Preparar o cluster para o Config Sync

Nesta página, explicamos as opções e os requisitos de configuração ao planejar seus clusters para uso com o Config Sync.

Para mais informações sobre práticas recomendadas gerais ao planejar seus clusters do GKE, consulte a documentação do GKE para Opções de configuração de cluster.

Requisitos de recursos com o modo Autopilot

O modo Autopilot do GKE modifica automaticamente as solicitações de recursos para manter a estabilidade da carga de trabalho. Para entender como planejar essas solicitações, consulte a documentação do GKE sobre solicitações de recursos do Autopilot.

Devido à forma como o Autopilot modifica as solicitações de recursos, o Config Sync faz os seguintes ajustes:

Plataformas e versões compatíveis do GKE Enterprise

Para usar o Config Sync, seu cluster precisa estar em uma plataforma e versão compatíveis do GKE Enterprise.

Federação de identidade da carga de trabalho para o GKE

A Federação de Identidade da Carga de Trabalho para GKE é a maneira recomendada de se conectar com segurança aos serviços Google Cloud. A federação de identidade da carga de trabalho para o GKE é ativada por padrão nos clusters do Autopilot.

Se você quiser usar pacotes de frota (pré-lançamento) com a sincronização de configuração, a federação de identidade da carga de trabalho para o GKE é necessária.

Se você instalou o Config Sync em clusters anexados do GKE, não será possível usar o Active Directory com a Federação de Identidade da Carga de Trabalho. Essa limitação existe porque o Config Sync usa o gateway do Connect para se conectar a clusters anexados ao GKE, e o gateway do Connect não oferece suporte a esse recurso.

Rede

A seção a seguir lista algumas das mudanças que você pode precisar fazer no cluster do GKE, dependendo das configurações de rede.

Para mais informações sobre as opções de rede do GKE, consulte a Visão geral da rede.

Clusters particulares

Se você usa clusters particulares, configure-os de uma das seguintes maneiras para garantir que o Config Sync tenha acesso e possa se autenticar na fonte de verdade:

Clusters públicos

Se você usa clusters públicos, mas tem requisitos rígidos de firewall da VPC que bloqueiam qualquer tráfego desnecessário, crie regras de firewall para permitir o seguinte tráfego:

  • TCP: permite a entrada e a saída nas portas 53 e 443
  • UDP: permitir a saída na porta 53

Se você não incluir essas regras, a sincronização de configuração não será feita corretamente, e nomos status vai informar o seguinte erro:

Error: KNV2004: unable to sync repo Error in the git-sync container

Repositórios de origem do Cloud com autenticação de conta de serviço padrão do Compute Engine

Se você estiver usando o Config Sync para se conectar aos repositórios de origem do Cloud e a Federação de Identidade da Carga de Trabalho para GKE não estiver ativada, use a conta de serviço padrão do Compute Engine para autenticação. É necessário usar escopos de acesso com escopos de leitura somente para os nós no cluster.

É possível adicionar o escopo somente leitura para repositórios de origem do Cloud incluindo cloud-source-repos-ro na lista --scopes especificada no momento da criação do cluster ou usando o escopo cloud-platform no momento da criação do cluster. Exemplo:

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

Substitua CLUSTER_NAME pelo nome do cluster.

Não é possível modificar os escopos de acesso depois de criar um pool de nós. No entanto, é possível criar um novo pool de nós com o escopo de acesso apropriado e usar o mesmo cluster. O escopo gke-default padrão não inclui cloud-source-repos-ro.

Nós do braço

O Config Sync só pode ser executado em nós baseados em x86, não em nós Arm. No entanto, se você precisar executar o Config Sync em um cluster com várias arquiteturas, execute a seguinte ação, dependendo do tipo de cluster:

  • GKE na AWS ou GKE no Azure: adicione um taint aos nós Arm para evitar a programação de pods sem uma tolerância correspondente.
  • GKE: o GKE adiciona um taint padrão para garantir que as cargas de trabalho sem a tolerância correspondente não sejam programadas. Nenhuma ação adicional é necessária.

A seguir

Instale o Config Sync.