Instalar Config Sync

Par de claves SSH

Un par de claves SSH consta de dos archivos: una clave pública y una clave privada. La clave pública suele tener la extensión .pub.

Para usar un par de claves SSH, sigue estos pasos:

1. Crea un par de claves SSH para permitir que Config Sync se autentique en tu repositorio de Git. Este paso es necesario si necesitas autenticarte en el repositorio para clonarlo o leerlo. Sáltate este paso si un administrador de seguridad te proporciona un par de claves. Puedes usar un solo par de claves para todos los clústeres o un par de claves por clúster, en función de tus requisitos de seguridad y cumplimiento.

   El siguiente comando crea una clave RSA de 4096 bits. No se recomiendan valores inferiores:

   ssh-keygen -t rsa -b 4096 \
   -C "GIT_REPOSITORY_USERNAME" \
   -N '' \
   -f /path/to/KEYPAIR_FILENAME
   

   Haz los cambios siguientes:

   • GIT_REPOSITORY_USERNAME: el nombre de usuario que quieres que use Config Sync para autenticarse en el repositorio
   • /path/to/KEYPAIR_FILENAME: ruta al par de claves

   Si usas un host de repositorios de Git de terceros, como GitHub, o quieres usar una cuenta de servicio con Cloud Source Repositories, te recomendamos que uses una cuenta independiente.

2. Configura el repositorio para que reconozca la clave pública recién creada. Consulta la documentación de tu proveedor de alojamiento de Git. Para tu comodidad, se incluyen instrucciones para algunos proveedores de alojamiento de Git populares:

   • Cloud Source Repositories
   • Bitbucket
   • GitHub Te recomendamos que crees claves de implementación independientes para proporcionar acceso de solo lectura a un único repositorio de GitHub.
   • GitLab

3. Añade la clave privada a un nuevo secreto en el clúster:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=ssh=/path/to/KEYPAIR_PRIVATE_KEY_FILENAME
   

   Sustituye /path/to/KEYPAIR_PRIVATE_KEY_FILENAME por el nombre de la clave privada (la que no tiene el sufijo .pub).

4. (Recomendado) Para configurar la comprobación de hosts conocidos mediante la autenticación SSH, puedes añadir la clave de hosts conocidos al campo data.known_hosts del secreto git_creds. Para inhabilitar la comprobación de known_hosts, puedes quitar el campo known_hosts del secreto. Para añadir la clave de hosts conocidos, ejecuta el siguiente comando:

   kubectl edit secret git-creds \
    --namespace=config-management-system
   

   A continuación, en data, añade la entrada de hosts conocidos:

   known_hosts: KNOWN_HOSTS_KEY
   

5. Elimina la clave privada del disco local o toma medidas para protegerla.

6. Cuando configures Config Sync y añadas la URL de tu repositorio de Git, utiliza el protocolo SSH. Si utilizas un repositorio en Cloud Source Repositories, debes usar el siguiente formato al introducir la URL:

   ssh://EMAIL@source.developers.google.com:2022/p/PROJECT_ID/r/REPO_NAME
   

   Haz los cambios siguientes:

   • EMAIL: tu Google Cloud nombredeusuario
   • PROJECT_ID: ID del proyecto Google Cloud en el que se encuentra el repositorio
   • REPO_NAME: el nombre del repositorio

Cookiefile

El proceso para adquirir un cookiefile depende de la configuración de tu repositorio. Por ejemplo, consulta el artículo sobre cómo generar credenciales estáticas en la documentación de Cloud Source Repositories. Normalmente, las credenciales se almacenan en el archivo .gitcookies de tu directorio principal. También es posible que las ofrezca un administrador de seguridad.

Para usar un cookiefile, sigue estos pasos:

1. Después de crear y obtener el cookiefile, añádelo a un nuevo secreto en el clúster.

   Si no usas un proxy HTTPS, crea el secreto con el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE
   

   Si necesitas usar un proxy HTTPS, añádelo al secreto junto con cookiefile ejecutando el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Haz los cambios siguientes:

   • /path/to/COOKIEFILE: la ruta y el nombre de archivo adecuados
   • HTTPS_PROXY_URL: la URL del proxy HTTPS que usas al comunicarte con el repositorio de Git.

2. Si aún necesitas el contenido de cookiefile de forma local, protégelo. De lo contrario, elimínalo.

Token

Si tu organización no permite usar claves SSH, puedes utilizar un token. Con Config Sync, puedes usar como token los tokens de acceso personal (PATs) de GitHub, los PATs o las claves de implementación de GitLab, o la contraseña de aplicación de Bitbucket.

Para crear un secreto a partir de un token, sigue estos pasos:

1. Crea un token con GitHub, GitLab o Bitbucket:

   • GitHub: crea un token de acceso personal. Concede al token el permiso repo para que pueda leer desde repositorios privados. Como el token de acceso personal se vincula a una cuenta de GitHub, te recomendamos que crees un usuario de máquina y vincules tu token de acceso personal a él.
   • GitLab crea un token de acceso personal o crea un token de implementación.
   • Bitbucket: crea una contraseña de aplicación.

