Halaman ini menjelaskan cara mengonfigurasi lebih dari satu sumber kebenaran cakupan root dan namespace dengan membuat objek RootSync dan RepoSync.
Dengan memiliki sumber tepercaya, Anda dapat menyinkronkan konfigurasi cakupan cluster dan cakupan namespace. Sumber tepercaya dapat menggunakan kredensial tingkat admin untuk menerapkan kebijakan tentang namespace aplikasi dan mengganti perubahan lokal yang menyimpang dari status yang Anda deklarasikan dalam konfigurasi. Administrator pusat biasanya mengatur sumber tepercaya.
Sumber tepercaya cakupan namespace bersifat opsional dan dapat berisi konfigurasi cakupan namespace yang disinkronkan ke namespace tertentu di seluruh cluster. Anda dapat mendelegasikan penyiapan dan kontrol sumber kebenaran cakupan namespace kepada pengguna non-administratif. Meskipun Config Sync otomatis mendeteksi perubahan dari sumber tepercaya, Anda dapat menambahkan lapisan tambahan deteksi penyimpangan dengan menambahkan webhook penerimaan ke sumber tepercaya cakupan namespace. Untuk mengetahui detail tentang cara melakukannya, lihat Mencegah penyimpangan konfigurasi.
Sebelum memulai
- Buat, atau pastikan Anda memiliki akses ke, sumber kebenaran tidak terstruktur yang dapat berisi konfigurasi yang disinkronkan dengan Config Sync. Config Sync mendukung repositori Git, diagram Helm, dan image OCI sebagai sumber kebenaran. Sumber tepercaya cakupan namespace harus menggunakan format tidak terstruktur.
- Buat, atau pastikan Anda memiliki akses ke, cluster yang berada di platform dan versi yang didukung Google Kubernetes Engine (GKE) Enterprise edisi dan memenuhi persyaratan untuk Config Sync.
Batasan
NamespaceSelectors
(termasuk anotasi yang mengarah ke Pemilih) hanya berfungsi di sumber root kebenaran.- Jika Anda menginstal Config Sync menggunakan Konsol Google Cloud atau Google Cloud CLI, Config Sync otomatis membuat objek RootSync yang bernama
root-sync
. Oleh karena itu, Anda tidak dapat memberi nama objek RootSync apa pun denganroot-sync
.
Pilih metode konfigurasi yang Anda inginkan
Pilih salah satu dari dua metode untuk mengonfigurasi sumber Anda:
Mengontrol sumber di sumber root tepercaya. Metode ini memusatkan semua konfigurasi sumber kebenaran di sumber kebenaran lainnya, sehingga administrator pusat dapat sepenuhnya mengontrol penyiapan.
Mengontrol sumber dengan Kubernetes API. Gunakan metode ini jika Anda ingin mendelegasikan kontrol sumber tepercaya kepada pemilik berbeda.
Mengontrol sumber di sumber tepercaya
Mengontrol sumber root di sumber tepercaya (root source)
Config Sync mendukung sinkronisasi dari lebih dari satu sumber kebenaran. Administrator pusat dapat menggunakan sumber tepercaya untuk mengelola semua sumber lainnya. Karena Config Sync mengelola objek RootSync, metode ini mencegah perubahan lokal pada konfigurasi RootSync di cluster.
Untuk menggunakan metode ini, selesaikan tugas-tugas berikut:
Simpan salah satu manifes berikut sebagai
root-sync.yaml
. Gunakan versi manifes yang sesuai dengan jenis sumber untuk konfigurasi Anda.Git
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: git sourceFormat: ROOT_FORMAT git: repo: ROOT_REPOSITORY revision: ROOT_REVISION branch: ROOT_BRANCH dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME noSSLVerify: ROOT_NO_SSL_VERIFY caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Ganti kode berikut:
ROOT_SYNC_NAME
: tambahkan nama objek RootSync.ROOT_FORMAT
: tambahkanunstructured
untuk menggunakan repositori tidak terstruktur atau tambahkanhierarchy
untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalahhierarchy
. Sebaiknya tambahkanunstructured
karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.ROOT_REPOSITORY
: tambahkan URL repositori Git yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.ROOT_REVISION
: menambahkan revisi Git (tag atau hash) yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahHEAD
. Mulai dari Config Sync versi 1.17.0, Anda juga dapat menentukan nama cabang di kolomrevision
. Jika menggunakan hash pada versi 1.17.0 atau yang lebih baru, hash tersebut harus berupa hash lengkap, bukan bentuk singkat.ROOT_BRANCH
: menambahkan cabang repositori yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahmaster
. Mulai dari Config Sync versi 1.17.0, sebaiknya gunakan kolomrevision
untuk menentukan nama cabang agar lebih mudah. Jika kolomrevision
dan kolombranch
ditentukan,revision
akan lebih diprioritaskan daripadabranch
.ROOT_DIRECTORY
: menambahkan jalur di repositori Git ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) repositori.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasissh
: Menggunakan pasangan kunci SSHcookiefile
: Menggunakancookiefile
token
: Gunakan tokengcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses Cloud Source Repositories.gcenode
: Menggunakan akun layanan Google untuk mengakses Cloud Source Repositories. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.
Untuk mengetahui informasi selengkapnya tentang jenis autentikasi ini, lihat Memberikan akses hanya baca Config Sync ke Git.
Kolom ini wajib diisi.
ROOT_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: tambahkan nama Secret Anda. Jika kolom ini disetel, Anda harus menambahkan kunci publik Secret ke penyedia Git. Kolom ini bersifat opsional.ROOT_NO_SSL_VERIFY
: Untuk menonaktifkan verifikasi sertifikat SSL, setel kolom ini ketrue
. Nilai defaultnya adalahfalse
.ROOT_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Git Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Manifes ini membuat objek
RootSync
yang menggunakan Git sebagai sumber.OCI
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: oci sourceFormat: ROOT_FORMAT oci: image: ROOT_IMAGE dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Ganti kode berikut:
ROOT_SYNC_NAME
: tambahkan nama objek RootSync.ROOT_FORMAT
: tambahkanunstructured
untuk menggunakan repositori tidak terstruktur atau tambahkanhierarchy
untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalahhierarchy
. Sebaiknya tambahkanunstructured
karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.ROOT_IMAGE
: URL image OCI yang akan digunakan sebagai repositori root, misalnyaLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Secara default, gambar diambil dari taglatest
, tetapi Anda dapat menarik gambar denganTAG
atauDIGEST
sebagai gantinya. TentukanTAG
atauDIGEST
diPACKAGE_NAME
:- Untuk menarik oleh
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Untuk menarik oleh
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Untuk menarik oleh
ROOT_DIRECTORY
: menambahkan jalur dalam repositori ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) repositori.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasigcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
ROOT_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia OCI Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.
Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Manifes ini membuat objek
RootSync
yang menggunakan image OCI sebagai sumber.Helm
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: helm sourceFormat: ROOT_FORMAT helm: repo: ROOT_HELM_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Ganti kode berikut:
ROOT_SYNC_NAME
: tambahkan nama objek RootSync.ROOT_FORMAT
: tambahkanunstructured
untuk menggunakan repositori tidak terstruktur atau tambahkanhierarchy
untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalahhierarchy
. Sebaiknya tambahkanunstructured
karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.ROOT_HELM_REPOSITORY
: URL repositori Helm yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.HELM_CHART_NAME
: menambahkan nama diagram Helm. Kolom ini wajib diisi.HELM_CHART_VERSION
: versi diagram Anda. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, versi terbaru akan digunakan.HELM_RELEASE_NAME
: nama rilis Helm. Kolom ini bersifat opsional.HELM_RELEASE_NAMESPACE
: namespace target untuk rilis. Perintah ini hanya menetapkan namespace untuk resource yang berisinamespace: {{ .Release.Namespace }}
dalam templatenya. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, namespace defaultconfig-management-system
akan digunakan.HELM_INCLUDE_CRDS
: ditetapkan ketrue
jika Anda ingin template Helm juga menghasilkan CustomResourceDefinition. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, defaultnya adalahfalse
dan CRD tidak akan dibuat.VALUE
: nilai yang akan digunakan, bukan nilai default yang menyertai diagram Helm. Format kolom ini dengan cara yang sama seperti file value.yaml diagram helm. Kolom ini bersifat opsional.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasitoken
: Menggunakan nama pengguna dan sandi untuk mengakses repositori Helm pribadi.gcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
ROOT_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: tambahkan nama Secret Anda jikatoken
adalahROOT_AUTH_TYPE
. Kolom ini bersifat opsional.ROOT_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Helm Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.
Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Manifes ini membuat objek
RootSync
yang menggunakan Helm sebagai sumber.Lakukan perubahan pada sumber tepercaya:
git add . git commit -m 'Setting up a new root source of truth.' git push
Anda dapat mengulangi langkah-langkah di atas jika perlu mengonfigurasi beberapa sumber root. Anda juga dapat menyimpan konfigurasi beberapa objek RootSync di sumber root tepercaya yang disinkronkan oleh objek RootSync lain, untuk mengelola beberapa objek RootSync secara terpusat dengan cara GitOps.
Mengontrol objek cakupan namespace dalam sumber tepercaya root
Sumber tepercaya cakupan namespace dapat dikelola oleh sumber tepercaya root. Karena sumber cakupan namespace dikelola oleh Config Sync, metode ini mencegah perubahan lokal pada definisi sumber cakupan namespace.
Untuk menggunakan metode ini, selesaikan tugas-tugas berikut:
Di sumber root tepercaya, deklarasikan konfigurasi
namespace
:# ROOT_SOURCE/namespaces/NAMESPACE/namespace.yaml apiVersion: v1 kind: Namespace metadata: name: NAMESPACE
Ganti
NAMESPACE
dengan nama untuk namespace Anda.Di sumber root tepercaya, buat salah satu objek
RepoSync
berikut dalam namespace yang sama. Gunakan manifes yang sesuai dengan jenis sumber untuk konfigurasi Anda:Git
#ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: git # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured git: repo: NAMESPACE_REPOSITORY revision: NAMESPACE_REVISION branch: NAMESPACE_BRANCH dir: "NAMESPACE_DIRECTORY" auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME noSSLVerify: NAMESPACE_NO_SSL_VERIFY caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_REPOSITORY
: menambahkan URL repositori Git yang akan digunakan sebagai repositori namespace. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Jika Anda tidak memasukkan protokol, URL akan diperlakukan sebagai URL HTTPS. Kolom ini wajib diisi.NAMESPACE_REVISION
: menambahkan revisi Git (tag atau hash) yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahHEAD
. Mulai dari Config Sync versi 1.17.0, Anda juga dapat menentukan nama cabang di kolomrevision
. Jika menggunakan hash pada versi 1.17.0 atau yang lebih baru, hash tersebut harus berupa hash lengkap, bukan bentuk singkat.NAMESPACE_BRANCH
: menambahkan cabang repositori yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahmaster
. Mulai dari Config Sync versi 1.17.0, sebaiknya gunakan kolomrevision
untuk menentukan nama cabang agar lebih mudah. Jika kolomrevision
dan kolombranch
ditentukan,revision
akan lebih diprioritaskan daripadabranch
.NAMESPACE_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasissh
: Menggunakan pasangan kunci SSHcookiefile
: Menggunakancookiefile
token
: Gunakan tokengcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses repositori di Cloud Source Repositories.gcenode
: Gunakan akun layanan Google untuk mengakses repositori di Cloud Source Repositories. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.Untuk mengetahui informasi selengkapnya tentang jenis autentikasi ini, lihat Memberikan akses hanya baca Config Sync ke Git.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiNAMESPACE_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: tambahkan nama yang ingin Anda berikan Secret Anda. Kolom ini bersifat opsional.NAMESPACE_NO_SSL_VERIFY
: Untuk menonaktifkan verifikasi sertifikat SSL, setel kolom ini ketrue
. Nilai defaultnya adalahfalse
.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Git Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat Kolom RepoSync.OCI
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: oci # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured oci: image: NAMESPACE_IMAGE dir: NAMESPACE_DIRECTORY auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_IMAGE
: URL gambar OCI yang akan digunakan sebagai sumber namespace, misalnyaLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Secara default, gambar diambil dari taglatest
, tetapi Anda dapat menarik gambar denganTAG
atauDIGEST
sebagai gantinya. TentukanTAG
atauDIGEST
diPACKAGE_NAME
:- Untuk menarik oleh
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Untuk menarik oleh
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Untuk menarik oleh
