Questa pagina spiega come configurare più di una fonte attendibile con ambito principale e con ambito dello spazio dei nomi creando oggetti RootSync e RepoSync.
Avere una fonte attendibile radice consente di sincronizzare le configurazioni con ambito cluster e con ambito spazio dei nomi. Una fonte attendibile radice può utilizzare le credenziali a livello di amministratore per applicare criteri sugli spazi dei nomi delle applicazioni ed eseguire l'override delle modifiche locali che deviano dallo stato che hai dichiarato nelle configurazioni. In genere le fonti di attendibilità sono regolate da un amministratore centrale.
Le origini attendibili con ambito a livello di spazio dei nomi sono facoltative e possono contenere configurazioni con ambito a livello di spazio dei nomi sincronizzate con uno specifico spazio dei nomi nei vari cluster. Puoi delegare la configurazione e il controllo di una fonte attendibile con ambito dello spazio dei nomi a utenti non amministrativi. Sebbene Config Sync rilevi automaticamente le modifiche provenienti dalla fonte attendibile, puoi aggiungere un ulteriore livello di rilevamento delle deviazioni aggiungendo un webhook di ammissione a una fonte attendibile con ambito a livello di spazio dei nomi. Per maggiori dettagli su come eseguire questa operazione, consulta Prevenire la deviazione della configurazione.
Prima di iniziare
- Crea o assicurati di avere accesso a una fonte attendibile non strutturata che può contenere le configurazioni con cui Config Sync esegue la sincronizzazione. Config Sync supporta repository Git, grafici Helm e immagini OCI come fonte attendibile. Le origini attendibili con ambito a livello di spazio dei nomi devono utilizzare il formato non strutturato.
- Crea o assicurati di avere accesso a un cluster che si trova in una versione di Google Kubernetes Engine (GKE) Enterprise piattaforma e versione supportate e che soddisfi i requisiti per Config Sync.
Limitazioni
NamespaceSelectors
(incluse le annotazioni che puntano ai selettori) funzionano solo in una fonte attendibile di origine.- Se hai installato Config Sync utilizzando la console Google Cloud o Google Cloud CLI, Config Sync ha creato automaticamente un oggetto RootSync denominato
root-sync
. Per questo motivo, non puoi nominare nessuno degli oggetti RootSync con cuiroot-sync
.
Scegli il tuo metodo di configurazione preferito
Scegli tra uno dei due metodi per configurare le origini:
Controlla le fonti in una fonte principale di riferimento. Questo metodo centralizza l'intera configurazione di una fonte attendibile in un'altra fonte attendibile, consentendo a un amministratore centrale di avere il controllo completo della configurazione.
Controlla le origini con l'API Kubernetes. Utilizza questo metodo se vuoi delegare il controllo della tua fonte attendibile a diversi proprietari.
Controlla le origini in una fonte attendibile
Controlla le origini principali in una fonte attendibile
Config Sync supporta la sincronizzazione da più fonti attendibili. L'amministratore centrale può utilizzare una fonte attendibile radice per gestire tutte le altre origini. Poiché Config Sync gestisce gli oggetti RootSync, questo metodo impedisce qualsiasi modifica locale alle configurazioni RootSync nel cluster.
Per utilizzare questo metodo, completa le seguenti attività:
Salva uno dei seguenti manifest come
root-sync.yaml
. Utilizza la versione del file manifest corrispondente al tipo di origine per le tue configurazioni.Git
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: git sourceFormat: ROOT_FORMAT git: repo: ROOT_REPOSITORY revision: ROOT_REVISION branch: ROOT_BRANCH dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME noSSLVerify: ROOT_NO_SSL_VERIFY caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
ROOT_SYNC_NAME
: aggiungi il nome dell'oggetto RootSync.ROOT_FORMAT
: aggiungiunstructured
per utilizzare un repository non strutturato o aggiungihierarchy
per utilizzare un repository gerarchico. Questi valori sono sensibili alle maiuscole. Questo campo è facoltativo e il valore predefinito èhierarchy
. Ti consigliamo di aggiungereunstructured
, poiché questo formato ti consente di organizzare le configurazioni nel modo più pratico per te.ROOT_REPOSITORY
: aggiungi l'URL del repository Git da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.ROOT_REVISION
: aggiungi la revisione Git (tag o hash) da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èHEAD
. A partire da Config Sync versione 1.17.0, puoi anche specificare un nome ramo nel camporevision
. Se utilizzi un hash nella versione 1.17.0 o successive, deve essere un hash completo e non una forma abbreviata.ROOT_BRANCH
: aggiungi il ramo del repository da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èmaster
. A partire da Config Sync versione 1.17.0, ti consigliamo di utilizzare il camporevision
per specificare un nome ramo per semplicità. Se sono specificati sia il camporevision
che il campobranch
,revision
ha la precedenza subranch
.ROOT_DIRECTORY
: aggiungi il percorso nel repository Git alla directory radice che contiene la configurazione con cui vuoi eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) del repository.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionessh
: usa una coppia di chiavi SSHcookiefile
: usa uncookiefile
token
: utilizza un tokengcpserviceaccount
: usa un account di servizio Google per accedere a Cloud Source Repositories.gcenode
: utilizza un account di servizio Google per accedere a Cloud Source Repositories. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.
Per ulteriori informazioni su questi tipi di autenticazione, consulta la pagina su come concedere a Config Sync l'accesso di sola lettura a Git.
Questo campo è obbligatorio.
ROOT_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: aggiungi il nome del tuo secret. Se questo campo è impostato, devi aggiungere la chiave pubblica del secret al provider Git. Questo campo è facoltativo.ROOT_NO_SSL_VERIFY
: per disabilitare la verifica del certificato SSL, imposta questo campo sutrue
. Il valore predefinito èfalse
.ROOT_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il tuo provider Git deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Questo manifest crea un oggetto
RootSync
che utilizza Git come origine.OCI
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: oci sourceFormat: ROOT_FORMAT oci: image: ROOT_IMAGE dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
ROOT_SYNC_NAME
: aggiungi il nome dell'oggetto RootSync.ROOT_FORMAT
: aggiungiunstructured
per utilizzare un repository non strutturato o aggiungihierarchy
per utilizzare un repository gerarchico. Questi valori sono sensibili alle maiuscole. Questo campo è facoltativo e il valore predefinito èhierarchy
. Ti consigliamo di aggiungereunstructured
, poiché questo formato ti consente di organizzare le configurazioni nel modo più pratico per te.ROOT_IMAGE
: l'URL dell'immagine OCI da utilizzare come repository root, ad esempioLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Per impostazione predefinita, l'immagine viene estratta dal taglatest
, ma puoi recuperare le immagini in base aTAG
oDIGEST
. SpecificaTAG
oDIGEST
inPACKAGE_NAME
:- Per eseguire il pull per
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Per eseguire il pull per
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Per eseguire il pull per
ROOT_DIRECTORY
: aggiungi il percorso nel repository alla directory radice che contiene la configurazione con cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) del repository.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionegcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
ROOT_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo viene impostato, il provider OCI deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.
Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Questo file manifest crea un oggetto
RootSync
che utilizza un'immagine OCI come origine.Helm
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: helm sourceFormat: ROOT_FORMAT helm: repo: ROOT_HELM_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
ROOT_SYNC_NAME
: aggiungi il nome dell'oggetto RootSync.ROOT_FORMAT
: aggiungiunstructured
per utilizzare un repository non strutturato o aggiungihierarchy
per utilizzare un repository gerarchico. Questi valori sono sensibili alle maiuscole. Questo campo è facoltativo e il valore predefinito èhierarchy
. Ti consigliamo di aggiungereunstructured
, poiché questo formato ti consente di organizzare le configurazioni nel modo più pratico per te.ROOT_HELM_REPOSITORY
: l'URL del repository Helm da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.HELM_CHART_NAME
: aggiungi il nome del tuo grafico Helm. Questo campo è obbligatorio.HELM_CHART_VERSION
: la versione del grafico. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzata l'ultima versione.HELM_RELEASE_NAME
: il nome della release Helm. Questo campo è facoltativo.HELM_RELEASE_NAMESPACE
: lo spazio dei nomi di destinazione per una release. Imposta uno spazio dei nomi solo per le risorse che contengononamespace: {{ .Release.Namespace }}
nei modelli. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzato lo spazio dei nomi predefinitoconfig-management-system
.HELM_INCLUDE_CRDS
: imposta sutrue
se vuoi che il modello Helm generi anche una CustomResourceDefinition. Questo campo è facoltativo. Se non viene specificato alcun valore, il valore predefinito èfalse
e non verrà generato un CRD.VALUE
: valori da utilizzare al posto dei valori predefiniti associati al grafico Helm. Formatta questo campo come quello del file helm chart's values.yaml. Questo campo è facoltativo.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionetoken
: utilizza un nome utente e una password per accedere a un repository Helm privato.gcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
ROOT_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: aggiungi il nome del tuo secret setoken
è ilROOT_AUTH_TYPE
. Questo campo è facoltativo.ROOT_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il provider Helm deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.
Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Questo manifest crea un oggetto
RootSync
che utilizza Helm come origine.Esegui il commit delle modifiche alla fonte attendibile principale:
git add . git commit -m 'Setting up a new root source of truth.' git push
Puoi ripetere i passaggi precedenti se devi configurare più origini principali. Puoi inoltre archiviare le configurazioni di più oggetti RootSync in una fonte attendibile sincronizzata da un altro oggetto RootSync, per gestire più oggetti RootSync centralmente in modo GitOps.
Controlla gli oggetti con ambito dello spazio dei nomi in un'origine attendibile principale
Le fonti di dati attendibili con ambito a livello di spazio dei nomi possono essere gestite da una fonte attendibile. Poiché le origini con ambito a livello di spazio dei nomi sono gestite da Config Sync, questo metodo impedisce qualsiasi modifica locale alle definizioni delle origini basate sullo spazio dei nomi.
Per utilizzare questo metodo, completa le seguenti attività:
Nella fonte attendibile principale, dichiara una configurazione
namespace
:# ROOT_SOURCE/namespaces/NAMESPACE/namespace.yaml apiVersion: v1 kind: Namespace metadata: name: NAMESPACE
Sostituisci
NAMESPACE
con un nome per lo spazio dei nomi.Nella fonte attendibile principale, crea uno dei seguenti oggetti
RepoSync
nello stesso spazio dei nomi. Utilizza il manifest corrispondente al tipo di origine per le tue configurazioni:Git
#ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: git # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured git: repo: NAMESPACE_REPOSITORY revision: NAMESPACE_REVISION branch: NAMESPACE_BRANCH dir: "NAMESPACE_DIRECTORY" auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME noSSLVerify: NAMESPACE_NO_SSL_VERIFY caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_REPOSITORY
: aggiungi l'URL del repository Git da utilizzare come repository dello spazio dei nomi. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Se non inserisci un protocollo, l'URL viene considerato come un URL HTTPS. Questo campo è obbligatorio.NAMESPACE_REVISION
: aggiungi la revisione Git (tag o hash) da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èHEAD
. A partire da Config Sync versione 1.17.0, puoi anche specificare un nome ramo nel camporevision
. Se utilizzi un hash nella versione 1.17.0 o successive, deve essere un hash completo e non una forma abbreviata.NAMESPACE_BRANCH
: aggiungi il ramo del repository da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èmaster
. A partire da Config Sync versione 1.17.0, ti consigliamo di utilizzare il camporevision
per specificare un nome ramo per semplicità. Se sono specificati sia il camporevision
che il campobranch
,revision
ha la precedenza subranch
.NAMESPACE_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionessh
: usa una coppia di chiavi SSHcookiefile
: usa uncookiefile
token
: utilizza un tokengcpserviceaccount
: usa un account di servizio Google per accedere a un repository in Cloud Source Repositories.gcenode
: utilizza un account di servizio Google per accedere a un repository in Cloud Source Repositories. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.Per ulteriori informazioni su questi tipi di autenticazione, consulta la pagina su come concedere a Config Sync l'accesso di sola lettura a Git.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeNAMESPACE_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: aggiungi il nome che intendi assegnare al tuo secret. Questo campo è facoltativo.NAMESPACE_NO_SSL_VERIFY
: per disabilitare la verifica del certificato SSL, imposta questo campo sutrue
. Il valore predefinito èfalse
.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il tuo provider Git deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo dei campi che puoi aggiungere al campo
spec
, vedi Campi RepoSync.OCI
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: oci # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured oci: image: NAMESPACE_IMAGE dir: NAMESPACE_DIRECTORY auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_IMAGE
: l'URL dell'immagine OCI da utilizzare come origine dello spazio dei nomi, ad esempioLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Per impostazione predefinita, l'immagine viene estratta dal taglatest
, ma puoi recuperare le immagini in base aTAG
oDIGEST
. SpecificaTAG
oDIGEST
inPACKAGE_NAME
:- Per eseguire il pull per
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Per eseguire il pull per
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Per eseguire il pull per
NAMESPACE_DIRECTORY
