Config Sync の概要

Config Sync は、Google Kubernetes Engine(GKE)Enterprise エディションの一部として提供される GitOps サービスです。Config Sync はオープンソース コア上に構築されており、クラスタ オペレータとプラットフォーム管理者が信頼できる情報源から構成をデプロイできます。このサービスには、クラスタまたは Namespace ごとに 1 つまたは複数のクラスタと任意の数のリポジトリをサポートする柔軟性があります。クラスタはハイブリッド環境またはマルチクラウド環境に配置できます。

Config Sync は、Google Kubernetes Engine(GKE)Enterprise エディション ライセンスで利用できます。

Config Sync のメリット

Kubernetes 構成を大規模に管理する組織にとって、GitOps は普遍的なベスト プラクティスであると考えられます。すべての GitOps ツールに、安定性の向上、可読性の向上、整合性、監査やセキュリティの強化というメリットがあります。Config Sync は Google Kubernetes Engine(GKE)Enterprise エディションの一部であり、次のような利点があります。

  • Google Kubernetes Engine(GKE)Enterprise エディションとの統合: プラットフォーム管理者は、Google Cloud コンソールで、Terraform、または Google Cloud CLI を使用して数回クリックするだけで Config Sync をフリートに接続されているクラスタにインストールできます。このサービスは、他の Google Kubernetes Engine(GKE)Enterprise エディションや Google Cloud のサービス(Policy Controller、Workload Identity Federation for GKE、Cloud Monitoring など)と連携するように構成されています。
  • 組み込みのオブザーバビリティ: Config Sync には、Google Cloud コンソールに組み込まれたオブザーバビリティ ダッシュボードがあります。追加の設定は必要ありません。プラットフォーム管理者は、Google Cloud コンソールにアクセスするか、Google Cloud CLI を使用して、同期と調整の状態を確認できます。
  • マルチクラウドとハイブリッドのサポート: Config Sync は、すべての一般提供リリースの前に複数のクラウド プロバイダとハイブリッド環境でテストされています。サポート マトリックスを確認するには、Google Kubernetes Engine(GKE)Enterprise エディションのバージョンとアップグレードのサポートをご覧ください。

Config Sync について

次の図は、管理者がクラスタを単一のルート リポジトリ(管理者が管理)と複数の Namespace リポジトリ(アプリケーション オペレータが管理)にどのように同期するかの概要を示しています。

複数の構成ファイルを管理する中央管理者と、それぞれが自前の Namespace 構成ファイルを管理するアプリ オペレータ。

中央管理者が組織の一元化されたインフラストラクチャを管理し、クラスタと組織内のすべての Namespace にポリシーを適用します。実際のデプロイメントを管理するアプリケーション オペレータは、取り組んでいる Namespace 内のアプリケーションに構成を適用します。

クラスタの構成

Config Sync では、信頼できる単一の情報源から構成の共通セットとポリシー(Policy Controller の制約など)を作成し、登録済み接続しているクラスタに一貫した方法で適用できます。

kubectl apply コマンドの手動実行ではなく、GitOps スタイルのツールを使用して一連のクラスタに対する構成変更をオーケストレートできます。詳細については、Config Sync を使用した安全なロールアウトをご覧ください。このチュートリアルと他のチュートリアルでは、信頼できる情報源として Git リポジトリを使用しますが、OCI イメージまたは Helm チャートを使用することもできます。

Namespace の構成

Config Sync で名前空間を構成すると、次のことが可能になります。

  • 登録済みで接続しているクラスタ全体で、名前空間スコープのポリシー(RBAC ロールなど)を使用して、Kubernetes 名前空間のプロビジョニングを一貫した方法で行うことができます。名前空間スコープのポリシーを使用すると、クラスタ内でマルチテナンシーの実装と管理をより簡単に行うことができます。
  • 構成ファイルを複製することなく、複数の関連する Namespace にポリシーを適用します。特定の Namespace または Namespace セットの構成をオーバーライドまたは拡張できるため、テナント間で一貫したポリシーを簡単に適用できます。

次のステップ