2. Después de crear y obtener el token, añádelo a un nuevo secreto en el clúster.

   Si no usas un proxy HTTPS, crea el secreto con el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace="config-management-system" \
     --from-literal=username=USERNAME \
     --from-literal=token=TOKEN
   

   Haz los cambios siguientes:

   • USERNAME: el nombre de usuario que quieras usar.
   • TOKEN: el token que has creado en el paso anterior.

   Si necesitas usar un proxy HTTPS, añádelo al secreto junto con username y token ejecutando el siguiente comando:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
     --from-literal=token=TOKEN \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Haz los cambios siguientes:

   • USERNAME: el nombre de usuario que quieras usar.
   • TOKEN: el token que has creado en el paso anterior.
   • HTTPS_PROXY_URL: la URL del proxy HTTPS que usas al comunicarte con el repositorio de Git.

3. Si aún necesitas el token de forma local, protégelo. De lo contrario, elimínalo.

Cuenta de servicio de Google

Si tu repositorio está en Cloud Source Repositories o en Secure Source Manager y tu clúster usa Federación de identidades de carga de trabajo de GKE para GKE o Federación de identidades de carga de trabajo de la flota para GKE, puedes concederle a Config Sync acceso a un repositorio que esté en el mismo proyecto que tu clúster gestionado mediante una cuenta de servicio de Google.

1. Si aún no tienes una cuenta de servicio, crea una.

2. Concede los roles de gestión de identidades y accesos correctos a la cuenta de servicio para que pueda acceder al repositorio:

   Cloud Source Repositories

   Concede el rol de lector de Cloud Source Repositories (roles/source.reader) de IAM a la cuenta de servicio de Google. Para obtener más información sobre los roles y permisos de Cloud Source Repositories, consulta Conceder permisos para ver repositorios.

   • Concede permisos en todo el proyecto si los mismos permisos se aplican a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role=roles/source.reader \
       --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

   • Concede permisos específicos de repositorio cuando quieras que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud source repos set-iam-policy REPOSITORY POLICY_FILE --project=PROJECT_ID
     

   Secure Source Manager

   Concede los roles de gestión de identidades y accesos Accesor de instancias de Secure Source Manager (roles/securesourcemanager.instanceAccessor) y Lector de repositorios de Secure Source Manager (roles/securesourcemanager.repoReader) a la cuenta de servicio de Google. Para obtener más información sobre los roles y permisos de Secure Source Manager, consulta Gestión de roles de repositorio.

   • Concede permisos en todo el proyecto si los mismos permisos se aplican a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role=roles/securesourcemanager.instanceAccessor \
       --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role=roles/securesourcemanager.repoReader \
       --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

   • Para conceder permisos específicos de un repositorio, puedes usar la interfaz web de Secure Source Manager del repositorio. Para obtener más información, consulta Conceder roles a nivel de repositorio a los usuarios.

3. Si configura Config Sync mediante la Google Cloud consola, seleccione Federación de identidades de cargas de trabajo para GKE como Tipo de autenticación y, a continuación, añada el correo de su cuenta de servicio.

   Si configuras Config Sync con la CLI de Google Cloud, añade gcpserviceaccount como secretType y, a continuación, añade la dirección de correo de tu cuenta de servicio a gcpServiceAccountEmail.

4. Si usas un repositorio en Secure Source Manager, debes usar el siguiente formato al configurar Config Sync y añadir la URL de tu repositorio de Git:

   https://INSTANCE_ID-PROJECT_NUMBER-git.LOCATION.sourcemanager.dev/PROJECT_ID/REPO_NAME.git
   

   Haz los cambios siguientes:

   • INSTANCE_ID: el nombre de tu instancia de Secure Source Manager.
   • PROJECT_ID: el ID del proyecto Google Cloud en el que se encuentra la instancia.
   • PROJECT_NUMBER: el Google Cloud número de proyecto en el que se encuentra la instancia.
   • LOCATION: la región en la que se encuentra tu instancia.
   • REPO_NAME: el nombre del repositorio.

5. Después de configurar Config Sync, crea un enlace de política de gestión de identidades y accesos entre la cuenta de servicio de Kubernetes y la cuenta de servicio de Google. La cuenta de servicio de Kubernetes no se crea hasta que configuras Config Sync por primera vez.

   Si usas clústeres registrados en una flota, solo tienes que crear el enlace de la política una vez por flota. Todos los clústeres registrados en una flota comparten el mismo grupo de Workload Identity Federation for GKE. Con el concepto de igualdad de la flota, si añades la política de gestión de identidades y accesos a tu cuenta de servicio de Kubernetes en un clúster, la cuenta de servicio de Kubernetes del mismo espacio de nombres en otros clústeres de la misma flota también obtendrá la misma política de gestión de identidades y accesos.