: aggiungi il percorso nell'origine alla directory principale che contiene la configurazione con cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) dell'origine.NAMESPACE_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionegcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo viene impostato, il provider OCI deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Helm
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: helm # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured helm: repo: NAMESPACE_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_REPOSITORY
: l'URL del repository Helm da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.HELM_CHART_NAME
: aggiungi il nome del tuo grafico Helm. Questo campo è obbligatorio.HELM_CHART_VERSION
: la versione del grafico. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzata l'ultima versione.HELM_RELEASE_NAME
: il nome della release Helm. Questo campo è facoltativo.HELM_RELEASE_NAMESPACE
: lo spazio dei nomi di destinazione per una release. Imposta uno spazio dei nomi solo per le risorse che contengononamespace: {{ .Release.Namespace }}
nei modelli. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzato lo spazio dei nomi predefinitoconfig-management-system
.HELM_INCLUDE_CRDS
: imposta sutrue
se vuoi che il modello Helm generi anche una CustomResourceDefinition. Questo campo è facoltativo. Se non viene specificato alcun valore, il valore predefinito èfalse
e non verrà generato un CRD.VALUE
: valori da utilizzare al posto dei valori predefiniti associati al grafico Helm. Formatta questo campo come se fosse il file helm chart's values.yaml. Questo campo è facoltativo.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionetoken
: utilizza un nome utente e una password per accedere a un repository Helm privato.gcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: aggiungi il nome del tuo secret setoken
è ilROOT_AUTH_TYPE
. Questo campo è facoltativo.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il provider Helm deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Se utilizzi
gcpserviceaccount
come tipo di autenticazione e non hai abilitato Workload Identity, devi creare un'associazione dei criteri IAM tra l'account di servizio Kubernetes per ogni spazio dei nomi e l'account di servizio Google. Vedi Concedere l'accesso a Git per le istruzioni su come creare questa associazione.Nell'origine principale, dichiara una configurazione
RoleBinding
che concede all'account di servizioSERVICE_ACCOUNT_NAME
l'autorizzazione per gestire gli oggetti nello spazio dei nomi. Config Sync crea automaticamente l'account di servizioSERVICE_ACCOUNT_NAME
quando la configurazione di RepoSync viene sincronizzata con il cluster.Un
RoleBinding
può fare riferimento a unRole
nello stesso spazio dei nomi. In alternativa, unRoleBinding
può fare riferimento a unClusterRole
e associare questoClusterRole
allo spazio dei nomi diRoleBinding
. Sebbene tu debba rispettare il principio del privilegio minimo concedendo autorizzazioni granulari a unRole
definito dall'utente, puoi definireClusterRole
o utilizzare ruoli rivolti agli utenti e fare riferimento allo stessoClusterRole
in piùRoleBindings
in spazi dei nomi diversi.ClusterRole predefiniti
Puoi dichiarare un
RoleBinding
che fa riferimento a unClusterRole
predefinito, ad esempioadmin
oedit
. Per scoprire di più, vedi Ruoli rivolti agli utenti.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ClusterRole name: CLUSTERROLE_NAME apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
NAMESPACE
: aggiungi il nome dello spazio dei nomi.SERVICE_ACCOUNT_NAME
: aggiungi il nome dell'account di servizio del riconciliatore. Se il nome RepoSync èrepo-sync
,SERVICE_ACCOUNT_NAME
èns-reconciler-NAMESPACE
. In caso contrario, èns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Ad esempio, se il tuo nome RepoSync èprod
, il valoreSERVICE_ACCOUNT_NAME
saràns-reconciler-NAMESPACE-prod-4
. Il numero intero4
viene utilizzato comeprod
contiene 4 caratteri.CLUSTERROLE_NAME
: aggiungi il nome del ClusterRole predefinito.
Ruoli definiti dall'utente
Puoi dichiarare
ClusterRole
oRole
concedendo un elenco di autorizzazioni a ogni risorsa gestita dall'oggettoRepoSync
. Ciò consente autorizzazioni granulari. Per ulteriori dettagli, consulta la sezione su come fare riferimento alle risorse.Ad esempio, la risorsa
ClusterRole
oRole
seguente concede le autorizzazioni per gestire gli oggettiDeployment
eServiceAccount
.# ROOT_REPO/namespaces/NAMESPACE/sync-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ROLE_KIND metadata: namespace: NAMESPACE # only set this field for a 'Role' name: RECONCILER_ROLE rules: # Update 'apiGroups' and 'resources' to reference actual resources managed by 'RepoSync'. - apiGroups: ["apps"] resources: ["deployments"] verbs: ["*"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["*"]
Per dichiarare un
RoleBinding
che fa riferimento aClusterRole
oRole
, crea l'oggetto seguente. L'RoleBinding
concede autorizzazioni aggiuntive per consentire a Config Sync di gestire le risorse con ambito dello spazio dei nomi per un determinatoRepoSync
.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ROLE_KIND name: RECONCILER_ROLE apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
ROLE_KIND
: impostaClusterRole
oRole
.NAMESPACE
: aggiungi il nome dello spazio dei nomi.SERVICE_ACCOUNT_NAME
: aggiungi il nome dell'account di servizio del riconciliatore. Se il nome RepoSync èrepo-sync
,SERVICE_ACCOUNT_NAME
èns-reconciler-NAMESPACE
. In caso contrario, èns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Ad esempio, se il tuo nome RepoSync èprod
, il valoreSERVICE_ACCOUNT_NAME
saràns-reconciler-NAMESPACE-prod-4
. Il numero intero4
viene utilizzato comeprod
contiene 4 caratteri.RECONCILER_ROLE
: aggiungi il nome dellaClusterRole
o dellaRole
.
Esegui il commit delle modifiche alla fonte attendibile principale:
git add . git commit -m 'Setting up a new namespace-scoped source of truth.' git push
Se necessario, crea un secret in base al metodo di autenticazione preferito. Se hai utilizzato
none
come tipo di autenticazione, puoi saltare questo passaggio.Il secret deve soddisfare i seguenti requisiti:
- Crea il secret nello stesso spazio dei nomi di RepoSync.
- Il nome del secret deve corrispondere al nome
spec.git.secretRef
definito inrepo-sync.yaml
. - Devi aggiungere la chiave pubblica del secret al provider Git.
Per verificare la configurazione, utilizza
kubectl get
su uno degli oggetti nell'origine dello spazio dei nomi. Ad esempio:kubectl get rolebindings -n NAMESPACE
Puoi ripetere i passaggi precedenti se devi configurare più di un'origine con ambito dello spazio dei nomi.
Controlla le origini basate sullo spazio dei nomi in un'origine con ambito spazio dei nomi
Config Sync supporta la sincronizzazione da più di una fonte attendibile con ambito dei nomi per spazio dei nomi. Le origini attendibili con ambito a livello di spazio dei nomi possono essere gestite in una fonte attendibile con ambito dello spazio dei nomi nello stesso spazio dei nomi.
