Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci gli oggetti cluster esistenti

Quando Config Sync gestisce un oggetto cluster, controlla l'oggetto e l'insieme di configurazioni nel repository che interessano l'oggetto e ne garantisce che sono sincronizzate. Questo argomento descrive come iniziare a gestire un oggetto esistente come smettere di gestire un oggetto attualmente gestito senza eliminare .

Un oggetto in un cluster è gestito da Config Sync se presenta configmanagement.gke.io/managed: enabled e relative configsync.gke.io/resource-id, che tiene traccia di gruppo, tipo, e le informazioni sul nome dell'oggetto siano corrette.

Il formato dell'annotazione configsync.gke.io/resource-id è GROUP_KIND_NAMESPACE_NAME per un oggetto con ambito dello spazio dei nomi e GROUP_KIND_NAME per un oggetto con ambito cluster.

Il seguente diagramma di flusso descrive alcune situazioni in cui un oggetto gestite o non gestite:

Come gestire o annullare la gestione di un oggetto Kubernetes con Config Sync

Il grafico contiene tre flussi separati: 1) iniziare a gestire un oggetto, 2) arrestare gestione di un oggetto e 3) eliminare un oggetto gestito.

Voglio iniziare a gestire un oggetto. L'oggetto ha un manifest? O, in altre parole, l'oggetto ha una configurazione nel repository?
- No: crea una configurazione per dell'oggetto. Config Sync imposta l'annotazione configmanagement.gke.io/managed: enabled, imposta configsync.gke.io/resource-id in modo che corrisponda all'oggetto e inizia a gestire .
- Sì: la configurazione imposta la seguente annotazione? configmanagement.gke.io/managed: disabled
  - No: l'oggetto è gestito per impostazione predefinita.
  - Sì: modifica la configurazione per rimuovere Annotazione configmanagement.gke.io/managed: disabled. Quando viene eseguito il push della modifica al repository di origine, Config Sync nota la modifica, applica l'annotazione configmanagement.gke.io/managed: enabled e l'annotazione configsync.gke.io/resource-id e applica la configurazione.
Voglio smettere di gestire un oggetto ma non eliminarlo.
- Modifica la configurazione dell'oggetto nel repository e imposta l'annotazione configmanagement.gke.io/managed: disabled. Quando la modifica della configurazione viene rilevato, Config Sync smette di gestire l'oggetto.
Voglio interrompere la gestione di un oggetto ed eliminarlo.
- Elimina la configurazione dell'oggetto dal repository. Quando elimini una configurazione gestito in precedenza, Config Sync elimina da tutti i cluster o gli spazi dei nomi a cui si applica la configurazione.

Oltre all'annotazione configmanagement.gke.io/managed: enabled e l'annotazione configsync.gke.io/resource-id, Config Sync applica l'etichetta app.kubernetes.io/managed-by: configmanagement.gke.io a tutti gli oggetti gestisce il traffico. Questa etichetta consente di elencare facilmente tutti gli oggetti di Config Sync.

Perché non applicare l'annotazione manualmente?

Config Sync utilizza un modello dichiarativo per applicare le modifiche alla configurazione ai cluster leggendo la configurazione desiderata dal repository. Se tenti di applicare l'annotazione manualmente (utilizzando lo kubectl o l'API Kubernetes), Config Sync esegue l'override del comando automaticamente con i contenuti del repository.

Prima di iniziare

I seguenti esempi si basano Inizia a utilizzare Config Sync. Prima di iniziare con i passaggi seguenti, segui la guida rapida e completa tutti dei passaggi prima di Esplora e testa l'installazione di Config Sync.

Elenco di tutti gli oggetti gestiti

Per elencare tutti gli oggetti gestiti da Config Sync su un determinato cluster oppure utilizza un selettore di etichette come il seguente:

kubectl get object-type -n namespace -l "app.kubernetes.io/managed-by=configmanagement.gke.io"

Per elencare tutti gli oggetti non gestiti da Config Sync, utilizza un'etichetta nel seguente modo:

kubectl get object-type -n namespace -l "app.kubernetes.io/managed-by!=configmanagement.gke.io"

Ad esempio, questo comando elenca i RoleBinding nello spazio dei nomi gamestore che sono gestiti da Config Sync:

kubectl get rolebindings -n gamestore \
    -l "app.kubernetes.io/managed-by=configmanagement.gke.io"