   Este enlace permite que la cuenta de servicio de Kubernetes de Config Sync actúe como la cuenta de servicio de Google:

   gcloud iam service-accounts add-iam-policy-binding \
       GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --role=roles/iam.workloadIdentityUser \
       --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
       --project=PROJECT_ID
   

Haz los cambios siguientes:

• PROJECT_ID: el ID del proyecto de la organización.
• FLEET_HOST_PROJECT_ID: si usas GKE Workload Identity Federation for GKE, es lo mismo que PROJECT_ID. Si usas la federación de identidades de carga de trabajo de flota para GKE, este es el ID del proyecto de la flota en la que está registrado tu clúster.
• GSA_NAME: la cuenta de servicio de Google personalizada que quieres usar para conectarte a Artifact Registry. La cuenta de servicio debe tener el rol de gestión de identidades y accesos Lector de Artifact Registry (roles/artifactregistry.reader).
• KSA_NAME: la cuenta de servicio de Kubernetes del reconciliador.
  • En el caso de los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME. Si instalas Config Sync mediante la consola o la CLI de Google Cloud, Config Sync crea automáticamente un objeto RootSync llamado root-sync. Google Cloud
• REPOSITORY: el nombre del repositorio.
• POLICY_FILE: el archivo JSON o YAML con la política de gestión de identidades y accesos.

Cuenta de servicio predeterminada de Compute Engine

Si tu repositorio está en Cloud Source Repositories y tu clúster es de GKE con Workload Identity Federation for GKE inhabilitado, puedes usar gcenode como tipo de autenticación.

Si configuras Config Sync mediante la Google Cloud consola, selecciona Repositorio de Google Cloud como Tipo de autenticación.

Si configuras Config Sync con la CLI de Google Cloud, añade gcenode como secretType.

Si seleccionas Repositorio de Google Cloud o gcenode, podrás usar la cuenta de servicio predeterminada de Compute Engine. Debes conceder el rol de gestión de identidades y accesos Lector de Cloud Source Repositories (roles/source.reader) a la cuenta de servicio predeterminada de Compute Engine. Para obtener más información sobre los roles y permisos de Cloud Source Repositories, consulta Conceder permisos para ver repositorios.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --role=roles/source.reader \
  --member="serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com"

Sustituye PROJECT_ID por el ID del proyecto de tu organización y PROJECT_NUMBER por el número del proyecto de tu organización.

Aplicación de GitHub

Si tu repositorio está en GitHub, puedes usar githubapp como tipo de autenticación.

Para usar una aplicación de GitHub, sigue estos pasos:

1. Sigue las instrucciones de GitHub para aprovisionar una aplicación de GitHub y darle permiso para leer tu repositorio.

2. Añade la configuración de la aplicación de GitHub a un nuevo secreto en el clúster:

   Usar el ID de cliente

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace=config-management-system \
     --from-literal=github-app-client-id=CLIENT_ID \
     --from-literal=github-app-installation-id=INSTALLATION_ID \
     --from-file=github-app-private-key=/path/to/GITHUB_PRIVATE_KEY \
     --from-literal=github-app-base-url=BASE_URL
   

   • Sustituye CLIENT_ID por el ID de cliente de la aplicación de GitHub.
   • Sustituye INSTALLATION_ID por el ID de instalación de la aplicación GitHub.
   • Sustituye /path/to/GITHUB_PRIVATE_KEY por el nombre del archivo que contiene la clave privada.
   • Sustituye BASE_URL por la URL base del endpoint de la API de GitHub. Solo es necesario cuando el repositorio no está alojado en www.github.com. De lo contrario, se puede omitir el argumento y se usará https://api.github.com/ de forma predeterminada.

   Usar el ID de aplicación

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace=config-management-system \
     --from-literal=github-app-application-id=APPLICATION_ID \
     --from-literal=github-app-installation-id=INSTALLATION_ID \
     --from-file=github-app-private-key=/path/to/GITHUB_PRIVATE_KEY \
     --from-literal=github-app-base-url=BASE_URL
   

   • Sustituye APPLICATION_ID por el ID de la aplicación de GitHub.
   • Sustituye INSTALLATION_ID por el ID de instalación de la aplicación GitHub.
   • Sustituye /path/to/GITHUB_PRIVATE_KEY por el nombre del archivo que contiene la clave privada.
   • Sustituye BASE_URL por la URL base del endpoint de la API de GitHub. Solo es necesario cuando el repositorio no está alojado en www.github.com. De lo contrario, se puede omitir el argumento y se usará https://api.github.com/ de forma predeterminada.

3. Elimina la clave privada del disco local o toma medidas para protegerla.

4. Cuando configures Config Sync y añadas la URL de tu repositorio de Git, usa el tipo de autenticación githubapp.

Cuenta de servicio de Kubernetes

Puedes usar una cuenta de servicio de Kubernetes como tipo de autenticación si almacenas tu imagen OCI en Artifact Registry y tu clúster usa Workload Identity Federation para GKE o Workload Identity Federation para GKE de una flota.

