Nesta página, explicamos as opções e os requisitos de configuração ao planejar seus clusters para uso com o Config Sync.
Para mais informações sobre práticas recomendadas gerais ao planejar seus clusters do GKE, consulte a documentação do GKE para Opções de configuração de cluster.
Requisitos de recursos com o modo Autopilot
O modo Autopilot do GKE modifica automaticamente as solicitações de recursos para manter a estabilidade da carga de trabalho. Para entender como planejar essas solicitações, consulte a documentação do GKE sobre solicitações de recursos do Autopilot.
Devido à forma como o Autopilot modifica as solicitações de recursos, o Config Sync faz os seguintes ajustes:
- Ajusta os limites de substituição de recursos especificados pelo usuário para atender às solicitações.
- Aplica substituições apenas quando há uma ou mais solicitações de recurso maiores que a saída ajustada correspondente declarada na anotação ou quando há solicitações de recurso menores que a entrada correspondente declarada na anotação.
Plataformas e versões compatíveis do GKE Enterprise
Para usar o Config Sync, seu cluster precisa estar em uma plataforma e versão compatíveis do GKE Enterprise.
Federação de identidade da carga de trabalho para o GKE
A Federação de Identidade da Carga de Trabalho para GKE é a maneira recomendada de se conectar com segurança aos serviços Google Cloud. A federação de identidade da carga de trabalho para o GKE é ativada por padrão nos clusters do Autopilot.
Se você quiser usar pacotes de frota (pré-lançamento) com a sincronização de configuração, a federação de identidade da carga de trabalho para o GKE é necessária.
Se você instalou o Config Sync em clusters anexados do GKE, não será possível usar o Active Directory com a Federação de Identidade da Carga de Trabalho. Essa limitação existe porque o Config Sync usa o gateway do Connect para se conectar a clusters anexados ao GKE, e o gateway do Connect não oferece suporte a esse recurso.
Rede
A seção a seguir lista algumas das mudanças que você pode precisar fazer no cluster do GKE, dependendo das configurações de rede.
Para mais informações sobre as opções de rede do GKE, consulte a Visão geral da rede.
Clusters particulares
Se você usa clusters particulares, configure-os de uma das seguintes maneiras para garantir que o Config Sync tenha acesso e possa se autenticar na fonte de verdade:
Configure o Cloud NAT para permitir a saída de nós particulares do GKE. Para mais detalhes, consulte Exemplo de configuração do GKE.
Ative o Acesso privado do Google para se conectar ao conjunto de endereços IP externos usados pelas APIs e serviços do Google.
Clusters públicos
Se você usa clusters públicos, mas tem requisitos rígidos de firewall da VPC que bloqueiam qualquer tráfego desnecessário, crie regras de firewall para permitir o seguinte tráfego:
- TCP: permite a entrada e a saída nas portas 53 e 443
- UDP: permitir a saída na porta 53
Se você não incluir essas regras, a sincronização de configuração não será feita corretamente, e
nomos status
vai informar o seguinte erro:
Error: KNV2004: unable to sync repo Error in the git-sync container
Repositórios de origem do Cloud com autenticação de conta de serviço padrão do Compute Engine
Se você estiver usando o Config Sync para se conectar aos repositórios de origem do Cloud e a Federação de Identidade da Carga de Trabalho para GKE não estiver ativada, use a conta de serviço padrão do Compute Engine para autenticação. É necessário usar escopos de acesso com escopos de leitura somente para os nós no cluster.
É possível adicionar o escopo somente leitura para repositórios de origem do Cloud incluindo
cloud-source-repos-ro
na lista --scopes
especificada no momento da criação do cluster
ou usando o escopo cloud-platform
no momento da criação do cluster. Exemplo:
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Substitua CLUSTER_NAME
pelo nome do cluster.
Não é possível modificar os escopos de acesso depois de criar um pool de nós.
No entanto, é possível criar um novo pool de nós com o escopo de acesso apropriado e usar o
mesmo cluster. O escopo gke-default
padrão não inclui
cloud-source-repos-ro
.
Nós do braço
O Config Sync só pode ser executado em nós baseados em x86, não em nós Arm. No entanto, se você precisar executar o Config Sync em um cluster com várias arquiteturas, execute a seguinte ação, dependendo do tipo de cluster:
- GKE na AWS ou GKE no Azure: adicione um taint aos nós Arm para evitar a programação de pods sem uma tolerância correspondente.
- GKE: o GKE adiciona um taint padrão para garantir que as cargas de trabalho sem a tolerância correspondente não sejam programadas. Nenhuma ação adicional é necessária.