L'output è simile al seguente:

NAME                              ROLE                                          AGE
configsync.gke.io:ns-reconciler   ClusterRole/configsync.gke.io:ns-reconciler   34h
gamestore-admin                   ClusterRole/admin                             34h
gamestore-webstore-admin          ClusterRole/webstore-admin                    34h

Questo comando elenca i RoleBinding nello spazio dei nomi kube-system che non gestite da Config Sync:

kubectl get rolebindings -n kube-system \
    -l "app.kubernetes.io/managed-by!=configmanagement.gke.io"

L'output è simile al seguente:

NAME                                             AGE
fluentd-gcp-scaler-binding                       2d21h
gce:cloud-provider                               2d21h
heapster-binding                                 2d21h
metrics-server-auth-reader                       2d21h
system::leader-locking-kube-controller-manager   2d21h
system::leader-locking-kube-scheduler            2d21h
system:controller:bootstrap-signer               2d21h
system:controller:cloud-provider                 2d21h
system:controller:token-cleaner                  2d21h

Inizia a gestire un oggetto esistente

Puoi creare una configurazione per un oggetto Kubernetes esistente, ad esempio uno spazio dei nomi già esistente nel cluster prima di installare Config Sync. Tuttavia, questa configurazione viene ignorata a meno che l'oggetto non abbia l'annotazione configmanagement.gke.io/managed: enabled e il codice configsync.gke.io/resource-id corretto annotazione. Per un oggetto esistente, devi applicare l'annotazione manualmente.

In particolare per gli spazi dei nomi, Config Sync applica le configurazioni che creano nuovi oggetti all'interno di uno spazio dei nomi non annotato e applica configmanagement.gke.io/managed: enabled e configsync.gke.io/resource-id per questi oggetti. Tuttavia, Config Sync si rifiuta di modificare o rimuovere i dati non annotati con ambito cluster da un cluster. Questo è illustrato nel diagramma in Utilizzo delle configurazioni nel tempo.

L'esempio seguente mostra come gestire un oggetto Role esistente. Innanzitutto, crei un ruolo manualmente, quindi inizi a gestirlo con Config Sync.

Crea il ruolo myrole nello spazio dei nomi gamestore:

kubectl create role -n gamestore myrole --verb=get --resource=pods

Visualizza le autorizzazioni concesse dal ruolo myrole:

kubectl describe role -n gamestore myrole

Name:         myrole
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get]

Il ruolo ha l'autorizzazione solo per get pod.

A questo punto, il ruolo esiste nel cluster, ma Config Sync non lo sa.
1. In un terminale, vai al clone locale del tuo repository.
2. Usa questo comando per creare un manifest YAML per myrole e salva il manifest in un nuovo file denominato gamestore-myrole.yaml.
```
kubectl get role myrole -n gamestore -o yaml > gamestore-myrole.yaml
```
3. Modifica il file gamestore-myrole.yaml.
  1. Rimuovi tutti i campi sotto la chiave metadata, ad eccezione di name e namespace.
  2. Aggiungi il verbo list dopo get nel campo dell'elenco rules.verbs.
  Salva le modifiche. Il file risultante ha i seguenti contenuti:
```
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: myrole
  namespace: gamestore
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
```
4. Esegui il commit della modifica nel repository.
5. Attendi qualche istante affinché l'operatore ConfigManagement rilevi il commit. A verifica che il ruolo myrole sia ora gestito da Config Sync, esegui di nuovo kubectl describe.
```
kubectl describe role myrole -n gamestore
```

Osserva l'annotazione configmanagement.gke.io/managed: enabled, che indica che l'oggetto è gestito da Config Sync e l'annotazione configsync.gke.io/resource-id, che monitora le informazioni relative a gruppo, tipo, spazio dei nomi e nome. Nota anche che mostrano il percorso e il nome del file nel repository che ha causato recente modifica alla configurazione dell'oggetto e l'hash Git che rappresenta eseguire il commit.