1. Concede el rol de gestión de identidades y accesos Lector de Artifact Registry (roles/artifactregistry.reader) a la cuenta de servicio de Kubernetes con el grupo de federación de identidades de carga de trabajo para GKE. Para obtener más información sobre los roles y permisos de Artifact Registry, consulta Configurar roles y permisos de Artifact Registry.

   • Concede permisos en todo el proyecto si los mismos permisos se aplican a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
           --role=roles/artifactregistry.reader \
           --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
     

   • Concede permisos específicos de repositorio cuando quieras que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
        --project=PROJECT_ID
     

   Haz los cambios siguientes:

   • PROJECT_ID: el ID del proyecto de la organización.
   • FLEET_HOST_PROJECT_ID: si usas GKE Workload Identity Federation for GKE, es lo mismo que PROJECT_ID. Si usas la federación de identidades de carga de trabajo de flota para GKE, este es el ID del proyecto de la flota en la que está registrado tu clúster.
   • KSA_NAME: la cuenta de servicio de Kubernetes del reconciliador.
     • En el caso de los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME. Si instalas Config Sync mediante la consola o la CLI de Google Cloud, Config Sync crea automáticamente un objeto RootSync llamado root-sync. Google Cloud
   • REPOSITORY: el ID del repositorio.
   • LOCATION: la ubicación regional o multirregional del repositorio.

Cuenta de servicio predeterminada de Compute Engine

Si almacenas tu gráfico de Helm en Artifact Registry y tu clúster es de GKE con Workload Identity Federation for GKE inhabilitado, puedes usar gcenode como tipo de autenticación. Config Sync usa la cuenta de servicio predeterminada de Compute Engine. Debes conceder acceso de lectura a Artifact Registry a tu cuenta de servicio predeterminada de Compute Engine.

1. Concede a la cuenta de servicio de Compute Engine permiso de lectura en Artifact Registry ejecutando el siguiente comando:

   gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
      --role=roles/artifactregistry.reader
   

   Sustituye PROJECT_ID por el ID del proyecto de tu organización y PROJECT_NUMBER por el número del proyecto de tu organización.

Token

Crea un secreto con el nombre de usuario y la contraseña del repositorio de Helm:

kubectl create secret generic SECRET_NAME \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
    --from-literal=password=PASSWORD

Haz los cambios siguientes:

• SECRET_NAME: el nombre que quieras dar al secreto.
• USERNAME: nombre de usuario del repositorio de Helm.
• PASSWORD: la contraseña del repositorio de Helm.

Cuando configures Config Sync (Configurar Config Sync), usarás el nombre de secreto que hayas elegido para spec.helm.secretRef.name.

Cuenta de servicio de Kubernetes

Puedes usar una cuenta de servicio de Kubernetes como tipo de autenticación si almacenas tu gráfico de Helm en Artifact Registry y tu clúster usa Workload Identity Federation para GKE o Workload Identity Federation para GKE de una flota.

1. Concede el rol de gestión de identidades y accesos Lector de Artifact Registry (roles/artifactregistry.reader) a la cuenta de servicio de Kubernetes con el grupo de federación de identidades de carga de trabajo para GKE. Para obtener más información sobre los roles y permisos de Artifact Registry, consulta Configurar roles y permisos de Artifact Registry.

   • Concede permisos en todo el proyecto si los mismos permisos se aplican a todos los repositorios del proyecto.

     gcloud projects add-iam-policy-binding PROJECT_ID \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
     

   • Concede permisos específicos de repositorio cuando quieras que las cuentas de servicio tengan diferentes niveles de acceso para cada repositorio de tu proyecto.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
        --project=PROJECT_ID
     

   Haz los cambios siguientes:

   • PROJECT_ID: el ID del proyecto de la organización.
   • FLEET_HOST_PROJECT_ID: si usas GKE Workload Identity Federation for GKE, es lo mismo que PROJECT_ID. Si usas la federación de identidades de carga de trabajo de flota para GKE, este es el ID del proyecto de la flota en la que está registrado tu clúster.
   • KSA_NAME: la cuenta de servicio de Kubernetes del reconciliador.
     • En el caso de los repositorios raíz, si el nombre de RootSync es root-sync, usa root-reconciler. De lo contrario, usa root-reconciler-ROOT_SYNC_NAME.
   • REPOSITORY: el ID del repositorio.
   • LOCATION: la ubicación regional o multirregional del repositorio.

Cuenta de servicio predeterminada de Compute Engine

Si almacenas tu gráfico de Helm en Artifact Registry y tu clúster es de GKE con Workload Identity Federation for GKE inhabilitado, puedes usar gcenode como tipo de autenticación. Config Sync usa la cuenta de servicio predeterminada de Compute Engine. Debes conceder acceso de lectura a Artifact Registry a tu cuenta de servicio predeterminada de Compute Engine. Es posible que tengas que conceder el storage-ro ámbito de acceso para conceder permiso de solo lectura para extraer imágenes.