Per utilizzare questo metodo, completa le seguenti attività:
Nella fonte attendibile con ambito dello spazio dei nomi, crea uno dei seguenti oggetti
RepoSync
nello stesso spazio dei nomi. Utilizza il manifest corrispondente al tipo di origine per le tue configurazioni:Git
#ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: git # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured git: repo: NAMESPACE_REPOSITORY revision: NAMESPACE_REVISION branch: NAMESPACE_BRANCH dir: "NAMESPACE_DIRECTORY" auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME noSSLVerify: NAMESPACE_NO_SSL_VERIFY caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_REPOSITORY
: aggiungi l'URL del repository Git da utilizzare come repository dello spazio dei nomi. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Se non inserisci un protocollo, l'URL viene considerato come un URL HTTPS. Questo campo è obbligatorio.NAMESPACE_REVISION
: aggiungi la revisione Git (tag o hash) da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èHEAD
. A partire da Config Sync versione 1.17.0, puoi anche specificare un nome ramo nel camporevision
. Se utilizzi un hash nella versione 1.17.0 o successive, deve essere un hash completo e non una forma abbreviata.NAMESPACE_BRANCH
: aggiungi il ramo del repository da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èmaster
. A partire da Config Sync versione 1.17.0, ti consigliamo di utilizzare il camporevision
per specificare un nome ramo per semplicità. Se sono specificati sia il camporevision
che il campobranch
,revision
ha la precedenza subranch
.NAMESPACE_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionessh
: usa una coppia di chiavi SSHcookiefile
: usa uncookiefile
token
: utilizza un tokengcpserviceaccount
: usa un account di servizio Google per accedere a un repository in Cloud Source Repositories.gcenode
: utilizza un account di servizio Google per accedere a un repository in Cloud Source Repositories. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.Per ulteriori informazioni su questi tipi di autenticazione, consulta la pagina su come concedere a Config Sync l'accesso di sola lettura a Git.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeNAMESPACE_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: aggiungi il nome che intendi assegnare al tuo secret. Questo campo è facoltativo.NAMESPACE_NO_SSL_VERIFY
: per disabilitare la verifica del certificato SSL, imposta questo campo sutrue
. Il valore predefinito èfalse
.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il tuo provider Git deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo dei campi che puoi aggiungere al campo
spec
, vedi Campi RepoSync.OCI
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: oci # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured oci: image: NAMESPACE_IMAGE dir: NAMESPACE_DIRECTORY auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_IMAGE
: l'URL dell'immagine OCI da utilizzare come origine dello spazio dei nomi, ad esempioLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Per impostazione predefinita, l'immagine viene estratta dal taglatest
, ma puoi recuperare le immagini in base aTAG
oDIGEST
. SpecificaTAG
oDIGEST
inPACKAGE_NAME
:- Per eseguire il pull per
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Per eseguire il pull per
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Per eseguire il pull per
NAMESPACE_DIRECTORY
: aggiungi il percorso nell'origine alla directory principale che contiene la configurazione con cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) dell'origine.NAMESPACE_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionegcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo viene impostato, il provider OCI deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Helm
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: helm # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured helm: repo: NAMESPACE_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_REPOSITORY
: l'URL del repository Helm da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.HELM_CHART_NAME
: aggiungi il nome del tuo grafico Helm. Questo campo è obbligatorio.HELM_CHART_VERSION
: la versione del grafico. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzata l'ultima versione.HELM_RELEASE_NAME
: il nome della release Helm. Questo campo è facoltativo.HELM_RELEASE_NAMESPACE
: lo spazio dei nomi di destinazione per una release. Imposta uno spazio dei nomi solo per le risorse che contengononamespace: {{ .Release.Namespace }}
nei modelli. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzato lo spazio dei nomi predefinitoconfig-management-system
.HELM_INCLUDE_CRDS
: imposta sutrue
se vuoi che il modello Helm generi anche una CustomResourceDefinition. Questo campo è facoltativo. Se non viene specificato alcun valore, il valore predefinito èfalse
e non verrà generato un CRD.VALUE
: valori da utilizzare al posto dei valori predefiniti associati al grafico Helm. Formatta questo campo come se fosse il file helm chart's values.yaml. Questo campo è facoltativo.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionetoken
: utilizza un nome utente e una password per accedere a un repository Helm privato.gcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: aggiungi il nome del tuo secret setoken
è ilROOT_AUTH_TYPE
. Questo campo è facoltativo.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il provider Helm deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Se utilizzi
gcpserviceaccount
come tipo di autenticazione e non hai abilitato Workload Identity, devi creare un'associazione dei criteri IAM tra l'account di servizio Kubernetes per ogni spazio dei nomi e l'account di servizio Google. Vedi Concedere l'accesso a Git per le istruzioni su come creare questa associazione.Nell'origine principale, dichiara una configurazione
RoleBinding
che concede all'account di servizioSERVICE_ACCOUNT_NAME
l'autorizzazione per gestire gli oggetti nello spazio dei nomi. Config Sync crea automaticamente l'account di servizioSERVICE_ACCOUNT_NAME
quando la configurazione di RepoSync viene sincronizzata con il cluster.Un
RoleBinding
può fare riferimento a unRole
nello stesso spazio dei nomi. In alternativa, unRoleBinding
può fare riferimento a unClusterRole
e associare questoClusterRole
allo spazio dei nomi diRoleBinding
. Sebbene tu debba rispettare il principio del privilegio minimo concedendo autorizzazioni granulari a unRole
definito dall'utente, puoi definireClusterRole
o utilizzare ruoli rivolti agli utenti e fare riferimento allo stessoClusterRole
in piùRoleBindings
in spazi dei nomi diversi.ClusterRole predefiniti
Puoi dichiarare un
RoleBinding
che fa riferimento a unClusterRole
predefinito, ad esempioadmin
oedit
. Per scoprire di più, vedi Ruoli rivolti agli utenti.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ClusterRole name: CLUSTERROLE_NAME apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
NAMESPACE
: aggiungi il nome dello spazio dei nomi.SERVICE_ACCOUNT_NAME
: aggiungi il nome dell'account di servizio del riconciliatore. Se il nome RepoSync èrepo-sync
,SERVICE_ACCOUNT_NAME
èns-reconciler-NAMESPACE
. In caso contrario, èns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Ad esempio, se il tuo nome RepoSync èprod
, il valoreSERVICE_ACCOUNT_NAME
saràns-reconciler-NAMESPACE-prod-4
. Il numero intero4
viene utilizzato comeprod
contiene 4 caratteri.CLUSTERROLE_NAME
: aggiungi il nome del ClusterRole predefinito.