Name:         myrole
Labels:       app.kubernetes.io/managed-by=configmanagement.gke.io
              configsync.gke.io/declared-version=v1
Annotations:  config.k8s.io/owning-inventory: config-management-system_root-sync
              configmanagement.gke.io/cluster-name: my-cluster
              configmanagement.gke.io/managed: enabled
              configmanagement.gke.io/source-path: config-sync-quickstart/multirepo/root/gamestore-myrole.yaml
              configmanagement.gke.io/token: 747b843a7ddbd945c0616034a935cf648b58e7b5
              configsync.gke.io/declared-fields: {"f:rules":{}}
              configsync.gke.io/git-context: {"repo":"https://github.com/GoogleCloudPlatform/anthos-config-management-samples","branch":"main","rev":"HEAD"}
              configsync.gke.io/manager: :root
              configsync.gke.io/resource-id: rbac.authorization.k8s.io_role_gamestore_myrole
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get list]

Interrompi la gestione di un oggetto gestito

Questo esempio mostra come interrompere la gestione di un oggetto di cui Config Sync che gestisci attualmente, ad esempio il ruolo myrole in Inizia a gestire un oggetto esistente.

Modifica il config-sync-quickstart/multirepo/root/rolebinding-gamestore-webstore-admin.yaml nel clone locale del repository e aggiungi una sezione annotations: che corrisponde al testo in grassetto seguente:

 kind: RoleBinding
 apiVersion: rbac.authorization.k8s.io/v1
 metadata:
   annotations:
     configmanagement.gke.io/managed: disabled
   name: gamestore-webstore-admin
   namespace: gamestore
 subjects:
 - kind: ServiceAccount
   name: ns-reconciler-gamestore
   namespace: config-management-system
 roleRef:
   kind: ClusterRole
   name: webstore-admin
   apiGroup: rbac.authorization.k8s.io

Salva il file.

Crea un commit Git con le tue modifiche ed esegui il push del commit nel repository.
Attendi qualche istante affinché Config Sync rilevi e applichi il nuovo eseguire il commit.

Utilizza il seguente comando per verificare le annotazioni e le etichette del Le associazioni RoleBinding gamestore-webstore-admin sono entrambe vuote. Config Sync non imposta l'annotazione configmanagement.gke.io/managed su disabled su dell'oggetto.

kubectl get rolebinding gamestore-webstore-admin -n gamestore -o yaml

apiVersion: rbac.authorization.k8s.io/v1
metadata:
  annotations:
  name: gamestore-webstore-admin
  namespace: gamestore
subjects:
- kind: ServiceAccount
  name: ns-reconciler-gamestore
  namespace: config-management-system
roleRef:
  kind: ClusterRole
  name: webstore-admin
  apiGroup: rbac.authorization.k8s.io

Dopo aver verificato che l'oggetto sia ora disabilitato, puoi rimuovere la configurazione dal repository e verificherai che l'oggetto ora non gestito non venga eliminato dalla lo spazio dei nomi. Se vuoi gestire di nuovo l'oggetto, devi e riaggiungerne la configurazione nel repository. Per questo motivo, potrebbe essere utile disattivare la gestione degli oggetti e lasceranno le loro configurazioni nel repository.

Ora che l'oggetto non è gestito, non viene creato o ricreato su nuovi oggetti esistenti e non viene rimosso nemmeno se esiste. Per riprendere la gestione per un oggetto che in precedenza avevi smesso di gestire, vedi l'esempio successivo. Riprendi a gestire un oggetto precedentemente non gestito.

Riprendi la gestione di un oggetto non gestito in precedenza

Questo esempio mostra come riprendere la gestione di un oggetto rimosso in precedenza come in Interrompere la gestione di un oggetto esistente. it presuppone che tu non abbia rimosso la configurazione per Associazione dei ruoli gamestore-webstore-admin.

Se hai eliminato l'associazione dei ruoli gamestore-webstore-admin dal repository in l'ultimo commit, segui questi passaggi.
1. Usa git revert per ripristinare l'ultimo commit:
```
git revert HEAD~1
```
  Ti viene chiesto di confermare l'operazione di ripristino.
2. Esegui il push del commit di ripristino nel repository.
```
git push
```
Modifica il config-sync-quickstart/multirepo/root/rolebinding-gamestore-webstore-admin.yaml nel clone locale del repository e rimuovi Annotazione configmanagement.gke.io/managed: disabled. Salva il file.
Esegui il commit e il push della modifica. Config Sync esegue quanto segue:
- Rileva la modifica
- Applica l'annotazione configmanagement.gke.io/managed: enabled e Annotazione configsync.gke.io/resource-id; ora l'oggetto è gestito.
- Applica la configurazione, come accadrebbe con qualsiasi oggetto gestito.

