Menginstal Config Sync

Pasangan kunci SSH

Pasangan kunci SSH terdiri dari dua file, yaitu kunci publik dan kunci pribadi. Kunci publik biasanya memiliki ekstensi .pub.

Untuk menggunakan pasangan kunci SSH, selesaikan langkah-langkah berikut:

1. Buat pasangan kunci SSH agar Config Sync dapat melakukan autentikasi ke repositori Git Anda. Langkah ini diperlukan jika Anda perlu mengautentikasi ke repositori untuk meng-clone atau membaca dari repositori tersebut. Lewati langkah ini jika administrator keamanan memberi Anda pasangan kunci. Anda dapat menggunakan satu pasangan kunci untuk semua cluster, atau pasangan kunci per cluster, bergantung pada persyaratan keamanan dan kepatuhan Anda.

   Perintah berikut akan membuat kunci RSA 4096-bit. Nilai yang lebih rendah tidak direkomendasikan:

   ssh-keygen -t rsa -b 4096 \
   -C "GIT_REPOSITORY_USERNAME" \
   -N '' \
   -f /path/to/KEYPAIR_FILENAME
   

   Ganti kode berikut:

   • GIT_REPOSITORY_USERNAME: nama pengguna yang Anda inginkan agar Config Sync gunakan untuk mengautentikasi ke repositori
   • /path/to/KEYPAIR_FILENAME: jalur ke pasangan kunci

   Jika Anda menggunakan host repositori Git pihak ketiga seperti GitHub, atau Anda ingin menggunakan akun layanan dengan Cloud Source Repositories, sebaiknya Anda menggunakan akun terpisah.

2. Konfigurasi repositori Anda untuk mengenali kunci publik yang baru dibuat. Lihat dokumentasi untuk penyedia hosting Git Anda. Petunjuk untuk beberapa penyedia hosting Git populer disertakan untuk memudahkan:

   • Cloud Source Repositories
   • Bitbucket
   • GitHub Sebaiknya Anda membuat kunci deployment terpisah untuk memberikan akses hanya baca ke satu repositori GitHub.
   • GitLab

3. Tambahkan kunci pribadi ke Secret baru di cluster:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=ssh=/path/to/KEYPAIR_PRIVATE_KEY_FILENAME
   

   Ganti /path/to/KEYPAIR_PRIVATE_KEY_FILENAME dengan nama kunci pribadi (tanpa akhiran .pub).

4. (Direkomendasikan) Untuk mengonfigurasi pemeriksaan host yang dikenal menggunakan autentikasi SSH, Anda dapat menambahkan kunci host yang dikenal ke kolom data.known_hosts dalam secret git_creds. Untuk menonaktifkan pemeriksaan known_hosts, Anda dapat menghapus kolom known_hosts dari rahasia. Untuk menambahkan kunci host yang dikenal, jalankan:

   kubectl edit secret git-creds \
    --namespace=config-management-system
   

   Kemudian, di bagian data, tambahkan entri host yang dikenal:

   known_hosts: KNOWN_HOSTS_KEY
   

5. Hapus kunci pribadi dari disk lokal atau lindungi kunci pribadi tersebut.

6. Saat Anda mengonfigurasi Config Sync dan menambahkan URL untuk repositori Git, gunakan protokol SSH. Jika Anda menggunakan repositori di Cloud Source Repositories, Anda harus menggunakan format berikut saat memasukkan URL:

   ssh://EMAIL@source.developers.google.com:2022/p/PROJECT_ID/r/REPO_NAME
   

   Ganti kode berikut:

   • EMAIL: nama pengguna Google Cloud Anda
   • PROJECT_ID: ID Google Cloud project tempat repositori berada
   • REPO_NAME: nama repositori

Cookiefile

Proses untuk mendapatkan cookiefile bergantung pada konfigurasi repositori Anda. Sebagai contoh, lihat Membuat kredensial statis dalam dokumentasi Cloud Source Repositories. Kredensial biasanya disimpan dalam file .gitcookies di direktori beranda Anda, atau mungkin diberikan kepada Anda oleh administrator keamanan.