Ruoli definiti dall'utente
Puoi dichiarare
ClusterRole
oRole
concedendo un elenco di autorizzazioni a ogni risorsa gestita dall'oggettoRepoSync
. Ciò consente autorizzazioni granulari. Per ulteriori dettagli, consulta la sezione su come fare riferimento alle risorse.Ad esempio, la risorsa
ClusterRole
oRole
seguente concede le autorizzazioni per gestire gli oggettiDeployment
eServiceAccount
.# ROOT_REPO/namespaces/NAMESPACE/sync-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ROLE_KIND metadata: namespace: NAMESPACE # only set this field for a 'Role' name: RECONCILER_ROLE rules: # Update 'apiGroups' and 'resources' to reference actual resources managed by 'RepoSync'. - apiGroups: ["apps"] resources: ["deployments"] verbs: ["*"] - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["*"]
Per dichiarare un
RoleBinding
che fa riferimento aClusterRole
oRole
, crea l'oggetto seguente. L'RoleBinding
concede autorizzazioni aggiuntive per consentire a Config Sync di gestire le risorse con ambito dello spazio dei nomi per un determinatoRepoSync
.# ROOT_REPO/namespaces/NAMESPACE/sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ROLE_KIND name: RECONCILER_ROLE apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
ROLE_KIND
: impostaClusterRole
oRole
.NAMESPACE
: aggiungi il nome dello spazio dei nomi.SERVICE_ACCOUNT_NAME
: aggiungi il nome dell'account di servizio del riconciliatore. Se il nome RepoSync èrepo-sync
,SERVICE_ACCOUNT_NAME
èns-reconciler-NAMESPACE
. In caso contrario, èns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH
. Ad esempio, se il tuo nome RepoSync èprod
, il valoreSERVICE_ACCOUNT_NAME
saràns-reconciler-NAMESPACE-prod-4
. Il numero intero4
viene utilizzato comeprod
contiene 4 caratteri.RECONCILER_ROLE
: aggiungi il nome dellaClusterRole
o dellaRole
.
Esegui il commit delle modifiche alla fonte attendibile principale:
git add . git commit -m 'Setting up a new namespace-scoped source of truth.' git push
Se necessario, crea un secret in base al metodo di autenticazione preferito. Se hai utilizzato
none
come tipo di autenticazione, puoi saltare questo passaggio.Il secret deve soddisfare i seguenti requisiti:
- Crea il secret nello stesso spazio dei nomi di RepoSync.
- Il nome del secret deve corrispondere al nome
spec.git.secretRef
definito inrepo-sync.yaml
. - Devi aggiungere la chiave pubblica del secret al provider Git.
Per verificare la configurazione, utilizza
kubectl get
su uno degli oggetti nell'origine attendibile con ambito a livello di spazio dei nomi. Ad esempio:kubectl get rolebindings -n NAMESPACE
Puoi ripetere i passaggi precedenti se devi configurare più di un'origine con ambito dello spazio dei nomi.
Controlla una fonte attendibile con l'API Kubernetes
In questo metodo, l'amministratore centrale delega la dichiarazione di altri oggetti RootSync
ad altri amministratori. Per gli oggetti RepoSync
, l'amministratore centrale dichiara solo lo spazio dei nomi nella fonte attendibile principale e delega la dichiarazione dell'oggetto RepoSync
all'operatore dell'applicazione.
Controllare più di una fonte attendibile principale
Altri amministratori possono controllare una fonte di riferimento principale svolgendo le seguenti attività:
Salva uno dei seguenti manifest come
root-sync.yaml
. Utilizza la versione del file manifest corrispondente al tipo di origine per le tue configurazioni.Git
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: git sourceFormat: ROOT_FORMAT git: repo: ROOT_REPOSITORY revision: ROOT_REVISION branch: ROOT_BRANCH dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME noSSLVerify: ROOT_NO_SSL_VERIFY caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
ROOT_SYNC_NAME
: aggiungi il nome dell'oggetto RootSync.ROOT_FORMAT
: aggiungiunstructured
per utilizzare un repository non strutturato o aggiungihierarchy
per utilizzare un repository gerarchico. Questi valori sono sensibili alle maiuscole. Questo campo è facoltativo e il valore predefinito èhierarchy
. Ti consigliamo di aggiungereunstructured
, poiché questo formato ti consente di organizzare le configurazioni nel modo più pratico per te.ROOT_REPOSITORY
: aggiungi l'URL del repository Git da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.ROOT_REVISION
: aggiungi la revisione Git (tag o hash) da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èHEAD
. A partire da Config Sync versione 1.17.0, puoi anche specificare un nome ramo nel camporevision
. Se utilizzi un hash nella versione 1.17.0 o successive, deve essere un hash completo e non una forma abbreviata.ROOT_BRANCH
: aggiungi il ramo del repository da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èmaster
. A partire da Config Sync versione 1.17.0, ti consigliamo di utilizzare il camporevision
per specificare un nome ramo per semplicità. Se sono specificati sia il camporevision
che il campobranch
,revision
ha la precedenza subranch
.ROOT_DIRECTORY
: aggiungi il percorso nel repository Git alla directory radice che contiene la configurazione con cui vuoi eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) del repository.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionessh
: usa una coppia di chiavi SSHcookiefile
: usa uncookiefile
token
: utilizza un tokengcpserviceaccount
: usa un account di servizio Google per accedere a Cloud Source Repositories.gcenode
: utilizza un account di servizio Google per accedere a Cloud Source Repositories. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.
Per ulteriori informazioni su questi tipi di autenticazione, consulta la pagina su come concedere a Config Sync l'accesso di sola lettura a Git.
Questo campo è obbligatorio.
ROOT_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: aggiungi il nome del tuo secret. Se questo campo è impostato, devi aggiungere la chiave pubblica del secret al provider Git. Questo campo è facoltativo.ROOT_NO_SSL_VERIFY
: per disabilitare la verifica del certificato SSL, imposta questo campo sutrue
. Il valore predefinito èfalse
.ROOT_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il tuo provider Git deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Questo manifest crea un oggetto
RootSync
che utilizza Git come origine.OCI
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: oci sourceFormat: ROOT_FORMAT oci: image: ROOT_IMAGE dir: ROOT_DIRECTORY auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
ROOT_SYNC_NAME
: aggiungi il nome dell'oggetto RootSync.ROOT_FORMAT
: aggiungiunstructured
per utilizzare un repository non strutturato o aggiungihierarchy
per utilizzare un repository gerarchico. Questi valori sono sensibili alle maiuscole. Questo campo è facoltativo e il valore predefinito èhierarchy
. Ti consigliamo di aggiungereunstructured
, poiché questo formato ti consente di organizzare le configurazioni nel modo più pratico per te.ROOT_IMAGE
: l'URL dell'immagine OCI da utilizzare come repository root, ad esempioLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Per impostazione predefinita, l'immagine viene estratta dal taglatest
, ma puoi recuperare le immagini in base aTAG
oDIGEST
. SpecificaTAG
oDIGEST
inPACKAGE_NAME
:- Per eseguire il pull per
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Per eseguire il pull per
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Per eseguire il pull per
ROOT_DIRECTORY
: aggiungi il percorso nel repository alla directory radice che contiene la configurazione con cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) del repository.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionegcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
ROOT_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo viene impostato, il provider OCI deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.
Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Questo file manifest crea un oggetto
RootSync
che utilizza un'immagine OCI come origine.Helm
# root-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RootSync metadata: name: ROOT_SYNC_NAME namespace: config-management-system spec: sourceType: helm sourceFormat: ROOT_FORMAT helm: repo: ROOT_HELM_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: ROOT_AUTH_TYPE gcpServiceAccountEmail: ROOT_EMAIL secretRef: name: ROOT_SECRET_NAME caCertSecretRef: name: ROOT_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
ROOT_SYNC_NAME
: aggiungi il nome dell'oggetto RootSync.ROOT_FORMAT
: aggiungiunstructured
per utilizzare un repository non strutturato o aggiungihierarchy
per utilizzare un repository gerarchico. Questi valori sono sensibili alle maiuscole. Questo campo è facoltativo e il valore predefinito èhierarchy
. Ti consigliamo di aggiungereunstructured
, poiché questo formato ti consente di organizzare le configurazioni nel modo più pratico per te.ROOT_HELM_REPOSITORY
: l'URL del repository Helm da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.HELM_CHART_NAME
: aggiungi il nome del tuo grafico Helm. Questo campo è obbligatorio.HELM_CHART_VERSION
: la versione del grafico. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzata l'ultima versione.HELM_RELEASE_NAME
: il nome della release Helm. Questo campo è facoltativo.HELM_RELEASE_NAMESPACE
: lo spazio dei nomi di destinazione per una release. Imposta uno spazio dei nomi solo per le risorse che contengononamespace: {{ .Release.Namespace }}
nei modelli. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzato lo spazio dei nomi predefinitoconfig-management-system
.HELM_INCLUDE_CRDS
: imposta sutrue
se vuoi che il modello Helm generi anche una CustomResourceDefinition. Questo campo è facoltativo. Se non viene specificato alcun valore, il valore predefinito èfalse
e non verrà generato un CRD.VALUE
: valori da utilizzare al posto dei valori predefiniti associati al grafico Helm. Formatta questo campo come quello del file helm chart's values.yaml. Questo campo è facoltativo.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionetoken
: utilizza un nome utente e una password per accedere a un repository Helm privato.gcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
ROOT_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.ROOT_SECRET_NAME
: aggiungi il nome del tuo secret setoken
è ilROOT_AUTH_TYPE
. Questo campo è facoltativo.ROOT_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il provider Helm deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.
Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Questo manifest crea un oggetto
RootSync
che utilizza Helm come origine.Applica le modifiche:
kubectl apply -f root-sync.yaml
Puoi ripetere i passaggi precedenti se devi configurare più di una fonte attendibile principale.
Controlla le origini attendibili con ambito dello spazio dei nomi
Attività amministrative centrali
L'amministratore centrale completa le seguenti attività:
Nella fonte attendibile principale, dichiara una configurazione
namespace
per le origini basate sullo spazio dei nomi.# ROOT_REPO/namespaces/NAMESPACE/namespace.yaml apiVersion: v1 kind: Namespace metadata: name: NAMESPACE
Sostituisci
NAMESPACE
con un nome per lo spazio dei nomi.Nella fonte attendibile principale, dichiara un
RoleBinding
per concedere le autorizzazioni agli operatori dell'applicazione. Utilizza la prevenzione dell'escalation RBAC per assicurarti che l'operatore dell'applicazione non possa applicare in un secondo momento un'associazione dei ruoli con autorizzazioni non concesse da questa associazione dei ruoli.Per dichiarare la risorsa RoleBinding, crea il seguente manifest:
# ROOT_REPO/namespaces/NAMESPACE/operator-rolebinding.yaml kind: RoleBinding # Add RBAC escalation prevention apiVersion: rbac.authorization.k8s.io/v1 metadata: name: operator namespace: NAMESPACE subjects: - kind: User name: USERNAME apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: OPERATOR_ROLE apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
NAMESPACE
: aggiungi lo spazio dei nomi che hai creato nella fonte attendibile principale.USERNAME
: aggiungi il nome utente dell'operatore dell'applicazione.OPERATOR_ROLE
: in qualità di amministratore centrale, puoi impostareOPERATOR_ROLE
per applicare in modo forzato i tipi di configurazioni che possono essere sincronizzati dall'origine basata sullo spazio dei nomi. Puoi scegliere uno dei seguenti ruoli:Un ClusterRole predefinito:
admin
edit
Per scoprire di più, vedi Ruoli rivolti agli utenti.
Un ClusterRole o Ruolo definito dall'utente dichiarato nella fonte attendibile principale. Questo ruolo consente autorizzazioni granulari.
Esegui il commit delle modifiche alla fonte attendibile principale:
git add . git commit -m 'Setting up new namespace-scoped source of truth.' git push
Attività dell'operatore dell'applicazione
L'operatore dell'applicazione può controllare le origini con ambito dello spazio dei nomi completando le attività seguenti:
Dichiara una configurazione
RoleBinding
che concede all'account di servizioSERVICE_ACCOUNT_NAME
di cui è stato eseguito il provisioning automatico per gestire gli oggetti nello spazio dei nomi. Config Sync crea automaticamente l'account di servizioSERVICE_ACCOUNT_NAME
quando la configurazioneRepoSync
viene sincronizzata con il cluster.Per dichiarare la risorsa RoleBinding, crea il seguente manifest:
# sync-rolebinding.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: syncs-repo namespace: NAMESPACE subjects: - kind: ServiceAccount name: SERVICE_ACCOUNT_NAME namespace: config-management-system roleRef: kind: ClusterRole name: RECONCILER_ROLE apiGroup: rbac.authorization.k8s.io
Sostituisci quanto segue:
NAMESPACE
: aggiungi lo spazio dei nomi che hai creato nella fonte attendibile principale.SERVICE_ACCOUNT_NAME
: aggiungi il nome dell'account di servizio del riconciliatore. Se il nome RepoSync èrepo-sync
,SERVICE_ACCOUNT_NAME
èns-reconciler-NAMESPACE
. In caso contrario, èns-reconciler-NAMESPACE-REPO_SYNC_NAME
.RECONCILER_ROLE
: come operatore dell'applicazione puoi impostareRECONCILER_ROLE
per applicare in modo forzato quali tipi di configurazione possono essere sincronizzati dall'origine con ambito dello spazio dei nomi. Puoi limitare ulteriormente l'insieme di autorizzazioni che ti ha concesso l'amministratore centrale. Di conseguenza, questo ruolo non può essere più permissivo delOPERATOR_ROLE
dichiarato dall'amministratore centrale nella sezione precedente.
