Esta página foi traduzida pela API Cloud Translation.

Preparar o cluster para o Config Sync

Nesta página, explicamos as opções e os requisitos de configuração ao planejar seus clusters para uso com o Config Sync.

Para mais informações sobre práticas recomendadas gerais ao planejar seus clusters do GKE, consulte a documentação do GKE para Opções de configuração de cluster.

Requisitos de recursos com o modo Autopilot

O modo Autopilot do GKE modifica automaticamente as solicitações de recursos para manter a estabilidade da carga de trabalho. Para entender como planejar essas solicitações, consulte a documentação do GKE sobre solicitações de recursos do Autopilot.

Devido à forma como o Autopilot modifica as solicitações de recursos, o Config Sync faz os seguintes ajustes:

Ajusta os limites de substituição de recursos especificados pelo usuário para atender às solicitações.
Aplica substituições apenas quando há uma ou mais solicitações de recurso maiores que a saída ajustada correspondente declarada na anotação ou quando há solicitações de recurso menores que a entrada correspondente declarada na anotação.

Plataformas e versões compatíveis do GKE Enterprise

Para usar o Config Sync, seu cluster precisa estar em uma plataforma e versão compatíveis do GKE Enterprise.

Federação de identidade da carga de trabalho para o GKE

A Federação de Identidade da Carga de Trabalho para GKE é a maneira recomendada de se conectar com segurança aos serviços Google Cloud. A federação de identidade da carga de trabalho para o GKE é ativada por padrão nos clusters do Autopilot.

Se você quiser usar pacotes de frota (pré-lançamento) com a sincronização de configuração, a federação de identidade da carga de trabalho para o GKE é necessária.

Se você instalou o Config Sync em clusters anexados do GKE, não será possível usar o Active Directory com a Federação de Identidade da Carga de Trabalho. Essa limitação existe porque o Config Sync usa o gateway do Connect para se conectar a clusters anexados ao GKE, e o gateway do Connect não oferece suporte a esse recurso.

Rede

A seção a seguir lista algumas das mudanças que você pode precisar fazer no cluster do GKE, dependendo das configurações de rede.

Para mais informações sobre as opções de rede do GKE, consulte a Visão geral da rede.

Clusters particulares

Se você usa clusters particulares, configure-os de uma das seguintes maneiras para garantir que o Config Sync tenha acesso e possa se autenticar na fonte de verdade:

Configure o Cloud NAT para permitir a saída de nós particulares do GKE. Para mais detalhes, consulte Exemplo de configuração do GKE.
Ative o Acesso privado do Google para se conectar ao conjunto de endereços IP externos usados pelas APIs e serviços do Google.

Observação: o Acesso privado do Google não é compatível com SSH na porta 2022. No entanto, quando você concede acesso somente leitura do Config Sync ao Git, é possível usar credenciais cookiefile.

Clusters públicos

Se você usa clusters públicos, mas tem requisitos rígidos de firewall da VPC que bloqueiam qualquer tráfego desnecessário, crie regras de firewall para permitir o seguinte tráfego:

TCP: permite a entrada e a saída nas portas 53 e 443
UDP: permitir a saída na porta 53

Se você não incluir essas regras, a sincronização de configuração não será feita corretamente, e nomos status vai informar o seguinte erro:

Error: KNV2004: unable to sync repo Error in the git-sync container

Repositórios de origem do Cloud com autenticação de conta de serviço padrão do Compute Engine

Se você estiver usando o Config Sync para se conectar aos repositórios de origem do Cloud e a Federação de Identidade da Carga de Trabalho para GKE não estiver ativada, use a conta de serviço padrão do Compute Engine para autenticação. É necessário usar escopos de acesso com escopos de leitura somente para os nós no cluster.

É possível adicionar o escopo somente leitura para repositórios de origem do Cloud incluindo cloud-source-repos-ro na lista --scopes especificada no momento da criação do cluster ou usando o escopo cloud-platform no momento da criação do cluster. Exemplo:

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

Substitua CLUSTER_NAME pelo nome do cluster.

Não é possível modificar os escopos de acesso depois de criar um pool de nós. No entanto, é possível criar um novo pool de nós com o escopo de acesso apropriado e usar o mesmo cluster. O escopo gke-default padrão não inclui cloud-source-repos-ro.

Nós do braço

O Config Sync só pode ser executado em nós baseados em x86, não em nós Arm. No entanto, se você precisar executar o Config Sync em um cluster com várias arquiteturas, execute a seguinte ação, dependendo do tipo de cluster:

GKE na AWS ou GKE no Azure: adicione um taint aos nós Arm para evitar a programação de pods sem uma tolerância correspondente.
GKE: o GKE adiciona um taint padrão para garantir que as cargas de trabalho sem a tolerância correspondente não sejam programadas. Nenhuma ação adicional é necessária.

A seguir

Instale o Config Sync.