NAMESPACE_DIRECTORY
: menambahkan jalur dalam sumber ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) sumber.NAMESPACE_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasigcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia OCI Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Helm
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: helm # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured helm: repo: NAMESPACE_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_REPOSITORY
: URL repositori Helm yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.HELM_CHART_NAME
: menambahkan nama diagram Helm. Kolom ini wajib diisi.HELM_CHART_VERSION
: versi diagram Anda. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, versi terbaru akan digunakan.HELM_RELEASE_NAME
: nama rilis Helm. Kolom ini bersifat opsional.HELM_RELEASE_NAMESPACE
: namespace target untuk rilis. Perintah ini hanya menetapkan namespace untuk resource yang berisinamespace: {{ .Release.Namespace }}
dalam templatenya. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, namespace defaultconfig-management-system
akan digunakan.HELM_INCLUDE_CRDS
: ditetapkan ketrue
jika Anda ingin template Helm juga menghasilkan CustomResourceDefinition. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, defaultnya adalahfalse
dan CRD tidak akan dibuat.VALUE
: nilai yang akan digunakan, bukan nilai default yang menyertai diagram Helm. Format kolom ini dengan cara yang sama seperti file helm chart's values.yaml. Kolom ini bersifat opsional.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasitoken
: Menggunakan nama pengguna dan sandi untuk mengakses repositori Helm pribadi.gcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: tambahkan nama Secret Anda jikatoken
adalahROOT_AUTH_TYPE
. Kolom ini bersifat opsional.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Helm Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Jika Anda menggunakan
gcpserviceaccount
sebagai jenis autentikasi dan tidak mengaktifkan Workload Identity, Anda harus membuat binding kebijakan IAM antara akun layanan Kubernetes untuk setiap namespace dan akun layanan Google. Lihat Memberikan akses ke Git untuk mengetahui petunjuk cara membuat binding ini.Di sumber root, deklarasikan konfigurasi
RoleBinding
yang memberikan izin akun layananSERVICE_ACCOUNT_NAME
untuk mengelola objek di namespace. Config Sync secara otomatis membuat akun layananSERVICE_ACCOUNT_NAME
saat konfigurasi RepoSync disinkronkan ke cluster.RoleBinding
dapat merujukRole
dalam namespace yang sama. Atau,RoleBinding
dapat mereferensikanClusterRole
dan mengikatClusterRole
tersebut ke namespaceRoleBinding
. Meskipun Anda harus mematuhi prinsip hak istimewa terendah dengan memberikan izin terperinci keRole
yang ditentukan pengguna, Anda dapat menentukanClusterRole
atau menggunakan peran yang ditampilkan kepada pengguna, dan mereferensikanClusterRole
yang sama di beberapaRoleBindings
di berbagai namespace.ClusterRole Default
Anda dapat mendeklarasikan
RoleBinding
yang mereferensikanClusterRole
default, misalnya,admin
atauedit
. Untuk mempelajari lebih lanjut, lihat Peran yang ditampilkan kepada pengguna.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ClusterRole name: CLUSTERROLE_NAME apiGroup: rbac.authorization.k8s.io
Ganti kode berikut:
NAMESPACE
: tambahkan nama namespace Anda.SERVICE_ACCOUNT_NAME
: tambahkan nama akun layanan rekonsiliasi. Jika nama RepoSync adalahrepo-sync
,SERVICE_ACCOUNT_NAME
adalahns-reconciler-NAMESPACE
. Jika tidak, nilainya adalahns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Misalnya, jika nama RepoSync Anda adalahprod
,SERVICE_ACCOUNT_NAME
akan menjadins-reconciler-NAMESPACE-prod-4
. Bilangan bulat4
digunakan sebagaiprod
berisi 4 karakter.CLUSTERROLE_NAME
: menambahkan nama ClusterRole default.
Peran yang ditentukan pengguna
Anda dapat mendeklarasikan
ClusterRole
atauRole
dengan memberikan daftar izin ke setiap resource yang dikelola oleh objekRepoSync
. Hal ini memungkinkan izin yang lebih terperinci. Lihat merujuk ke resource untuk mengetahui detail selengkapnya.Misalnya,
ClusterRole
atauRole
berikut memberikan izin untuk mengelola objekDeployment
danServiceAccount
.# ROOT_REPO/namespaces/NAMESPACE/sync-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ROLE_KIND metadata: namespace: NAMESPACE # only set this field for a 'Role' name: RECONCILER_ROLE rules: # Update 'apiGroups' and 'resources' to reference actual resources managed by 'RepoSync'. - apiGroups: ["apps"] resources: ["deployments"] verbs: ["*"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["*"]
Untuk mendeklarasikan
RoleBinding
yang merujuk keClusterRole
atauRole
, buat objek berikut.RoleBinding
memberikan izin tambahan agar Config Sync dapat mengelola resource dengan cakupan namespace untukRepoSync
.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ROLE_KIND name: RECONCILER_ROLE apiGroup: rbac.authorization.k8s.io
Ganti kode berikut:
ROLE_KIND
: tetapkanClusterRole
atauRole
.NAMESPACE
: tambahkan nama namespace Anda.SERVICE_ACCOUNT_NAME
: tambahkan nama akun layanan rekonsiliasi. Jika nama RepoSync adalahrepo-sync
,SERVICE_ACCOUNT_NAME
adalahns-reconciler-NAMESPACE
. Jika tidak, nilainya adalahns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Misalnya, jika nama RepoSync Anda adalahprod
,SERVICE_ACCOUNT_NAME
akan menjadins-reconciler-NAMESPACE-prod-4
. Bilangan bulat4
digunakan sebagaiprod
berisi 4 karakter.RECONCILER_ROLE
: tambahkan namaClusterRole
atauRole
.
Lakukan perubahan pada sumber tepercaya:
git add . git commit -m 'Setting up a new namespace-scoped source of truth.' git push
Jika diperlukan, buat Secret berdasarkan metode autentikasi pilihan Anda. Jika menggunakan
none
sebagai jenis autentikasi, Anda dapat melewati langkah ini.Secret tersebut harus memenuhi persyaratan berikut:
- Buat Secret di namespace yang sama dengan RepoSync.
- Nama Secret harus cocok dengan nama
spec.git.secretRef
yang Anda tetapkan direpo-sync.yaml
. - Anda harus menambahkan kunci publik Secret ke penyedia Git.
Untuk memverifikasi konfigurasi, gunakan
kubectl get
pada salah satu objek dalam sumber namespace. Contoh:kubectl get rolebindings -n NAMESPACE
Anda dapat mengulangi langkah-langkah di atas jika perlu mengonfigurasi lebih dari satu sumber dengan cakupan namespace.