Untuk menggunakan cookiefile, selesaikan langkah-langkah berikut:

1. Setelah Anda membuat dan mendapatkan cookiefile, tambahkan cookiefile tersebut ke Secret baru dalam cluster.

   Jika Anda tidak menggunakan proxy HTTPS, buat Secret dengan perintah berikut:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE
   

   Jika Anda perlu menggunakan proxy HTTPS, tambahkan ke Secret bersama dengan cookiefile dengan menjalankan perintah berikut:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-file=cookie_file=/path/to/COOKIEFILE \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Ganti kode berikut:

   • /path/to/COOKIEFILE: jalur dan nama file yang sesuai
   • HTTPS_PROXY_URL: URL untuk proxy HTTPS yang Anda gunakan saat berkomunikasi dengan repositori Git

2. Lindungi konten cookiefile jika Anda masih memerlukannya secara lokal. Jika tidak, hapus token tersebut.

Token

Jika organisasi Anda tidak mengizinkan penggunaan kunci SSH, sebaiknya gunakan token. Dengan Config Sync, Anda dapat menggunakan token akses pribadi (PAT) GitHub, PAT atau kunci deployment GitLab, atau sandi aplikasi Bitbucket sebagai token Anda.

Untuk membuat Rahasia menggunakan token Anda, selesaikan langkah-langkah berikut:

1. Buat token menggunakan GitHub, GitLab, atau Bitbucket:

   • GitHub: Buat PAT. Beri token cakupan repo agar dapat membaca dari repositori pribadi. Karena Anda mengikat PAT ke akun GitHub, sebaiknya buat pengguna mesin dan ikat PAT Anda ke pengguna mesin.
   • GitLab: Buat PAT atau buat token deployment
   • Bitbucket: Buat sandi aplikasi.

2. Setelah Anda membuat dan mendapatkan token, tambahkan token tersebut ke Secret baru dalam cluster.

   Jika Anda tidak menggunakan proxy HTTPS, buat Secret dengan perintah berikut:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace="config-management-system" \
     --from-literal=username=USERNAME \
     --from-literal=token=TOKEN
   

   Ganti kode berikut:

   • USERNAME: nama pengguna yang ingin Anda gunakan.
   • TOKEN: token yang Anda buat pada langkah sebelumnya.

   Jika Anda perlu menggunakan proxy HTTPS, tambahkan ke Secret bersama dengan username dan token dengan menjalankan perintah berikut:

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
     --from-literal=token=TOKEN \
    --from-literal=https_proxy=HTTPS_PROXY_URL
   

   Ganti kode berikut:

   • USERNAME: nama pengguna yang ingin Anda gunakan.
   • TOKEN: token yang Anda buat pada langkah sebelumnya.
   • HTTPS_PROXY_URL: URL untuk proxy HTTPS yang Anda gunakan saat berkomunikasi dengan repositori Git.

3. Lindungi token jika Anda masih memerlukannya secara lokal. Jika tidak, hapus file cookie tersebut.

Akun layanan Google

Jika repositori Anda berada di Cloud Source Repositories, dan cluster Anda menggunakan GKE Workload Identity Federation untuk GKE atau Workload Identity Federation fleet untuk GKE, Anda dapat memberi Config Sync akses ke repositori dalam project yang sama dengan cluster terkelola Anda menggunakan akun layanan Google.

1. Jika Anda belum memiliki akun layanan, buat akun layanan.

2. Berikan peran IAM Cloud Source Repositories Reader (roles/source.reader) ke akun layanan Google. Untuk mengetahui informasi selengkapnya tentang peran dan izin Cloud Source Repositories, lihat Memberi izin untuk melihat repositori.

   • Berikan izin di seluruh project jika izin yang sama berlaku untuk semua repositori dalam project.

     gcloud projects add-iam-policy-binding PROJECT_ID \
       --role=roles/source.reader \
       --member="serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com"
     

   • Berikan izin khusus repositori jika Anda ingin akun layanan memiliki tingkat akses yang berbeda untuk setiap repositori di project Anda.

     gcloud source repos set-iam-policy REPOSITORY POLICY_FILE --project=PROJECT_ID
     

3. Jika Anda mengonfigurasi Config Sync menggunakan konsol Google Cloud , pilih Workload Identity Federation untuk GKE sebagai Jenis Autentikasi, lalu tambahkan email akun layanan Anda.

   Jika Anda mengonfigurasi Config Sync menggunakan Google Cloud CLI, tambahkan gcpserviceaccount sebagai secretType, lalu tambahkan email akun layanan Anda ke gcpServiceAccountEmail.

4. Setelah mengonfigurasi Config Sync, buat binding kebijakan IAM antara akun layanan Kubernetes dan akun layanan Google. Akun layanan Kubernetes tidak dibuat hingga Anda mengonfigurasi Config Sync untuk pertama kalinya.

   Jika Anda menggunakan cluster yang terdaftar ke fleet, Anda hanya perlu membuat pengikatan kebijakan satu kali per fleet. Semua cluster yang terdaftar di fleet berbagi Workload Identity Federation for GKEpool yang sama. Dengan konsep kesamaan fleet, jika Anda menambahkan kebijakan IAM ke akun layanan Kubernetes di satu cluster, akun layanan Kubernetes dari namespace yang sama di cluster lain dalam fleet yang sama juga akan mendapatkan kebijakan IAM yang sama.