Per verificare che l'oggetto sia ora gestito, elencane le annotazioni:

kubectl get rolebinding gamestore-webstore-admin -n gamestore -o yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  annotations:
    configmanagement.gke.io/cluster-name: my-cluster
    configmanagement.gke.io/managed: enabled
    configsync.gke.io/resource-id: rbac.authorization.k8s.io_rolebinding_gamestore_gamestore-webstore-admin
...

Interrompi la gestione di uno spazio dei nomi

Puoi smettere di gestire uno spazio dei nomi come faresti interrompere la gestione di alcun tipo di oggetto. Se vuoi interrompere per gestire altre risorse all'interno dello spazio dei nomi, segui questi passaggi:

Aggiungi l'annotazione configmanagement.gke.io/managed:disabled alla configurazione dello spazio dei nomi e a tutte le configurazioni nello stesso spazio dei nomi. Tutti gli oggetti in lo spazio dei nomi deve avere questa annotazione.

Attenzione: in una fonte attendibile gerarchica, se lo spazio dei nomi viene ereditato da una spazio dei nomi astratto, non può essere gestito.
Esegui il commit e il push delle modifiche al repository. Attendi l'attivazione Operatore per la sincronizzazione con il repository.
Elimina le risorse non gestite dal repository.

Avviso: è un problema noto che se non utilizzi le API RootSync e RepoSync, l'eliminazione dello spazio dei nomi non gestito dal repository fa sì che lo spazio dei nomi dal cluster in tempo reale. Per le risorse non gestite eliminate per errore, devi aggiungere manualmente nel cluster, ad esempio utilizzando kubectl apply. Per utilizzare le API RootSync e RepoSync, devi eseguire la migrazione dell'oggetto ConfigManagement.

Se esistono configurazioni per configurazioni gestite all'interno di una directory dello spazio dei nomi non gestito, gli errori dei log del riconciliatore, ma le altre configurazioni continuano a sincronizzarsi normalmente.

Elimina risorse gestite

Quando rimuovi una singola risorsa da una fonte attendibile, l'oggetto viene eliminato dal cluster alla successiva sincronizzazione di Config Sync dall'origine la verità. In alternativa, in Config Sync 1.16.0 e versioni successive, puoi abilitare la propagazione dell'eliminazione, che consente di eliminare gli oggetti in blocco.

Eliminare singoli oggetti

Con il comportamento predefinito di Config Sync, quando rimuovi un oggetto da un'origine dato che l'oggetto viene eliminato dal cluster durante la sincronizzazione di Config Sync dalla fonte dei dati.

Esistono diversi modi per controllare lo stato di Config Sync o di oggetti specifici:

Eliminare oggetti in blocco

Per impostazione predefinita, l'eliminazione di un sistema RootSync o RepoSync causa l'abbandono di Config Sync per gli oggetti che erano stati applicati in precedenza dalla fonte dei dati. In Config Sync 1.16.0 e versioni successive, puoi abilitare la propagazione dell'eliminazione per eliminare tutti gli oggetti applicati in precedenza.

Quando abiliti la propagazione dell'eliminazione su un oggetto RootSync o RepoSync e quindi l'oggetto, Config Sync elimina automaticamente ogni oggetto gestiti da RootSync o RepoSync.

La propagazione dell'eliminazione può aiutare a semplificare la pulizia delle risorse, ad esempio Se stai eseguendo la migrazione a un nuovo spazio dei nomi o cluster, la pulizia dopo una demo di un esperimento o la disinstallazione di un'applicazione.

Opzioni di propagazione dell'eliminazione

La propagazione delazione è disabilitata per impostazione predefinita. Per abilitare la propagazione dell'eliminazione, aggiungi l'annotazione configsync.gke.io/deletion-propagation-policy: Foreground all'oggetto RootSync o RepoSync, come nell'esempio seguente:

# example-rootsync.yaml
apiVersion: configsync.gke.io/v1beta1
kind: RootSync
metadata:
  name: example-rootsync
  namespace: config-management-system
  annotations:
    configsync.gke.io/deletion-propagation-policy: Foreground
spec:
  sourceType: git
  sourceFormat: unstructured
  git:
    repo: https://github.com/GoogleCloudPlatform/anthos-config-management-samples
    branch: init
    dir: config-sync-quickstart/multirepo/root
    auth: none
    period: 30s

In alternativa, puoi aggiornare una RootSync o RepoSync esistente per utilizzare l'eliminazione eseguendo questo comando:

RootSync

kubectl patch RootSync ROOTSYNC_NAME \
  --namespace config-management-system \
  --type merge \
  --patch '{"metadata":{"annotations":{"configsync.gke.io/deletion-propagation-policy":"Foreground"}}}'

Sostituisci ROOTSYNC_NAME con il nome della RootSync che che vuoi aggiornare.