Mengontrol sumber cakupan namespace dalam sumber dengan cakupan namespace
Config Sync mendukung sinkronisasi dari lebih dari satu sumber kebenaran cakupan namespace per namespace. Sumber tepercaya cakupan namespace dapat dikelola di sumber kebenaran cakupan namespace di namespace yang sama.
Untuk menggunakan metode ini, selesaikan tugas-tugas berikut:
Dalam sumber tepercaya cakupan namespace, buat salah satu objek
RepoSync
berikut dalam namespace yang sama. Gunakan manifes yang sesuai dengan jenis sumber untuk konfigurasi Anda:Git
#ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: git # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured git: repo: NAMESPACE_REPOSITORY revision: NAMESPACE_REVISION branch: NAMESPACE_BRANCH dir: "NAMESPACE_DIRECTORY" auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME noSSLVerify: NAMESPACE_NO_SSL_VERIFY caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_REPOSITORY
: menambahkan URL repositori Git yang akan digunakan sebagai repositori namespace. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Jika Anda tidak memasukkan protokol, URL akan diperlakukan sebagai URL HTTPS. Kolom ini wajib diisi.NAMESPACE_REVISION
: menambahkan revisi Git (tag atau hash) yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahHEAD
. Mulai dari Config Sync versi 1.17.0, Anda juga dapat menentukan nama cabang di kolomrevision
. Jika menggunakan hash pada versi 1.17.0 atau yang lebih baru, hash tersebut harus berupa hash lengkap, bukan bentuk singkat.NAMESPACE_BRANCH
: menambahkan cabang repositori yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahmaster
. Mulai dari Config Sync versi 1.17.0, sebaiknya gunakan kolomrevision
untuk menentukan nama cabang agar lebih mudah. Jika kolomrevision
dan kolombranch
ditentukan,revision
akan lebih diprioritaskan daripadabranch
.NAMESPACE_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasissh
: Menggunakan pasangan kunci SSHcookiefile
: Menggunakancookiefile
token
: Gunakan tokengcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses repositori di Cloud Source Repositories.gcenode
: Gunakan akun layanan Google untuk mengakses repositori di Cloud Source Repositories. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.Untuk mengetahui informasi selengkapnya tentang jenis autentikasi ini, lihat Memberikan akses hanya baca Config Sync ke Git.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiNAMESPACE_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: tambahkan nama yang ingin Anda berikan Secret Anda. Kolom ini bersifat opsional.NAMESPACE_NO_SSL_VERIFY
: Untuk menonaktifkan verifikasi sertifikat SSL, setel kolom ini ketrue
. Nilai defaultnya adalahfalse
.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Git Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat Kolom RepoSync.OCI
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: oci # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured oci: image: NAMESPACE_IMAGE dir: NAMESPACE_DIRECTORY auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_IMAGE
: URL gambar OCI yang akan digunakan sebagai sumber namespace, misalnyaLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Secara default, gambar diambil dari taglatest
, tetapi Anda dapat menarik gambar denganTAG
atauDIGEST
sebagai gantinya. TentukanTAG
atauDIGEST
diPACKAGE_NAME
:- Untuk menarik oleh
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Untuk menarik oleh
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Untuk menarik oleh
NAMESPACE_DIRECTORY
: menambahkan jalur dalam sumber ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) sumber.NAMESPACE_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasigcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia OCI Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Helm
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: helm # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured helm: repo: NAMESPACE_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_REPOSITORY
: URL repositori Helm yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.HELM_CHART_NAME
: menambahkan nama diagram Helm. Kolom ini wajib diisi.HELM_CHART_VERSION
: versi diagram Anda. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, versi terbaru akan digunakan.HELM_RELEASE_NAME
: nama rilis Helm. Kolom ini bersifat opsional.HELM_RELEASE_NAMESPACE
: namespace target untuk rilis. Perintah ini hanya menetapkan namespace untuk resource yang berisinamespace: {{ .Release.Namespace }}
dalam templatenya. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, namespace defaultconfig-management-system
akan digunakan.HELM_INCLUDE_CRDS
: ditetapkan ketrue
jika Anda ingin template Helm juga menghasilkan CustomResourceDefinition. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, defaultnya adalahfalse
dan CRD tidak akan dibuat.VALUE
: nilai yang akan digunakan, bukan nilai default yang menyertai diagram Helm. Format kolom ini dengan cara yang sama seperti file helm chart's values.yaml. Kolom ini bersifat opsional.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasitoken
: Menggunakan nama pengguna dan sandi untuk mengakses repositori Helm pribadi.gcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: tambahkan nama Secret Anda jikatoken
adalahROOT_AUTH_TYPE
. Kolom ini bersifat opsional.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Helm Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Jika Anda menggunakan
gcpserviceaccount
sebagai jenis autentikasi dan tidak mengaktifkan Workload Identity, Anda harus membuat binding kebijakan IAM antara akun layanan Kubernetes untuk setiap namespace dan akun layanan Google. Lihat Memberikan akses ke Git untuk mengetahui petunjuk cara membuat binding ini.Di sumber root, deklarasikan konfigurasi
RoleBinding
yang memberikan izin akun layananSERVICE_ACCOUNT_NAME
untuk mengelola objek di namespace. Config Sync secara otomatis membuat akun layananSERVICE_ACCOUNT_NAME
saat konfigurasi RepoSync disinkronkan ke cluster.RoleBinding
dapat merujukRole
dalam namespace yang sama. Atau,RoleBinding
dapat mereferensikanClusterRole
dan mengikatClusterRole
tersebut ke namespaceRoleBinding
. Meskipun Anda harus mematuhi prinsip hak istimewa terendah dengan memberikan izin terperinci keRole
yang ditentukan pengguna, Anda dapat menentukanClusterRole
atau menggunakan peran yang ditampilkan kepada pengguna, dan mereferensikanClusterRole
yang sama di beberapaRoleBindings
di berbagai namespace.ClusterRole Default
Anda dapat mendeklarasikan
RoleBinding
yang mereferensikanClusterRole
default, misalnya,admin
atauedit
. Untuk mempelajari lebih lanjut, lihat Peran yang ditampilkan kepada pengguna.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ClusterRole name: CLUSTERROLE_NAME apiGroup: rbac.authorization.k8s.io
Ganti kode berikut:
NAMESPACE
: tambahkan nama namespace Anda.SERVICE_ACCOUNT_NAME
: tambahkan nama akun layanan rekonsiliasi. Jika nama RepoSync adalahrepo-sync
,SERVICE_ACCOUNT_NAME
adalahns-reconciler-NAMESPACE
. Jika tidak, nilainya adalahns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Misalnya, jika nama RepoSync Anda adalahprod
,SERVICE_ACCOUNT_NAME
akan menjadins-reconciler-NAMESPACE-prod-4
. Bilangan bulat4
digunakan sebagaiprod
berisi 4 karakter.CLUSTERROLE_NAME
: menambahkan nama ClusterRole default.
