trabalho. Para saber como planear esses pedidos, reveja a documentação do GKE sobre os pedidos de recursos do Autopilot.

Devido à forma como o Autopilot modifica os pedidos de recursos, o Config Sync faz os seguintes ajustes:

Ajusta os limites de substituição de recursos especificados pelo utilizador para corresponderem aos pedidos.
Aplica substituições apenas quando existem um ou mais pedidos de recursos superiores ao resultado ajustado correspondente declarado na anotação ou quando existem pedidos de recursos inferiores à entrada correspondente declarada na anotação.

Plataformas e versões do GKE suportadas

Para usar o Config Sync, o cluster tem de estar numa versão suportada do GKE.

Workload Identity Federation para o GKE

A federação de identidade da carga de trabalho para o GKE é a forma recomendada de estabelecer ligação segura aos Google Cloud serviços. A Workload Identity Federation para o GKE está ativada por predefinição nos clusters do Autopilot.

Se quiser usar pacotes de frotas (pré-visualização) com o Config Sync, é necessária a Workload Identity Federation para o GKE.

Se instalou o Config Sync em clusters anexados do GKE, não pode usar o Active Directory com a Workload Identity Federation. Esta limitação existe porque o Config Sync usa o gateway de ligação para se ligar a clusters anexados do GKE e o gateway de ligação não suporta esta funcionalidade.

Trabalhar em rede

A secção seguinte apresenta algumas das alterações que pode ter de fazer ao cluster do GKE, consoante as definições de rede.

Para mais informações sobre as opções de rede do GKE, consulte a Vista geral da rede.

Clusters privados

Se usar clusters privados, deve configurá-los de uma das seguintes formas para garantir que o Config Sync tem acesso e pode autenticar-se na sua fonte de verdade:

Configure a NAT na nuvem para permitir a saída de nós do GKE privados. Para mais detalhes, consulte o exemplo de configuração do GKE.
Ative o acesso privado à Google para estabelecer ligação ao conjunto de endereços IP externos usados pelas APIs e serviços Google.

Nota: o acesso privado à Google não suporta SSH na porta 2022. No entanto, quando concede ao Config Sync acesso só de leitura ao Git, pode usar credenciais cookiefile.

Clusters públicos

Se usar clusters públicos, mas tiver requisitos rigorosos de firewall da VPC que bloqueiam qualquer tráfego desnecessário, tem de criar regras de firewall para permitir o seguinte tráfego:

TCP: permita a entrada e a saída na porta 53 e 443
UDP: permitir saída na porta 53

Se não incluir estas regras, o Config Sync não é sincronizado corretamente e o nomos status comunica o seguinte erro:

Error: KNV2004: unable to sync repo Error in the git-sync container

Cloud Source Repositories com autenticação da conta de serviço predefinida do Compute Engine

Se estiver a usar a sincronização de configuração para estabelecer ligação aos repositórios de origem do Google Cloud e a federação de identidades de carga de trabalho para o GKE não estiver ativada, pode usar a conta de serviço predefinida do Compute Engine para autenticar. Tem de usar âmbitos de acesso com âmbitos só de leitura para os nós no cluster.

Pode adicionar o âmbito de leitura para os Cloud Source Repositories incluindo cloud-source-repos-ro na lista --scopes especificada no momento da criação do cluster ou usando o âmbito cloud-platform no momento da criação do cluster. Por exemplo:

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

Substitua CLUSTER_NAME pelo nome do seu cluster.

Não pode modificar os âmbitos de acesso depois de criar um conjunto de nós. No entanto, pode criar um novo conjunto de nós com o âmbito de acesso adequado enquanto usa o mesmo cluster. O âmbito gke-default predefinido não inclui cloud-source-repos-ro.

Nós de braços

O Config Sync só pode ser executado em nós baseados em x86 e não em nós Arm. No entanto, se precisar de executar o Config Sync num cluster com várias arquiteturas, tome a seguinte ação, consoante o tipo de cluster:

GKE on AWS ou GKE on Azure: adicione uma mancha aos seus nós Arm para evitar a programação de pods nos seus nós Arm sem uma tolerância correspondente.
GKE: o GKE adiciona uma restrição predefinida para garantir que as cargas de trabalho sem a tolerância correspondente não são agendadas aí. Não é necessária nenhuma ação adicional.

O que se segue?

Instale o Config Sync.