1. Concede a la cuenta de servicio de Compute Engine permiso de lectura en Artifact Registry:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
       --role=roles/artifactregistry.reader
   

   Sustituye PROJECT_ID por el ID del proyecto de tu organización y PROJECT_NUMBER por el número del proyecto de tu organización.

Consola

Instalar Config Sync

Para instalar Config Sync, todos los clústeres deben estar registrados en una flota. Cuando instalas Config Sync en la consola, al seleccionar clústeres individuales, estos se registran automáticamente en tu flota. Google Cloud

1. En la Google Cloud consola, ve a la página Configuración de la sección Funciones.

   Ve a Configuración

2. Haz clic en add Instalar Config Sync.
3. Selecciona la versión de Config Sync que quieras usar.
4. En Opciones de instalación, selecciona una de las siguientes opciones:
   • Instalar Config Sync en toda la flota (opción recomendada): Config Sync se instalará en todos los clústeres de la flota.
   • Instalar Config Sync en clústeres individuales: todos los clústeres seleccionados se registrarán automáticamente en una flota. Config Sync se instalará en todos los clústeres de la flota.
5. Si vas a instalar Config Sync en clústeres concretos, en la tabla Available clusters (Clústeres disponibles), selecciona los clústeres en los que quieras instalar Config Sync.
6. Haz clic en Instalar Config Sync. En la pestaña Configuración, al cabo de unos minutos, debería aparecer el valor Habilitado en la columna Estado de los clústeres de tu flota.

Desplegar un paquete

Una vez que hayas registrado tus clústeres en una flota e instalado Config Sync, puedes configurar Config Sync para desplegar un paquete en un clúster desde una fuente de información veraz. Puedes desplegar el mismo paquete en varios clústeres o desplegar diferentes paquetes en distintos clústeres. Puedes editar un paquete después de implementarlo, excepto algunos ajustes, como el nombre del paquete y el tipo de sincronización. Para obtener más información, consulta Gestionar paquetes.

Para implementar un paquete, sigue estos pasos:

1. En la Google Cloud consola, ve al panel de control Config Sync.

   Ir al panel de control de Config Sync

2. Haz clic en Desplegar paquete.

3. En la tabla Seleccionar clústeres para la implementación de paquetes, seleccione el clúster en el que quiera implementar un paquete y, a continuación, haga clic en Continuar.

4. Seleccione Paquete alojado en Git o Paquete alojado en OCI como tipo de fuente y, a continuación, haga clic en Continuar.

5. En la sección Package details (Detalles del paquete), introduce un Package name (Nombre del paquete), que identifica el objeto RootSync o RepoSync.

6. En el campo Tipo de sincronización, elige Sincronización con ámbito de clúster o Sincronización con ámbito de espacio de nombres como tipo de sincronización.

   La sincronización con ámbito de clúster crea un objeto RootSync, mientras que la sincronización con ámbito de espacio de nombres crea un objeto RepoSync. Para obtener más información sobre estos objetos, consulta el artículo Arquitectura de Config Sync.

7. En la sección Origen, haz lo siguiente:

   • En el caso de las fuentes alojadas en un repositorio de Git, introduce los siguientes campos:

     1. Introduce la URL del repositorio de Git que estés usando como fuente de información principal en el campo URL del repositorio.
     2. Opcional: Actualiza el campo Revisión para comprobar si no estás usando el valor predeterminado HEAD.
     3. Opcional: Actualiza el campo Ruta si no quieres sincronizar desde el repositorio raíz.
     4. Opcional: Actualiza el campo Rama si no usas la rama main predeterminada.

   • En el caso de las fuentes alojadas en una imagen de OCI, introduce los siguientes campos:

     1. Introduce la URL de la imagen OCI que estés usando como fuente de información principal en el campo Imagen.
     2. Introduce la ruta del directorio desde el que se va a sincronizar, relativa al directorio raíz, en el campo Directorio.

8. (Opcional): Despliega la sección Configuración avanzada para completar lo siguiente:

   1. Selecciona un Tipo de autenticación. Config Sync necesita acceso de solo lectura a tu fuente de información veraz para leer los archivos de configuración de la fuente y aplicarlos a tus clústeres. A menos que tu fuente no requiera autenticación, como un repositorio público, asegúrate de conceder a Config Sync acceso de solo lectura a tu repositorio de Git, imagen OCI o gráfico de Helm (solo en la CLI de gcloud). Elige el mismo tipo de autenticación que configuraste al instalar Config Sync:

      • Ninguna: no se usa ninguna autenticación.
      • SSH autentica mediante un par de claves SSH.
      • Cookiefile: autentica mediante un cookiefile.
      • Token: autentícate con un token de acceso o una contraseña.
      • Repositorio de Google Cloud: usa una cuenta de servicio de Google para acceder a un repositorio de Cloud Source Repositories. Selecciona esta opción solo si la federación de identidades de carga de trabajo para GKE no está habilitada en tu clúster.
      • Workload Identity: usa una cuenta de servicio de Google para acceder a un repositorio de Cloud Source Repositories.