Peran yang ditentukan pengguna
Anda dapat mendeklarasikan
ClusterRole
atauRole
dengan memberikan daftar izin ke setiap resource yang dikelola oleh objekRepoSync
. Hal ini memungkinkan izin yang lebih terperinci. Lihat merujuk ke resource untuk mengetahui detail selengkapnya.Misalnya,
ClusterRole
atauRole
berikut memberikan izin untuk mengelola objekDeployment
danServiceAccount
.# ROOT_REPO/namespaces/NAMESPACE/sync-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ROLE_KIND metadata: namespace: NAMESPACE # only set this field for a 'Role' name: RECONCILER_ROLE rules: # Update 'apiGroups' and 'resources' to reference actual resources managed by 'RepoSync'. - apiGroups: ["apps"] resources: ["deployments"] verbs: ["*"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["*"]
Untuk mendeklarasikan
RoleBinding
yang merujuk keClusterRole
atauRole
, buat objek berikut.RoleBinding
memberikan izin tambahan agar Config Sync dapat mengelola resource dengan cakupan namespace untukRepoSync
.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ROLE_KIND name: RECONCILER_ROLE apiGroup: rbac.authorization.k8s.io
Ganti kode berikut:
ROLE_KIND
: tetapkanClusterRole
atauRole
.NAMESPACE
: tambahkan nama namespace Anda.SERVICE_ACCOUNT_NAME
: tambahkan nama akun layanan rekonsiliasi. Jika nama RepoSync adalahrepo-sync
,SERVICE_ACCOUNT_NAME
adalahns-reconciler-NAMESPACE
. Jika tidak, nilainya adalahns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Misalnya, jika nama RepoSync Anda adalahprod
,SERVICE_ACCOUNT_NAME
akan menjadins-reconciler-NAMESPACE-prod-4
. Bilangan bulat4
digunakan sebagaiprod
berisi 4 karakter.RECONCILER_ROLE
: tambahkan namaClusterRole
atauRole
.
Lakukan perubahan pada sumber tepercaya:
git add . git commit -m 'Setting up a new namespace-scoped source of truth.' git push
Jika diperlukan, buat Secret berdasarkan metode autentikasi pilihan Anda. Jika menggunakan
none
sebagai jenis autentikasi, Anda dapat melewati langkah ini.Secret tersebut harus memenuhi persyaratan berikut:
- Buat Secret di namespace yang sama dengan RepoSync.
- Nama Secret harus cocok dengan nama
spec.git.secretRef
yang Anda tetapkan direpo-sync.yaml
. - Anda harus menambahkan kunci publik Secret ke penyedia Git.
Untuk memverifikasi konfigurasi, gunakan
kubectl get
pada salah satu objek dalam sumber tepercaya cakupan namespace. Contoh:kubectl get rolebindings -n NAMESPACE
Anda dapat mengulangi langkah-langkah di atas jika perlu mengonfigurasi lebih dari satu sumber dengan cakupan namespace.
Mengontrol sumber tepercaya dengan Kubernetes API
Dalam metode ini, administrator pusat mendelegasikan deklarasi objek
RootSync
lain ke administrator lain. Untuk objek RepoSync
, administrator
pusat hanya mendeklarasikan namespace di sumber root tepercaya dan mendelegasikan
deklarasi objek RepoSync
ke operator aplikasi.
Mengontrol lebih dari satu sumber tepercaya
Administrator lain dapat mengontrol sumber tepercaya dengan menyelesaikan tugas berikut:
Simpan salah satu manifes berikut sebagai
root-sync.yaml
. Gunakan versi manifes yang sesuai dengan jenis sumber untuk konfigurasi Anda.Git
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: git sourceFormat: ROOT_FORMAT git: repo: ROOT_REPOSITORY revision: ROOT_REVISION branch: ROOT_BRANCH dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME noSSLVerify: ROOT_NO_SSL_VERIFY caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Ganti kode berikut:
ROOT_SYNC_NAME
: tambahkan nama objek RootSync.ROOT_FORMAT
: tambahkanunstructured
untuk menggunakan repositori tidak terstruktur atau tambahkanhierarchy
untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalahhierarchy
. Sebaiknya tambahkanunstructured
karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.ROOT_REPOSITORY
: tambahkan URL repositori Git yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.ROOT_REVISION
: menambahkan revisi Git (tag atau hash) yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahHEAD
. Mulai dari Config Sync versi 1.17.0, Anda juga dapat menentukan nama cabang di kolomrevision
. Jika menggunakan hash pada versi 1.17.0 atau yang lebih baru, hash tersebut harus berupa hash lengkap, bukan bentuk singkat.ROOT_BRANCH
: menambahkan cabang repositori yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahmaster
. Mulai dari Config Sync versi 1.17.0, sebaiknya gunakan kolomrevision
untuk menentukan nama cabang agar lebih mudah. Jika kolomrevision
dan kolombranch
ditentukan,revision
akan lebih diprioritaskan daripadabranch
.ROOT_DIRECTORY
: menambahkan jalur di repositori Git ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) repositori.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasissh
: Menggunakan pasangan kunci SSHcookiefile
: Menggunakancookiefile
token
: Gunakan tokengcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses Cloud Source Repositories.gcenode
: Menggunakan akun layanan Google untuk mengakses Cloud Source Repositories. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.
Untuk mengetahui informasi selengkapnya tentang jenis autentikasi ini, lihat Memberikan akses hanya baca Config Sync ke Git.
Kolom ini wajib diisi.