Applica la configurazione RoleBinding:
kubectl apply -f sync-rolebinding.yaml
Se necessario, crea un secret in base al metodo di autenticazione preferito. Se hai utilizzato
none
come tipo di autenticazione, puoi saltare questo passaggio.Il secret deve soddisfare i seguenti requisiti:
- Crea il secret nello stesso spazio dei nomi di RepoSync.
- Il nome del secret deve corrispondere al nome
spec.git.secretRef
definito inroot-sync.yaml
. - Devi aggiungere la chiave pubblica del secret al provider Git.
Dichiara una configurazione
RepoSync
:Git
#ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: git # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured git: repo: NAMESPACE_REPOSITORY revision: NAMESPACE_REVISION branch: NAMESPACE_BRANCH dir: "NAMESPACE_DIRECTORY" auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME noSSLVerify: NAMESPACE_NO_SSL_VERIFY caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_REPOSITORY
: aggiungi l'URL del repository Git da utilizzare come repository dello spazio dei nomi. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Se non inserisci un protocollo, l'URL viene considerato come un URL HTTPS. Questo campo è obbligatorio.NAMESPACE_REVISION
: aggiungi la revisione Git (tag o hash) da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èHEAD
. A partire da Config Sync versione 1.17.0, puoi anche specificare un nome ramo nel camporevision
. Se utilizzi un hash nella versione 1.17.0 o successive, deve essere un hash completo e non una forma abbreviata.NAMESPACE_BRANCH
: aggiungi il ramo del repository da cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito èmaster
. A partire da Config Sync versione 1.17.0, ti consigliamo di utilizzare il camporevision
per specificare un nome ramo per semplicità. Se sono specificati sia il camporevision
che il campobranch
,revision
ha la precedenza subranch
.NAMESPACE_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionessh
: usa una coppia di chiavi SSHcookiefile
: usa uncookiefile
token
: utilizza un tokengcpserviceaccount
: usa un account di servizio Google per accedere a un repository in Cloud Source Repositories.gcenode
: utilizza un account di servizio Google per accedere a un repository in Cloud Source Repositories. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.Per ulteriori informazioni su questi tipi di autenticazione, consulta la pagina su come concedere a Config Sync l'accesso di sola lettura a Git.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeNAMESPACE_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: aggiungi il nome che intendi assegnare al tuo secret. Questo campo è facoltativo.NAMESPACE_NO_SSL_VERIFY
: per disabilitare la verifica del certificato SSL, imposta questo campo sutrue
. Il valore predefinito èfalse
.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il tuo provider Git deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo dei campi che puoi aggiungere al campo
spec
, vedi Campi RepoSync.OCI
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: oci # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured oci: image: NAMESPACE_IMAGE dir: NAMESPACE_DIRECTORY auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_IMAGE
: l'URL dell'immagine OCI da utilizzare come origine dello spazio dei nomi, ad esempioLOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME
. Per impostazione predefinita, l'immagine viene estratta dal taglatest
, ma puoi recuperare le immagini in base aTAG
oDIGEST
. SpecificaTAG
oDIGEST
inPACKAGE_NAME
:- Per eseguire il pull per
TAG
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
- Per eseguire il pull per
DIGEST
:LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST
- Per eseguire il pull per
NAMESPACE_DIRECTORY
: aggiungi il percorso nell'origine alla directory principale che contiene la configurazione con cui eseguire la sincronizzazione. Questo campo è facoltativo e il valore predefinito è la directory radice (/
) dell'origine.NAMESPACE_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionegcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo viene impostato, il provider OCI deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Helm
# ROOT_SOURCE/namespaces/NAMESPACE/repo-sync.yaml apiVersion: configsync.gke.io/v1beta1 kind: RepoSync metadata: name: REPO_SYNC_NAME namespace: NAMESPACE spec: sourceType: helm # Since this is for a namespace repository, the format is unstructured sourceFormat: unstructured helm: repo: NAMESPACE_REPOSITORY chart: HELM_CHART_NAME version: HELM_CHART_VERSION releaseName: HELM_RELEASE_NAME namespace: HELM_RELEASE_NAMESPACE values: foo: bar: VALUE_1 baz: - qux: VALUE_2 xyz: VALUE_3 includeCRDs: HELM_INCLUDE_CRDS auth: NAMESPACE_AUTH_TYPE gcpServiceAccountEmail: NAMESPACE_EMAIL secretRef: name: NAMESPACE_SECRET_NAME caCertSecretRef: name: NAMESPACE_CA_CERT_SECRET_NAME
Sostituisci quanto segue:
REPO_SYNC_NAME
: aggiungi il nome dell'oggetto RepoSync. Il nome deve essere univoco in tutto lo spazio dei nomi.NAMESPACE
: aggiungi il nome dello spazio dei nomi.NAMESPACE_REPOSITORY
: l'URL del repository Helm da utilizzare come repository principale. Puoi inserire gli URL utilizzando il protocollo HTTPS o SSH. Ad esempio,https://github.com/GoogleCloudPlatform/anthos-config-management-samples
utilizza il protocollo HTTPS. Questo campo è obbligatorio.HELM_CHART_NAME
: aggiungi il nome del tuo grafico Helm. Questo campo è obbligatorio.HELM_CHART_VERSION
: la versione del grafico. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzata l'ultima versione.HELM_RELEASE_NAME
: il nome della release Helm. Questo campo è facoltativo.HELM_RELEASE_NAMESPACE
: lo spazio dei nomi di destinazione per una release. Imposta uno spazio dei nomi solo per le risorse che contengononamespace: {{ .Release.Namespace }}
nei modelli. Questo campo è facoltativo. Se non viene specificato alcun valore, viene utilizzato lo spazio dei nomi predefinitoconfig-management-system
.HELM_INCLUDE_CRDS
: imposta sutrue
se vuoi che il modello Helm generi anche una CustomResourceDefinition. Questo campo è facoltativo. Se non viene specificato alcun valore, il valore predefinito èfalse
e non verrà generato un CRD.VALUE
: valori da utilizzare al posto dei valori predefiniti associati al grafico Helm. Formatta questo campo come se fosse il file helm chart's values.yaml. Questo campo è facoltativo.ROOT_AUTH_TYPE
: aggiungi uno dei seguenti tipi di autenticazione:none
: non usare l'autenticazionetoken
: utilizza un nome utente e una password per accedere a un repository Helm privato.gcenode
: utilizza l'account di servizio predefinito di Compute Engine per accedere a un'immagine in Artifact Registry. Seleziona questa opzione solo se Workload Identity non è abilitato nel cluster.gcpserviceaccount
: utilizza un account di servizio Google per accedere a un'immagine.
