Cette page explique les choix de configuration et les exigences à prendre en compte lorsque vous planifiez vos clusters pour les utiliser avec Config Sync.
Pour en savoir plus sur les bonnes pratiques générales à suivre lorsque vous planifiez vos clusters GKE, consultez la documentation GKE sur les choix de configuration des clusters.
Choisir un mode de fonctionnement GKE
Config Sync est compatible avec les clusters GKE Autopilot et Standard.
Pour vous aider à faire un choix éclairé sur le mode de fonctionnement à utiliser, consultez Modes de fonctionnement de GKE.
Enregistrer vos clusters dans un parc
Config Sync nécessite que vos clusters soient enregistrés dans un parc.
Si vous prévoyez d'installer et de configurer Config Sync avec la Cloud de Confiance console, vous pouvez enregistrer votre cluster en même temps que vous installez Config Sync.
Sinon, vous devez enregistrer votre cluster dans un parc avant d'activer Config Sync.
Accorder les autorisations requises
Étant donné que Config Sync nécessite que les clusters soient enregistrés dans un parc, vous aurez peut-être besoin d'autorisations supplémentaires lors de l'installation de Config Sync.
Pour obtenir les autorisations nécessaires pour enregistrer des clusters dans un parc, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de parc (anciennement Administrateur GKE Hub) (roles/gkehub.admin) sur votre projet.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Exigences en termes de ressources avec le mode Autopilot
Le mode GKE Autopilot modifie automatiquement les demandes de ressources pour maintenir la stabilité de la charge de travail. Pour savoir comment planifier ces demandes, consultez la documentation GKE sur les demandes de ressources Autopilot.
En raison de la façon dont Autopilot modifie les demandes de ressources, Config Sync effectue les ajustements suivants :
- Ajuste les limites de remplacement des ressources spécifiées par l'utilisateur pour qu'elles correspondent aux demandes.
- N'applique les remplacements que lorsqu'une ou plusieurs demandes de ressources sont supérieures à la sortie ajustée correspondante déclarée dans l'annotation, ou lorsque des demandes de ressources sont inférieures à l'entrée correspondante déclarée dans l'annotation.
Plates-formes et versions GKE compatibles
Pour utiliser Config Sync, votre cluster doit exécuter une version GKE compatible.
Workload Identity Federation for GKE
Workload Identity Federation for GKE est la méthode recommandée pour se connecter de manière sécurisée aux Cloud de Confiance by S3NS services. Workload Identity Federation for GKE est activée par défaut sur les clusters Autopilot.
Si vous souhaitez utiliser des packages de parc avec Config Sync, vous devez utiliser Workload Identity Federation for GKE.
Si vous avez installé Config Sync sur des clusters GKE associés, vous ne pouvez pas utiliser Active Directory avec Workload Identity Federation. Cette limitation existe, car Config Sync utilise la passerelle Connect pour se connecter aux clusters GKE associés, et la passerelle Connect n'est pas compatible avec cette fonctionnalité.
Mise en réseau
La section suivante répertorie certaines des modifications que vous devrez peut-être apporter à votre cluster GKE, en fonction de vos paramètres réseau.
Pour en savoir plus sur les choix de mise en réseau GKE, consultez Présentation du réseau.
Clusters privés
Si vous utilisez des clusters GKE avec des nœuds privés, vous devez configurer vos clusters de l'une des manières suivantes pour vous assurer que Config Sync dispose d'un accès et peut s'authentifier auprès de votre source fiable :
Configurez Cloud NAT pour autoriser la sortie des nœuds GKE privés. Pour en savoir plus, consultez la page Exemple de configuration GKE setup.
Activez l'accès privé à Google pour vous connecter à l'ensemble des adresses IP externes utilisées par les API et services Google.
Clusters publics
Si vous utilisez des clusters publics, mais que vous avez des exigences strictes concernant le pare-feu VPC afin qu'il bloque tout trafic inutile, vous devez créer des règles de pare-feu pour autoriser le trafic suivant :
- TCP : autorisez les entrées et les sorties sur les ports 53 et 443
- UDP : autorisez la sortie sur le port 53
Si vous n'incluez pas ces règles, Config Sync ne se synchronise pas correctement et nomos status signale l'erreur suivante :
Error: KNV2004: unable to sync repo Error in the git-sync container
Cloud Source Repositories avec l'authentification du compte de service Compute Engine par défaut
Si vous utilisez Config Sync pour vous connecter à Cloud Source Repositories et que Workload Identity Federation for GKE n'est pas activé, vous pouvez utiliser le compte de service Compute Engine par défaut pour vous authentifier. Vous devez utiliser des niveaux d'accès avec des niveaux d'accès en lecture seule pour les nœuds du cluster.
Vous pouvez ajouter le niveau d'accès en lecture seule pour Cloud Source Repositories en incluant cloud-source-repos-ro dans la liste --scopes spécifiée lors de la création du cluster ou en utilisant le niveau d'accès cloud-platform lors de la création du cluster. Exemple :
gcloud container clusters create CLUSTER_NAME --scopes=cloud-platform
Remplacez CLUSTER_NAME par le nom de votre cluster.
Vous ne pouvez pas modifier les niveaux d'accès après la création d'un pool de nœud.
Toutefois, vous pouvez créer un autre pool de nœuds avec le niveau d'accès approprié tout en utilisant le même cluster. Le niveau d'accès gke-default par défaut n'inclut pas cloud-source-repos-ro.
Nœuds Arm
Config Sync ne peut s'exécuter que sur des nœuds basés sur x86, et non sur des nœuds Arm. Toutefois, si vous devez exécuter Config Sync sur un cluster avec plusieurs architectures, procédez comme suit, en fonction du type de cluster :
- GKE sur AWS ou GKE sur Azure : ajoutez un rejet à vos nœuds Arm pour éviter de planifier des pods sur vos nœuds Arm sans tolérance correspondante.
- GKE : GKE ajoute un rejet par défaut pour s'assurer que les charges de travail sans tolérance correspondante ne sont pas planifiées. Aucune action supplémentaire n'est requise.