Esta página foi traduzida pela API Cloud Translation.

Preparar o cluster para o Config Sync

Nesta página, explicamos as opções e os requisitos de configuração ao planejar seus clusters para uso com o Config Sync.

Para mais informações sobre práticas recomendadas gerais ao planejar seus clusters do GKE, consulte a documentação do GKE para Opções de configuração de cluster.

Requisitos de recursos com o modo Autopilot

O modo Autopilot do GKE modifica automaticamente as solicitações de recursos para manter a estabilidade da carga de trabalho. Para entender como planejar essas solicitações, consulte a documentação do GKE sobre solicitações de recursos do Autopilot.

Devido à forma como o Autopilot modifica as solicitações de recursos, o Config Sync faz os seguintes ajustes:

Ajusta os limites de substituição de recursos especificados pelo usuário para atender às solicitações.
Aplica substituições apenas quando há uma ou mais solicitações de recurso maiores que a saída ajustada correspondente declarada na anotação ou quando há solicitações de recurso menores que a entrada correspondente declarada na anotação.

Plataformas e versões compatíveis do GKE Enterprise

Para usar o Config Sync, seu cluster precisa estar em uma plataforma e versão compatíveis do GKE Enterprise.

Federação de identidade da carga de trabalho para o GKE

A Federação de Identidade da Carga de Trabalho para GKE é a maneira recomendada de se conectar com segurança aos serviços do Google Cloud. A federação de identidade da carga de trabalho para o GKE é ativada por padrão nos clusters do Autopilot.

Se você quiser usar pacotes de frota (pré-lançamento) com a Config Sync, a federação de identidade da carga de trabalho para o GKE é necessária.

Canais de lançamento do GKE

Se você quiser que o Config Sync gerencie upgrades automaticamente, recomendamos inscrever seu cluster em um canal de lançamento do GKE. Os upgrades automáticos do Config Sync usam canais de lançamento para determinar quando fazer upgrade para uma nova versão.

Se você ativar os upgrades automáticos sem se inscrever em um canal de lançamento, o Config Sync vai gerenciar os upgrades para esse cluster como se ele estivesse usando o canal de lançamento Stable.

Rede

A seção a seguir lista algumas das mudanças que você pode precisar fazer no cluster do GKE, dependendo das configurações de rede.

Para mais informações sobre as opções de rede do GKE, consulte Visão geral da rede.

Clusters particulares

Se você usa clusters particulares, configure-os de uma das seguintes maneiras para garantir que o Config Sync tenha acesso e possa se autenticar na fonte de verdade:

Configure o Cloud NAT para permitir a saída de nós particulares do GKE. Para mais detalhes, consulte Exemplo de configuração do GKE.
Ative o Acesso privado do Google para se conectar ao conjunto de endereços IP externo usados pelas APIs e serviços do Google.

Observação: o Acesso privado do Google não é compatível com SSH na porta 2022. No entanto, quando você concede acesso somente leitura do Config Sync ao Git, é possível usar credenciais cookiefile.

Clusters públicos

Se você usa clusters públicos, mas tem requisitos rígidos de firewall da VPC que bloqueiam qualquer tráfego desnecessário, é necessário Criar regras de firewall para permitir o seguinte tráfego:

TCP: permite a entrada e a saída nas portas 53 e 443
UDP: permitir a saída na porta 53

Se você não incluir essas regras, Config Sync não será feita corretamente, e nomos status vai informar o seguinte erro:

Error: KNV2004: unable to sync repo Error in the git-sync container

Cloud Source Repositories com autenticação de conta de serviço padrão do Compute Engine

Se você estiver usando o Config Sync para se conectar ao Cloud Source Repositories e a Federação de Identidade da Carga de Trabalho para GKE não estiver ativada, será possível usar a conta de serviço padrão do Compute Engine para autenticação. É necessário usar escopos de acesso com escopos de leitura somente para os nós no cluster.

É possível adicionar o escopo somente leitura para Cloud Source Repositories incluindo cloud-source-repos-ro na lista --scopes especificada no momento da criação do cluster ou usando o escopo cloud-platform no momento da criação do cluster. Exemplo:

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

Substitua CLUSTER_NAME pelo nome do cluster.

Não é possível modificar os escopos de acesso depois de criar um pool de nós. No entanto, é possível criar um novo pool de nós com o escopo de acesso apropriado e usar o mesmo cluster. O escopo gke-default padrão não inclui cloud-source-repos-ro.

Nós do braço

O Config Sync só pode ser executado em nós baseados em x86, não em nós Arm. No entanto, se você precisar executar o Config Sync em um cluster com várias arquiteturas, execute a seguinte ação, dependendo do tipo de cluster:

GKE na AWS ou GKE no Azure: adicione um taint aos nós Arm para evitar a programação de pods sem uma tolerância correspondente.
GKE: o GKE adiciona um taint padrão para garantir que as cargas de trabalho sem a tolerância correspondente não sejam programadas. Nenhuma ação adicional é necessária.

A seguir

Instale o Config Sync