ROOT_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: tambahkan nama Secret Anda. Jika kolom ini disetel, Anda harus menambahkan kunci publik Secret ke penyedia Git. Kolom ini bersifat opsional.ROOT_NO_SSL_VERIFY
: Untuk menonaktifkan verifikasi sertifikat SSL, setel kolom ini ketrue
. Nilai defaultnya adalahfalse
.ROOT_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Git Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Manifes ini membuat objek
RootSync
yang menggunakan Git sebagai sumber.OCI
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: oci sourceFormat: ROOT_FORMAT oci: image: ROOT_IMAGE dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Ganti kode berikut:
ROOT_SYNC_NAME
: tambahkan nama objek RootSync.ROOT_FORMAT
: tambahkanunstructured
untuk menggunakan repositori tidak terstruktur atau tambahkanhierarchy
untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalahhierarchy
. Sebaiknya tambahkanunstructured
karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.ROOT_IMAGE
: URL image OCI yang akan digunakan sebagai repositori root, misalnyaLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Secara default, gambar diambil dari taglatest
, tetapi Anda dapat menarik gambar denganTAG
atauDIGEST
sebagai gantinya. TentukanTAG
atauDIGEST
diPACKAGE_NAME
:- Untuk menarik oleh
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Untuk menarik oleh
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Untuk menarik oleh
ROOT_DIRECTORY
: menambahkan jalur dalam repositori ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) repositori.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasigcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
ROOT_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia OCI Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.
Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Manifes ini membuat objek
RootSync
yang menggunakan image OCI sebagai sumber.Helm
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: helm sourceFormat: ROOT_FORMAT helm: repo: ROOT_HELM_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Ganti kode berikut:
ROOT_SYNC_NAME
: tambahkan nama objek RootSync.ROOT_FORMAT
: tambahkanunstructured
untuk menggunakan repositori tidak terstruktur atau tambahkanhierarchy
untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalahhierarchy
. Sebaiknya tambahkanunstructured
karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.ROOT_HELM_REPOSITORY
: URL repositori Helm yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.HELM_CHART_NAME
: menambahkan nama diagram Helm. Kolom ini wajib diisi.HELM_CHART_VERSION
: versi diagram Anda. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, versi terbaru akan digunakan.HELM_RELEASE_NAME
: nama rilis Helm. Kolom ini bersifat opsional.HELM_RELEASE_NAMESPACE
: namespace target untuk rilis. Perintah ini hanya menetapkan namespace untuk resource yang berisinamespace: {{ .Release.Namespace }}
dalam templatenya. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, namespace defaultconfig-management-system
akan digunakan.HELM_INCLUDE_CRDS
: ditetapkan ketrue
jika Anda ingin template Helm juga menghasilkan CustomResourceDefinition. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, defaultnya adalahfalse
dan CRD tidak akan dibuat.VALUE
: nilai yang akan digunakan, bukan nilai default yang menyertai diagram Helm. Format kolom ini dengan cara yang sama seperti file value.yaml diagram helm. Kolom ini bersifat opsional.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasitoken
: Menggunakan nama pengguna dan sandi untuk mengakses repositori Helm pribadi.gcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
ROOT_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: tambahkan nama Secret Anda jikatoken
adalahROOT_AUTH_TYPE
. Kolom ini bersifat opsional.ROOT_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Helm Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.
Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Manifes ini membuat objek
RootSync
yang menggunakan Helm sebagai sumber.Terapkan perubahan:
kubectl apply -f root-sync.yaml
Anda dapat mengulangi langkah-langkah di atas jika perlu mengonfigurasi lebih dari satu sumber root tepercaya.
Mengontrol sumber kebenaran cakupan namespace
Tugas administrator pusat
Administrator pusat menyelesaikan tugas-tugas berikut:
Di sumber tepercaya, deklarasikan konfigurasi
namespace
untuk sumber cakupan namespace.# ROOT_REPO/namespaces/NAMESPACE/namespace.yaml apiVersion: v1 kind: Namespace metadata: name: NAMESPACE
Ganti
NAMESPACE
dengan nama untuk namespace Anda.Di sumber tepercaya, deklarasikan
RoleBinding
untuk memberikan izin kepada operator aplikasi. Gunakan pencegahan eskalasi RBAC untuk memastikan bahwa operator aplikasi nantinya tidak dapat menerapkan binding peran dengan izin yang tidak diberikan oleh binding peran ini.Untuk mendeklarasikan RoleBinding, buat manifes berikut:
# ROOT_REPO/namespaces/NAMESPACE/operator-rolebinding.yaml kind: RoleBinding # Add RBAC escalation prevention apiVersion: rbac.authorization.k8s.io/v1 metadata: name: operator namespace: NAMESPACE subjects: - kind: User name: USERNAME apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: OPERATOR_ROLE apiGroup: rbac.authorization.k8s.io
Ganti kode berikut:
NAMESPACE
: tambahkan namespace yang Anda buat di sumber root tepercaya.USERNAME
: menambahkan nama pengguna operator aplikasi.OPERATOR_ROLE
: sebagai administrator pusat, Anda dapat menetapkanOPERATOR_ROLE
untuk menerapkan jenis konfigurasi yang dapat disinkronkan dari sumber cakupan namespace. Anda dapat memilih salah satu peran berikut:ClusterRole default:
admin
edit
Untuk mempelajari lebih lanjut, lihat Peran yang ditampilkan kepada pengguna.
ClusterRole atau Peran buatan pengguna yang dideklarasikan di sumber root tepercaya. Peran ini memungkinkan izin yang terperinci.
Lakukan perubahan pada sumber tepercaya:
git add . git commit -m 'Setting up new namespace-scoped source of truth.' git push
Tugas operator aplikasi
Operator aplikasi dapat mengontrol sumber cakupan namespace dengan menyelesaikan tugas-tugas berikut:
Deklarasikan konfigurasi
RoleBinding
yang memberikan izin akun layananSERVICE_ACCOUNT_NAME
yang disediakan otomatis untuk mengelola objek di namespace. Config Sync secara otomatis membuat akun layananSERVICE_ACCOUNT_NAME
saat konfigurasiRepoSync
disinkronkan ke cluster.Untuk mendeklarasikan RoleBinding, buat manifes berikut:
# sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ClusterRole name: RECONCILER_ROLE apiGroup: rbac.authorization.k8s.io
Ganti kode berikut:
NAMESPACE
: tambahkan namespace yang Anda buat di sumber root tepercaya.SERVICE_ACCOUNT_NAME
: tambahkan nama akun layanan rekonsiliasi. Jika nama RepoSync adalahrepo-sync
,SERVICE_ACCOUNT_NAME
adalahns-reconciler-NAMESPACE
. Jika tidak, nilainya adalahns-reconciler-NAMESPACE-REPO_SYNC_NAME
.RECONCILER_ROLE
: sebagai operator aplikasi, Anda dapat menetapkanRECONCILER_ROLE
untuk menerapkan jenis konfigurasi yang dapat disinkronkan dari sumber cakupan namespace. Anda hanya dapat membatasi lebih lanjut kumpulan izin yang telah diberikan oleh administrator pusat. Akibatnya, peran ini tidak boleh lebih permisif daripadaOPERATOR_ROLE
yang dideklarasikan administrator pusat di bagian sebelumnya.