   2. Introduce un número en segundos para definir el Tiempo de espera de sincronización, que determina cuánto tiempo espera Config Sync entre los intentos de extraer datos de la fuente de información veraz.

   3. Introduce una URL de proxy de Git para el proxy HTTPS que se usará al comunicarse con la fuente de información principal.

   4. Elige Jerarquía para cambiar el Formato de origen.

      En la mayoría de los casos, se recomienda usar el valor predeterminado Sin estructura, ya que te permite organizar tu fuente de información como quieras.

9. Haz clic en Desplegar paquete.

   Se te redirigirá a la página Paquetes de Config Sync. Al cabo de unos minutos, debería ver el estado Sincronizado en la columna Estado de sincronización del clúster que ha configurado.

gcloud

Antes de continuar, asegúrate de haber registrado tus clústeres en una flota.

1. Habilita la función de flota ConfigManagement:

   gcloud beta container fleet config-management enable
   

2. Prepara la configuración creando un apply-spec.yaml manifiesto o usando uno que ya tengas. Si usas un manifiesto, puedes configurar tu clúster con los mismos ajustes que otro clúster.

   Crear un manifiesto

   Para configurar Config Sync con nuevos ajustes para tu clúster, crea un archivo llamado apply-spec.yaml y copia el siguiente archivo YAML en él.

   Puedes definir todos los campos spec.configSync opcionales que necesites al crear el manifiesto y, más adelante, usar los comandos kubectl para la configuración. También puedes definir el campo spec.configSync.enabled como true y omitir los campos opcionales. Después, puede usar comandos kubectl para crear objetos RootSync adicionales o RepoSyncs que podrá gestionar por completo con comandos kubectl más adelante.

   # apply-spec.yaml
   
   applySpecVersion: 1
   spec:
     configSync:
       enabled: true
       # If you don't have a source of truth yet, omit the
       # following fields. You can configure them later.
       sourceType: SOURCE_TYPE
       sourceFormat: FORMAT
       syncRepo: REPO
       syncRev: REVISION
       syncBranch: BRANCH
       secretType: SECRET_TYPE
       gcpServiceAccountEmail: EMAIL
       metricsGcpServiceAccountEmail: METRICS_EMAIL
       policyDir: DIRECTORY
       preventDrift: PREVENT_DRIFT
   

   Haz los cambios siguientes:

   • SOURCE_TYPE: añade git para sincronizar desde un repositorio de Git, oci para sincronizar desde una imagen OCI o helm para sincronizar desde un gráfico de Helm. Si no se especifica ningún valor, se usa git de forma predeterminada.
   • FORMAT: añade unstructured para usar un repositorio no estructurado o añade hierarchy para usar un repositorio jerárquico. En estos valores se distingue entre mayúsculas y minúsculas. Este campo es opcional y su valor predeterminado es hierarchy. Te recomendamos que añadas unstructured, ya que este formato te permite organizar tus configuraciones de la forma que te resulte más cómoda.

   • REPO: añade la URL de la fuente de información veraz. Las URLs de los repositorios de Git y Helm usan el protocolo HTTPS o SSH. Por ejemplo, https://github.com/GoogleCloudPlatform/anthos-config-management-samples. Si tienes previsto usar SSH como secretType, introduce tu URL con el protocolo SSH. Este campo es obligatorio y, si no introduces ningún protocolo, la URL se tratará como una URL HTTPS.

     Las URLs de OCI tienen el siguiente formato: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME. De forma predeterminada, la imagen se extrae de la etiqueta latest, pero puedes extraer imágenes con TAG o DIGEST. Especifica TAG o DIGEST en PACKAGE_NAME:

     • Para tirar por TAG: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
     • Para tirar por DIGEST: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST

   • REVISION: la revisión de Git (etiqueta o hash) o el nombre de la rama desde la que se sincronizará. Cuando se utilice un hash, debe ser un hash completo, no una forma abreviada.

   • SECRET_TYPE: una de las siguientes secretTypes:

     git

     • none: no se usa ninguna autenticación.
     • ssh: usa un par de claves SSH.
     • cookiefile: usa un cookiefile.
     • token: usa un token.
     • gcpserviceaccount: usa una cuenta de servicio de Google para acceder a un repositorio de Cloud Source Repositories o Secure Source Manager. Si selecciona este tipo de autenticación, deberá crear un enlace de política de IAM después de terminar de configurar Config Sync. Para obtener más información, consulta la pestaña Cuenta de servicio de Google de la sección Conceder acceso de solo lectura a Git a Config Sync.
     • gcenode: usa una cuenta de servicio de Google para acceder a Cloud Source Repositories. Selecciona esta opción solo si Workload Identity Federation para GKE no está habilitado en tu clúster.
     • githubapp: usa una aplicación de GitHub para autenticarte en un repositorio de GitHub.