RepoSync

kubectl patch RepoSync REPOSYNC_NAME \
  --namespace config-management-system \
  --type merge \
  --patch '{"metadata":{"annotations":{"configsync.gke.io/deletion-propagation-policy":"Foreground"}}}'

Sostituisci REPOSYNC_NAME con il nome del RepoSync che che vuoi aggiornare.

Per disabilitare la propagazione dell'eliminazione, rimuovi l'annotazione o modifica il valore su configsync.gke.io/deletion-propagation-policy: Orphan:

RootSync

kubectl patch RootSync ROOTSYNC_NAME \
  --namespace config-management-system \
  --type merge \
  --patch '{"metadata":{"annotations":{"configsync.gke.io/deletion-propagation-policy":"Orphan"}}}'

Sostituisci ROOTSYNC_NAME con il nome della RootSync che che vuoi aggiornare.

RepoSync

kubectl patch RepoSync REPOSYNC_NAME \
  --namespace config-management-system \
  --type merge \
  --patch '{"metadata":{"annotations":{"configsync.gke.io/deletion-propagation-policy":"Orphan"}}}'

Propaga eliminazione oggetto

Questo esempio mostra come applicare la propagazione dell'eliminazione a RootSync o RepoSync ed eliminare RootSync o RepoSync per eliminare tutti gli oggetti gestiti da RootSync o RepoSync.

RootSync

Applica l'annotazione a un oggetto RootSync per abilitare la propagazione dell'eliminazione:

kubectl patch RootSync example-rootsync \
  --namespace config-management-system \
  --type merge \
  --patch '{"metadata":{"annotations":{"configsync.gke.io/deletion-propagation-policy":"Foreground"}}}'

Elimina l'oggetto RootSync e attendi che Config Sync lo elimini:
```
kubectl delete RootSync example-rootsync --namespace config-management-system --wait
```
L'eliminazione di RootSync può richiedere alcuni minuti.

RepoSync

Applica l'annotazione a un oggetto RepoSync per abilitare la propagazione dell'eliminazione:

kubectl patch RepoSync example-reposync \
  --namespace example-namespace \
  --type merge \
  --patch '{"metadata":{"annotations":{"configsync.gke.io/deletion-propagation-policy":"Foreground"}}}'

Elimina l'oggetto RepoSync e attendi che Config Sync lo elimini:
```
kubectl delete RepoSync example-reposync --namespace example-namespace --wait
```
L'eliminazione di RepoSync può richiedere alcuni minuti.

Impedisci l'eliminazione di oggetti Kubernetes

Dopo aver rimosso un oggetto Kubernetes da un repository Git gestito Config Sync questo oggetto viene eliminato anche dal cluster quando viene eseguito il nuovo commit sincronizzati con il cluster.

Se vuoi impedire a Config Sync di eliminare l'oggetto quando la sua configurazione viene rimosso dal repository Git, puoi seguire questi passaggi:

Aggiungi l'annotazione client.lifecycle.config.k8s.io/deletion: detach a la configurazione degli oggetti nel repository Git.
Esegui il commit e il push della modifica nel repository Git.
Attendi che la modifica venga sincronizzata con il cluster.

Dopo aver completato questi passaggi, Config Sync non eliminerà l'oggetto dal cluster quando la sua configurazione viene rimossa dal repository Git, può comunque essere eliminato da altri client.

Ignorare un oggetto nella fonte attendibile

Potresti volere che Config Sync ignori un oggetto nella tua fonte attendibile. Ad esempio, un funzione kpt non dovrebbe mai essere applicata al cluster.

Per gli oggetti che vuoi che Config Sync ignori, aggiungi il config.kubernetes.io/local-config: "true" all'oggetto. Dopo aver aggiunto questa annotazione, Config Sync ignora come se fosse rimosso dalla fonte attendibile. Risorse con L'annotazione local-config impostata su qualsiasi valore diverso da "false" viene trattata come se è impostato su "true" e vengono ignorati.