Terapkan konfigurasi RoleBinding:
kubectl apply -f sync-rolebinding.yaml
Jika diperlukan, buat Secret berdasarkan metode autentikasi pilihan Anda. Jika menggunakan
none
sebagai jenis autentikasi, Anda dapat melewati langkah ini.Rahasia harus memenuhi persyaratan berikut:
- Buat Secret di namespace yang sama dengan RepoSync.
- Nama Secret harus cocok dengan nama
spec.git.secretRef
yang Anda tetapkan diroot-sync.yaml
. - Anda harus menambahkan kunci publik Secret ke penyedia Git.
Deklarasikan konfigurasi
RepoSync
:Git
#ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: git # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured git: repo: NAMESPACE_REPOSITORY revision: NAMESPACE_REVISION branch: NAMESPACE_BRANCH dir: "NAMESPACE_DIRECTORY" auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME noSSLVerify: NAMESPACE_NO_SSL_VERIFY caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_REPOSITORY
: menambahkan URL repositori Git yang akan digunakan sebagai repositori namespace. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Jika Anda tidak memasukkan protokol, URL akan diperlakukan sebagai URL HTTPS. Kolom ini wajib diisi.NAMESPACE_REVISION
: menambahkan revisi Git (tag atau hash) yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahHEAD
. Mulai dari Config Sync versi 1.17.0, Anda juga dapat menentukan nama cabang di kolomrevision
. Jika menggunakan hash pada versi 1.17.0 atau yang lebih baru, hash tersebut harus berupa hash lengkap, bukan bentuk singkat.NAMESPACE_BRANCH
: menambahkan cabang repositori yang akan disinkronkan. Kolom ini bersifat opsional dan nilai defaultnya adalahmaster
. Mulai dari Config Sync versi 1.17.0, sebaiknya gunakan kolomrevision
untuk menentukan nama cabang agar lebih mudah. Jika kolomrevision
dan kolombranch
ditentukan,revision
akan lebih diprioritaskan daripadabranch
.NAMESPACE_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasissh
: Menggunakan pasangan kunci SSHcookiefile
: Menggunakancookiefile
token
: Gunakan tokengcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses repositori di Cloud Source Repositories.gcenode
: Gunakan akun layanan Google untuk mengakses repositori di Cloud Source Repositories. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.Untuk mengetahui informasi selengkapnya tentang jenis autentikasi ini, lihat Memberikan akses hanya baca Config Sync ke Git.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiNAMESPACE_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: tambahkan nama yang ingin Anda berikan Secret Anda. Kolom ini bersifat opsional.NAMESPACE_NO_SSL_VERIFY
: Untuk menonaktifkan verifikasi sertifikat SSL, setel kolom ini ketrue
. Nilai defaultnya adalahfalse
.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Git Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat Kolom RepoSync.OCI
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: oci # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured oci: image: NAMESPACE_IMAGE dir: NAMESPACE_DIRECTORY auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_IMAGE
: URL gambar OCI yang akan digunakan sebagai sumber namespace, misalnyaLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Secara default, gambar diambil dari taglatest
, tetapi Anda dapat menarik gambar denganTAG
atauDIGEST
sebagai gantinya. TentukanTAG
atauDIGEST
diPACKAGE_NAME
:- Untuk menarik oleh
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Untuk menarik oleh
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Untuk menarik oleh
NAMESPACE_DIRECTORY
: menambahkan jalur dalam sumber ke direktori utama yang berisi konfigurasi yang ingin Anda sinkronkan. Kolom ini bersifat opsional dan defaultnya adalah direktori utama (/
) sumber.NAMESPACE_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasigcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia OCI Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Helm
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: helm # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured helm: repo: NAMESPACE_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Ganti kode berikut:
REPO_SYNC_NAME
: tambahkan nama objek RepoSync. Nama harus unik di seluruh namespace.NAMESPACE
: tambahkan nama namespace Anda.NAMESPACE_REPOSITORY
: URL repositori Helm yang akan digunakan sebagai repositori root. Anda dapat memasukkan URL menggunakan protokol HTTPS atau SSH. Misalnya,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
menggunakan protokol HTTPS. Kolom ini wajib diisi.HELM_CHART_NAME
: menambahkan nama diagram Helm. Kolom ini wajib diisi.HELM_CHART_VERSION
: versi diagram Anda. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, versi terbaru akan digunakan.HELM_RELEASE_NAME
: nama rilis Helm. Kolom ini bersifat opsional.HELM_RELEASE_NAMESPACE
: namespace target untuk rilis. Perintah ini hanya menetapkan namespace untuk resource yang berisinamespace: {{ .Release.Namespace }}
dalam templatenya. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, namespace defaultconfig-management-system
akan digunakan.HELM_INCLUDE_CRDS
: ditetapkan ketrue
jika Anda ingin template Helm juga menghasilkan CustomResourceDefinition. Kolom ini bersifat opsional. Jika tidak ada nilai yang ditentukan, defaultnya adalahfalse
dan CRD tidak akan dibuat.VALUE
: nilai yang akan digunakan, bukan nilai default yang menyertai diagram Helm. Format kolom ini dengan cara yang sama seperti file helm chart's values.yaml. Kolom ini bersifat opsional.ROOT_AUTH_TYPE
: tambahkan salah satu jenis autentikasi berikut:none
: Tidak menggunakan autentikasitoken
: Menggunakan nama pengguna dan sandi untuk mengakses repositori Helm pribadi.gcenode
: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Hanya pilih opsi ini jika Workload Identity tidak diaktifkan di cluster Anda.gcpserviceaccount
: Menggunakan akun layanan Google untuk mengakses gambar.
Kolom ini wajib diisi.