     Para obtener más información sobre estos tipos de autenticación, consulta el artículo Conceder acceso de solo lectura a Git a Config Sync.

     oci

     • none: no usar autenticación
     • gcenode: usa la cuenta de servicio predeterminada de Compute Engine para acceder a una imagen de Artifact Registry. Selecciona esta opción solo si Workload Identity Federation para GKE no está habilitado en tu clúster.
     • gcpserviceaccount: usa una cuenta de servicio de Google para acceder a una imagen.

     Helm

     • token: usa un token.
     • gcenode: usa la cuenta de servicio predeterminada de Compute Engine para acceder a una imagen de Artifact Registry. Selecciona esta opción solo si Workload Identity Federation para GKE no está habilitado en tu clúster.
     • gcpserviceaccount: usa una cuenta de servicio de Google para acceder a una imagen.

   • EMAIL: si has añadido gcpserviceaccount como tu secretType, añade la dirección de correo de tu cuenta de servicio de Google. Por ejemplo, acm@PROJECT_ID.iam.gserviceaccount.com.

   • METRICS_EMAIL: el correo electrónico de la Google Cloud cuenta de servicio (GSA) que se usa para exportar métricas de Config Sync a Cloud Monitoring. La cuenta de servicio de Google debe tener el rol de gestión de identidades y accesos Editor de métricas de monitorización (roles/monitoring.metricWriter). La cuenta de servicio de Kubernetes default del espacio de nombres config-management-monitoring debe estar vinculada a la cuenta de servicio de Google.

   • DIRECTORY: la ruta del directorio desde el que se va a sincronizar, relativa a la raíz del repositorio de Git. Todos los subdirectorios del directorio que especifique se incluirán y se sincronizarán con el clúster. El valor predeterminado es el directorio raíz del repositorio.

   • PREVENT_DRIFT: si se define como true, habilita el webhook de admisión de Config Sync para evitar las desviaciones rechazando los cambios conflictivos que se envían a los clústeres activos. El valor predeterminado es false. Config Sync siempre corrige las desviaciones, independientemente del valor de este campo.

   Para ver una lista completa de los campos que puedes añadir al campo spec, consulta gcloud fields.

   Usar manifiesto actual

   Para configurar tu clúster con los mismos ajustes que otro clúster, obtén los ajustes de un clúster registrado:

   gcloud alpha container fleet config-management fetch-for-apply \
       --membership=MEMBERSHIP_NAME \
       --project=PROJECT_ID \
       > CONFIG_YAML_PATH
   

   Haz los cambios siguientes:

   • MEMBERSHIP_NAME: el nombre de miembro del clúster registrado que tiene la configuración de Config Sync que quieres usar
   • PROJECT_ID: tu ID de proyecto
   • CONFIG_YAML_PATH: la ruta al archivo apply-spec.yaml, que contiene los ajustes obtenidos del clúster.

3. Aplica el archivo apply-spec.yaml. Si usas un manifiesto, debes aplicar el archivo al clúster que quieras configurar con los ajustes que has obtenido en el comando anterior:

   gcloud beta container fleet config-management apply \
       --membership=MEMBERSHIP_NAME \
       --config=CONFIG_YAML_PATH \
       --project=PROJECT_ID
   

   Haz los cambios siguientes:

   • MEMBERSHIP_NAME: el nombre de la pertenencia a la flota que elegiste al registrar tu clúster. Puedes encontrar el nombre con gcloud container fleet memberships list.
   • CONFIG_YAML_PATH: la ruta a tu archivo apply-spec.yaml.
   • PROJECT_ID: tu ID de proyecto.

Terraform

Para cada clúster en el que quieras configurar Config Sync, aplica un bloque de recursos google_gkehub_feature_membership que contenga bloques configmanagement y config_sync, como en el siguiente ejemplo:

data "google_project" "default" {}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-basic"
  location = "us-central1"

  fleet {
    project = data.google_project.default.project_id
  }

  enable_autopilot = true
}

resource "google_gke_hub_feature" "configmanagement_feature" {
  name     = "configmanagement"
  location = "global"
}

resource "google_gke_hub_feature_membership" "configmanagement_feature_member" {
  location = "global"

  feature             = google_gke_hub_feature.configmanagement_feature.name
  membership          = google_container_cluster.default.fleet[0].membership_id
  membership_location = google_container_cluster.default.fleet[0].membership_location

  configmanagement {
    config_sync {
      # The field `enabled` was introduced in Terraform version 5.41.0, and
      # needs to be set to `true` explicitly to install Config Sync.
      enabled = true
      git {
        sync_repo   = "REPO"
        sync_branch = "BRANCH"
        policy_dir  = "DIRECTORY"
        secret_type = "SECRET"
      }
    }
  }
}

data "google_project" "default" {}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-basic"
  location = "us-central1"

  fleet {
    project = data.google_project.default.project_id
  }

  enable_autopilot = true
}

resource "google_gke_hub_feature" "configmanagement_feature" {
  name     = "configmanagement"
  location = "global"
}

resource "google_gke_hub_feature_membership" "configmanagement_feature_member" {
  location = "global"

  feature             = google_gke_hub_feature.configmanagement_feature.name
  membership          = google_container_cluster.default.fleet[0].membership_id
  membership_location = google_container_cluster.default.fleet[0].membership_location

  configmanagement {
    config_sync {
      # The field `enabled` was introduced in Terraform version 5.41.0, and
      # needs to be set to `true` explicitly to install Config Sync.
      enabled = true
      oci {
        sync_repo   = "REPO"
        policy_dir  = "DIRECTORY"
        secret_type = "SECRET"
      }
    }
  }
}

Repite este proceso con cada clúster que quieras sincronizar.