Questo campo è obbligatorio.
NAMESPACE_EMAIL
: se hai aggiuntogcpserviceaccount
comeROOT_AUTH_TYPE
, aggiungi l'indirizzo email del tuo account di servizio Google. Ad esempio,acm@PROJECT_ID.iam.gserviceaccount.com
.NAMESPACE_SECRET_NAME
: aggiungi il nome del tuo secret setoken
è ilROOT_AUTH_TYPE
. Questo campo è facoltativo.NAMESPACE_CA_CERT_SECRET_NAME
: aggiungi il nome del tuo Secret. Se questo campo è impostato, il provider Helm deve utilizzare un certificato emesso da questa autorità di certificazione (CA). Il secret deve contenere il certificato CA in una chiave denominatacert
. Questo campo è facoltativo.Per saperne di più su come configurare l'oggetto Secret per il certificato CA, consulta Configurare l'operatore per un'autorità di certificazione
Per una spiegazione dei campi e un elenco completo di quelli che puoi aggiungere al campo
spec
, vedi Campi RootSync.Applica la configurazione
RepoSync
:kubectl apply -f repo-sync.yaml
Per verificare la configurazione, utilizza
kubectl get
su uno degli oggetti nell'origine con ambito a livello di spazio dei nomi. Ad esempio:kubectl get rolebindings -n NAMESPACE
Puoi ripetere i passaggi precedenti se devi configurare più fonti di riferimento basate sullo spazio dei nomi .
Verifica lo stato di sincronizzazione della fonte attendibile
Puoi utilizzare il comando nomos status
per controllare lo stato di sincronizzazione dell'origine attendibile:
nomos status
Dovresti vedere un output simile all'esempio seguente:
my_managed_cluster-1
--------------------
<root> git@github.com:foo-corp/acme/admin@main
SYNCED f52a11e4
--------------------
bookstore git@github.com:foo-corp/acme/bookstore@v1
SYNCED 34d1a8c8
In questo output di esempio, l'origine con ambito dello spazio dei nomi, in questo caso un repository Git, è configurata per uno spazio dei nomi denominato bookstore
.
Verifica l'installazione di RootSync
Quando crei un oggetto RootSync, Config Sync crea un riconciliatore con il prefisso root-reconciler
. Un riconciliatore è un pod di cui viene eseguito il deployment come deployment.
Sincronizza i manifest da una fonte attendibile a un cluster.
Puoi verificare che l'oggetto RootSync funzioni correttamente controllando lo stato del deployment del riconciliatore root:
kubectl get -n config-management-system deployment \
-l configsync.gke.io/sync-name=ROOT_SYNC_NAME
Sostituisci ROOT_SYNC_NAME
con il nome di RootSync.
Dovresti vedere un output simile all'esempio seguente:
NAME READY UP-TO-DATE AVAILABLE AGE
root-reconciler 1/1 1 1 3h42m
Per ulteriori modi per esplorare lo stato dell'oggetto RootSync, consulta Monitorare gli oggetti RootSync e RepoSync.
Verificare l'installazione di RepoSync
Quando crei un oggetto RepoSync, Config Sync crea un riconciliatore con il
prefisso ns-reconciler-NAMESPACE
, dove
NAMESPACE
è lo spazio dei nomi in cui
hai creato l'oggetto RepoSync.
Per verificare che l'oggetto RepoSync funzioni correttamente, controlla lo stato del deployment del riconciliatore dello spazio dei nomi:
kubectl get -n config-management-system deployment \
-l configsync.gke.io/sync-name=REPO_SYNC_NAME \
-l configsync.gke.io/sync-namespace=NAMESPACE
Sostituisci REPO_SYNC_NAME
con il nome RepoSync e
sostituisci NAMESPACE
con lo spazio dei nomi in cui hai creato
la tua origine di riferimento basata sullo spazio dei nomi.
Per ulteriori modi per esplorare lo stato dell'oggetto RepoSync, consulta Esplorazione degli oggetti RootSync e RepoSync.
Rimuovere una fonte di riferimento
Seleziona la scheda Metodo di controllo centrale o Metodo API Kubernetes per visualizzare le istruzioni pertinenti.
Metodo di controllo centrale
Se hai utilizzato il metodo Controlla le fonti attendibili in una fonte attendibile, un amministratore centrale può seguire i due passaggi seguenti per rimuovere una fonte attendibile:
Decidi se eliminare o conservare le risorse gestite tramite gli oggetti RootSync e RepoSync.
Per eliminare tutte le risorse gestite dagli oggetti RootSync o RepoSync, sincronizza l'oggetto RootSync o RepoSync con un'origine vuota. ad esempio un repository GitHub senza configurazioni. Se l'oggetto RootSync o RepoSync contiene un altro oggetto RootSync o RepoSync, l'oggetto RootSync o RepoSync interno deve prima sincronizzarsi con un repository Git vuoto.
Se hai abilitato il webhook e vuoi conservare le risorse, annulla la gestione delle risorse seguendo le istruzioni per la risoluzione dei problemi. Se non hai abilitato il webhook, non devi eseguire altri passaggi per conservare le risorse.
Rimuovi l'oggetto RootSync o RepoSync dalla fonte attendibile.
Metodo API Kubernetes
Se hai utilizzato il metodo Controlla origini attendibili basate sullo spazio dei nomi con l'API Kubernetes, gli operatori delle applicazioni possono utilizzare i seguenti passaggi per rimuovere una fonte attendibile con ambito a livello di spazio dei nomi:
Decidi se eliminare o conservare le risorse gestite tramite gli oggetti RootSync e RepoSync.
Per eliminare tutte le risorse gestite dagli oggetti RootSync o RepoSync, sincronizza l'oggetto RootSync o RepoSync con un'origine vuota. ad esempio un repository GitHub senza configurazioni. Se l'oggetto RootSync o RepoSync contiene un altro oggetto RootSync o RepoSync, l'oggetto RootSync o RepoSync interno deve prima sincronizzarsi con un repository Git vuoto.
Se hai attivato il webhook e vuoi conservare le risorse, annulla la gestione delle risorse seguendo le istruzioni per la risoluzione dei problemi. Se non hai abilitato il webhook, non devi eseguire altri passaggi per conservare le risorse.
Elimina l'oggetto RootSync o RepoSync eseguendo questo comando:
kubectl delete -f FILE_NAME
Sostituisci
FILE_NAME
con il nome del file di configurazione RootSync o RepoSync. Ad esempio,root-sync.yaml
.
Passaggi successivi
- Scopri come prevenire la deviazione della configurazione nelle origini attendibili con ambito dello spazio dei nomi.
- Scopri come monitorare gli oggetti RootSync e RepoSync.
- Scopri come suddividere una fonte di dati in più fonti di dati.