NAMESPACE_EMAIL
: Jika Anda menambahkangcpserviceaccount
sebagaiROOT_AUTH_TYPE
, tambahkan alamat email akun layanan Google Anda. Contoh,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: tambahkan nama Secret Anda jikatoken
adalahROOT_AUTH_TYPE
. Kolom ini bersifat opsional.NAMESPACE_CA_CERT_SECRET_NAME
: tambahkan nama Rahasia Anda. Jika kolom ini disetel, penyedia Helm Anda harus menggunakan sertifikat yang diterbitkan oleh certificate authority (CA) ini. Secret harus berisi sertifikat CA dengan kunci bernamacert
. Kolom ini bersifat opsional.Untuk mempelajari lebih lanjut cara mengonfigurasi objek Secret untuk sertifikat CA, lihat Mengonfigurasi Operator untuk Certificate Authority
Untuk penjelasan tentang kolom dan daftar lengkap kolom yang dapat Anda tambahkan ke kolom
spec
, lihat kolom RootSync.Terapkan konfigurasi
RepoSync
:kubectl apply -f repo-sync.yaml
Untuk memverifikasi konfigurasi, gunakan
kubectl get
pada salah satu objek dalam sumber cakupan namespace. Contoh:kubectl get rolebindings -n NAMESPACE
Anda dapat mengulangi langkah-langkah di atas jika perlu mengonfigurasi beberapa sumber kebenaran cakupan namespace .
Memverifikasi status sinkronisasi sumber kebenaran
Anda dapat menggunakan perintah nomos status
untuk memeriksa status sinkronisasi sumber kebenaran:
nomos status
Anda akan melihat output yang mirip dengan contoh berikut ini:
my_managed_cluster-1
--------------------
<root> git@github.com:foo-corp/acme/admin@main
SYNCED f52a11e4
--------------------
bookstore git@github.com:foo-corp/acme/bookstore@v1
SYNCED 34d1a8c8
Dalam contoh output ini, sumber dengan cakupan namespace, dalam hal ini repositori Git, dikonfigurasi untuk namespace bernama bookstore
.
Memverifikasi penginstalan RootSync
Saat Anda membuat objek RootSync, Config Sync akan membuat rekonsiliasi dengan awalan root-reconciler
. Rekonsiliasi adalah Pod yang di-deploy sebagai Deployment.
Menyinkronkan manifes dari sumber kebenaran ke cluster.
Anda dapat memverifikasi bahwa objek RootSync berfungsi dengan benar dengan memeriksa status Deployment rekonsiliasi root:
kubectl get -n config-management-system deployment \
-l configsync.gke.io/sync-name=ROOT_SYNC_NAME
Ganti ROOT_SYNC_NAME
dengan nama RootSync.
Anda akan melihat output yang mirip dengan contoh berikut ini:
NAME READY UP-TO-DATE AVAILABLE AGE
root-reconciler 1/1 1 1 3h42m
Untuk mengetahui cara menjelajahi status objek RootSync lebih lanjut, lihat Memantau objek RootSync dan RepoSync.
Memverifikasi penginstalan RepoSync
Saat Anda membuat objek RepoSync, Config Sync akan membuat rekonsiliasi dengan awalan ns-reconciler-NAMESPACE
, dengan NAMESPACE
adalah namespace tempat Anda membuat objek RepoSync.
Anda dapat memverifikasi bahwa objek RepoSync berfungsi dengan benar dengan memeriksa status Deployment rekonsiliasi namespace:
kubectl get -n config-management-system deployment \
-l configsync.gke.io/sync-name=REPO_SYNC_NAME \
-l configsync.gke.io/sync-namespace=NAMESPACE
Ganti REPO_SYNC_NAME
dengan nama RepoSync, dan
ganti NAMESPACE
dengan namespace tempat Anda membuat
sumber tepercaya cakupan namespace.
Untuk mengetahui cara mempelajari status objek RepoSync lebih lanjut, lihat Menjelajahi objek RootSync dan RepoSync.
Menghapus sumber tepercaya
Pilih tab Central control method atau Kubernetes API method untuk melihat petunjuk yang relevan.
Metode kontrol pusat
Jika Anda menggunakan metode Kontrol sumber tepercaya dalam sumber kebenaran utama, administrator pusat dapat mengikuti dua langkah berikut untuk menghapus sumber tepercaya:
Tentukan apakah Anda ingin menghapus atau mempertahankan resource yang dikelola melalui objek RootSync dan RepoSync.
Untuk menghapus semua resource yang dikelola objek RootSync atau RepoSync, sinkronkan objek RootSync atau RepoSync ke sumber kosong. Misalnya, repositori GitHub tanpa konfigurasi. Jika objek RootSync atau RepoSync Anda berisi objek RootSync atau RepoSync lain, RootSync atau RepoSync bagian dalam harus disinkronkan ke repositori Git yang kosong terlebih dahulu.
Jika Anda telah mengaktifkan webhook dan ingin mempertahankan resource, nonaktifkan pencegahan penyimpangan untuk resource yang diabaikan. Jika belum mengaktifkan webhook, Anda tidak perlu melakukan langkah tambahan apa pun untuk menyimpan resource.
Hapus objek RootSync atau RepoSync dari sumber kebenaran.
Metode Kubernetes API
Jika Anda menggunakan metode Mengontrol sumber tepercaya cakupan namespace dengan Kubernetes API, operator aplikasi dapat menggunakan langkah-langkah berikut untuk menghapus sumber tepercaya cakupan namespace:
Tentukan apakah Anda ingin menghapus atau mempertahankan resource yang dikelola melalui objek RootSync dan RepoSync.
Untuk menghapus semua resource yang dikelola objek RootSync atau RepoSync, sinkronkan objek RootSync atau RepoSync ke sumber kosong. Misalnya, repositori GitHub tanpa konfigurasi. Jika objek RootSync atau RepoSync Anda berisi objek RootSync atau RepoSync lain, RootSync atau RepoSync bagian dalam harus disinkronkan ke repositori Git yang kosong terlebih dahulu.
Jika Anda telah mengaktifkan webhook dan ingin mempertahankan resource, nonaktifkan pencegahan penyimpangan untuk resource yang diabaikan. Jika belum mengaktifkan webhook, Anda tidak perlu melakukan langkah tambahan apa pun untuk menyimpan resource.
Hapus objek RootSync atau RepoSync dengan menjalankan perintah berikut:
kubectl delete -f FILE_NAME
Ganti
FILE_NAME
dengan nama file konfigurasi RootSync atau RepoSync. Contoh,root-sync.yaml
.
Langkah selanjutnya
- Pelajari cara mencegah penyimpangan konfigurasi di sumber kebenaran cakupan namespace.
- Cari tahu cara memantau objek RootSync dan RepoSync.
- Pelajari cara memecah sumber tepercaya menjadi beberapa sumber tepercaya.