Para obtener más información sobre cómo usar Terraform, consulta Compatibilidad de Terraform con Config Sync.

gcloud

Ejecuta el comando enable de la función y pasa el apply-spec.yaml archivo de configuración que creaste cuando configuraste Config Sync en un clúster concreto:

gcloud beta container fleet config-management enable \
    --fleet-default-member-config=apply-spec.yaml

Puedes usar este comando para actualizar la configuración predeterminada de tu flota en cualquier momento. Si actualizas la configuración predeterminada de tu flota, debes volver a sincronizar los clústeres con la configuración predeterminada.

Consola

1. En la Google Cloud consola, ve a la página Gestor de funciones.

   Ir a Gestor de funciones

2. En el panel Config Sync (Sincronización de configuración), haga clic en Configure (Configurar).

3. Revisa la configuración a nivel de flota. Todos los clústeres que crees en la flota heredarán estos ajustes.

4. Opcional: Para cambiar los ajustes predeterminados, haz clic en Personalizar ajustes de la flota. En el cuadro de diálogo que aparece, haz lo siguiente:

   1. Selecciona la versión de Config Sync que quieras usar.
   2. Haz clic en Guardar cambios.

5. Haz clic en Configurar.

6. En el cuadro de diálogo de confirmación Configurar ajustes de la flota, haz clic en Confirmar. Si no has habilitado Config Sync anteriormente, al hacer clic en Confirm (Confirmar), también se habilitará la API anthosconfigmanagement.googleapis.com.

Terraform

Para habilitar Config Sync en una flota, consulta el siguiente ejemplo:

resource "google_gke_hub_feature" "default" {
  name     = "configmanagement"
  location = "global"

  fleet_default_member_config {
    configmanagement {
      config_sync {
        # The field `enabled` was introduced in Terraform version 5.41.0, and
        # needs to be set to `true` explicitly to install Config Sync.
        enabled = true
        git {
          sync_repo   = "REPO"
          sync_branch = "BRANCH"
          policy_dir  = "DIRECTORY"
          secret_type = "SECRET"
        }
      }
    }
  }
}

resource "google_gke_hub_feature" "configmanagement_feature_member" {
  name     = "configmanagement"
  location = "global"

  fleet_default_member_config {
    configmanagement {
      config_sync {
        # The field `enabled` was introduced in Terraform version 5.41.0, and
        # needs to be set to `true` explicitly to install Config Sync.
        enabled = true
        oci {
          sync_repo   = "REPO"
          policy_dir  = "DIRECTORY"
          secret_type = "SECRET"
        }
      }
    }
  }
}

Para obtener más información sobre cómo usar Terraform, consulta Compatibilidad de Terraform con Config Sync.

gcloud

1. Sincroniza una suscripción con la configuración predeterminada de la flota:

   gcloud beta container fleet config-management apply \
       --origin=FLEET \
       --membership=MEMBERSHIP_NAME
   

   Sustituye MEMBERSHIP_NAME por el nombre de la pertenencia a la flota del clúster que quieras sincronizar con la configuración predeterminada de la flota.

2. Confirma que las configuraciones de tu suscripción se han sincronizado con la configuración predeterminada de la flota:

   gcloud beta container fleet config-management status
   

   El resultado de este comando debe mostrarse como Yes para el estado Synced_to_Fleet_Default de la suscripción que has sincronizado.

consola

1. Ve a Gestor de funciones:

   Ve a Gestor de funciones: Config Sync

2. En la tabla de clústeres, selecciona los clústeres que quieras sincronizar con los ajustes de la flota.

3. Haz clic en Sincronizar con la configuración común.

Consola

Este agente debe seguir estos pasos:

1. En la Google Cloud consola, ve a la página Configuración de la sección Funciones.

   Ve a Configuración

2. En la pestaña Paquetes, consulte la columna Estado de sincronización de la tabla de clústeres. Si Config Sync se ha instalado correctamente, su estado será Instalado. Una fuente de información configurada correctamente tiene el estado Sincronizado.

gcloud

Ejecuta el siguiente comando:

gcloud beta container fleet config-management status \
    --project=PROJECT_ID

Sustituye PROJECT_ID por el ID de tu proyecto.

Si la instalación se ha realizado correctamente, el estado será SYNCED y se mostrará la versión de Config Sync instalada.

Si aparece un error después de ejecutar el comando anterior, asegúrate de haber creado el git-creds secreto. Si has creado el secreto, prueba a volver a ejecutar el siguiente comando:

gcloud beta container fleet config-management apply