Esta página foi traduzida pela API Cloud Translation.

Preparar o cluster para o Config Sync

Nesta página, explicamos as opções e os requisitos de configuração ao planejar seus clusters para uso com o Config Sync.

Para mais informações sobre as práticas recomendadas gerais ao planejar seus clusters do GKE, consulte a documentação do GKE para Opções de configuração de cluster.

Requisitos de recursos com o modo Autopilot

O modo Autopilot do GKE modifica automaticamente as solicitações de recursos para manter a estabilidade da carga de trabalho. Para entender como planejar essas solicitações, consulte a documentação do GKE sobre solicitações de recursos do Autopilot.

Devido à forma como o Autopilot modifica as solicitações de recursos, o Config Sync faz os seguintes ajustes:

Ajusta os limites de substituição de recursos especificados pelo usuário para atender às solicitações.
Aplica substituições apenas quando há uma ou mais solicitações de recurso maiores do que a saída ajustada correspondente declarada na anotação ou quando há solicitações de recurso menores que a entrada correspondente declarada na anotação.

Plataformas e versões compatíveis do GKE Enterprise

Para usar o Config Sync, seu cluster precisa estar em uma plataforma e versão compatíveis do GKE Enterprise.

Federação de identidade da carga de trabalho para o GKE

A Federação de Identidade da Carga de Trabalho para GKE é a maneira recomendada de se conectar com segurança aos serviços Google Cloud. A federação de identidade da carga de trabalho para o GKE é ativada por padrão nos clusters do Autopilot.

Se você quiser usar pacotes de frota (pré-lançamento) com a sincronização de configuração, a federação de identidade da carga de trabalho para o GKE é necessária.

Se você instalou o Config Sync em clusters anexados do GKE, não será possível usar o Active Directory com a Federação de Identidade da Carga de Trabalho. Essa limitação existe porque o Config Sync usa o gateway do Connect para se conectar a clusters anexados ao GKE, e o gateway do Connect não oferece suporte a esse recurso.

Canais de lançamento do GKE

Se você ativar os upgrades automáticos do Config Sync, recomendamos que também inscreva seu cluster em um canal de lançamento do GKE. Os upgrades automáticos do Config Sync usam o canal de lançamento do GKE para decidir qual versão será o destino. Dessa forma, a sincronização de configuração e o GKE compartilham o equilíbrio escolhido entre disponibilidade e estabilidade de recursos.

Se você ativar os upgrades automáticos sem se inscrever em um canal de lançamento, o Config Sync vai gerenciar os upgrades para esse cluster como se ele estivesse usando o canal de lançamento Stable.

Rede

A seção a seguir lista algumas das mudanças que você pode precisar fazer no cluster do GKE, dependendo das configurações de rede.

Para mais informações sobre as opções de rede do GKE, consulte Visão geral da rede.

Clusters particulares

Se você usa clusters particulares, configure-os de uma das seguintes maneiras para garantir que o Config Sync tenha acesso e possa se autenticar na fonte de verdade:

Configure o Cloud NAT para permitir a saída de nós particulares do GKE. Para mais detalhes, consulte Exemplo de configuração do GKE.
Ative o Acesso privado do Google para se conectar ao conjunto de endereços IP externos usados pelas APIs e serviços do Google.

Observação: o Acesso privado do Google não é compatível com SSH na porta 2022. No entanto, quando você concede acesso somente leitura do Config Sync ao Git, é possível usar credenciais cookiefile.

Clusters públicos

Se você usa clusters públicos, mas tem requisitos rígidos de firewall da VPC que bloqueiam qualquer tráfego desnecessário, crie regras de firewall para permitir o seguinte tráfego:

TCP: permite a entrada e a saída nas portas 53 e 443
UDP: permitir a saída na porta 53

Se você não incluir essas regras, a sincronização de configuração não será feita corretamente, e nomos status vai informar o seguinte erro:

Error: KNV2004: unable to sync repo Error in the git-sync container

Repositórios de origem do Cloud com autenticação de conta de serviço padrão do Compute Engine

Se você estiver usando o Config Sync para se conectar aos repositórios de origem do Cloud e a Federação de Identidade da Carga de Trabalho para GKE não estiver ativada, será possível usar a conta de serviço padrão do Compute Engine para autenticação. É necessário usar escopos de acesso com escopos de leitura somente para os nós no cluster.

É possível adicionar o escopo somente leitura para repositórios de origem do Cloud incluindo cloud-source-repos-ro na lista --scopes especificada no momento da criação do cluster ou usando o escopo cloud-platform no momento da criação do cluster. Exemplo:

gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform

Substitua CLUSTER_NAME pelo nome do cluster.

Não é possível modificar os escopos de acesso depois de criar um pool de nós. No entanto, é possível criar um novo pool de nós com o escopo de acesso apropriado e usar o mesmo cluster. O escopo gke-default padrão não inclui cloud-source-repos-ro.

Nós do braço

O Config Sync só pode ser executado em nós baseados em x86, não em nós Arm. No entanto, se você precisar executar o Config Sync em um cluster com várias arquiteturas, execute a seguinte ação, dependendo do tipo de cluster:

GKE na AWS ou GKE no Azure: adicione um taint aos nós Arm para evitar a programação de pods sem uma tolerância correspondente.
GKE: o GKE adiciona um taint padrão para garantir que as cargas de trabalho sem a tolerância correspondente não sejam programadas. Nenhuma ação adicional é necessária.

A seguir

Instale o Config Sync.