   Binding ini memungkinkan akun layanan Kubernetes Config Sync bertindak sebagai akun layanan Google:

   gcloud iam service-accounts add-iam-policy-binding \
       GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --role=roles/iam.workloadIdentityUser \
       --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
       --project=PROJECT_ID
   

Ganti kode berikut:

• PROJECT_ID: project ID organisasi.
• FLEET_HOST_PROJECT_ID: jika Anda menggunakan GKE Workload Identity Federation for GKE, nilai ini sama dengan PROJECT_ID. Jika Anda menggunakan fleet Workload Identity Federation untuk GKE, ini adalah project ID fleet tempat cluster Anda terdaftar.
• GSA_NAME: akun layanan Google kustom yang ingin Anda gunakan untuk terhubung ke Artifact Registry. Akun layanan harus memiliki peran IAM Artifact Registry Reader (roles/artifactregistry.reader).
• KSA_NAME: akun layanan Kubernetes untuk rekonsiliasi.
  • Untuk repositori root, jika nama RootSync adalah root-sync, gunakan root-reconciler. Jika tidak, gunakan root-reconciler-ROOT_SYNC_NAME. Jika Anda menginstal Config Sync menggunakan konsol Google Cloud atau Google Cloud CLI, Config Sync akan otomatis membuat objek RootSync bernama root-sync.
• REPOSITORY: nama repositori.
• POLICY_FILE: file JSON atau YAML dengan kebijakan Identity and Access Management.

Akun layanan default Compute Engine

Jika repositori Anda berada di Cloud Source Repositories, dan cluster Anda adalah GKE dengan Workload Identity Federation for GKE dinonaktifkan, Anda dapat menggunakan gcenode sebagai jenis autentikasi Anda.

Jika Anda mengonfigurasi Config Sync menggunakan konsol Google Cloud , pilih Google Cloud Repository sebagai Authentication Type.

Jika Anda mengonfigurasi Config Sync menggunakan Google Cloud CLI, tambahkan gcenode sebagai secretType.

Dengan memilih Google Cloud Repository atau gcenode, Anda dapat menggunakan akun layanan default Compute Engine. Anda harus memberikan peran IAM Cloud Source Repositories Reader (roles/source.reader) ke akun layanan default Compute Engine. Untuk mengetahui informasi selengkapnya tentang peran dan izin Cloud Source Repositories, lihat Memberikan izin untuk melihat repositori.

gcloud projects add-iam-policy-binding PROJECT_ID \
  --role=roles/source.reader \
  --member="serviceAccount:PROJECT_NUMBER[email protected]"

Ganti PROJECT_ID dengan project ID organisasi Anda, dan ganti PROJECT_NUMBER dengan nomor project organisasi Anda.

Aplikasi GitHub

Jika repositori Anda ada di GitHub, Anda dapat menggunakan githubapp sebagai jenis autentikasi Anda.

Untuk menggunakan Aplikasi GitHub, selesaikan langkah-langkah berikut:

1. Ikuti petunjuk di GitHub untuk menyediakan Aplikasi GitHub dan memberinya izin untuk membaca dari repositori Anda.

2. Tambahkan konfigurasi Aplikasi GitHub ke Secret baru di cluster:

   Menggunakan Client ID

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace=config-management-system \
     --from-literal=github-app-client-id=CLIENT_ID \
     --from-literal=github-app-installation-id=INSTALLATION_ID \
     --from-file=github-app-private-key=/path/to/GITHUB_PRIVATE_KEY \
     --from-literal=github-app-base-url=BASE_URL
   

   • Ganti CLIENT_ID dengan ID klien untuk Aplikasi GitHub.
   • Ganti INSTALLATION_ID dengan ID penginstalan untuk Aplikasi GitHub.
   • Ganti /path/to/GITHUB_PRIVATE_KEY dengan nama file yang berisi kunci pribadi.
   • Ganti BASE_URL dengan URL dasar untuk endpoint GitHub API. Ini hanya diperlukan jika repositori tidak dihosting di www.github.com. Argumen dapat dihilangkan dan akan ditetapkan secara default ke https://api.github.com/.

   Menggunakan ID Aplikasi

   kubectl create ns config-management-system && \
   kubectl create secret generic git-creds \
     --namespace=config-management-system \
     --from-literal=github-app-application-id=APPLICATION_ID \
     --from-literal=github-app-installation-id=INSTALLATION_ID \
     --from-file=github-app-private-key=/path/to/GITHUB_PRIVATE_KEY \
     --from-literal=github-app-base-url=BASE_URL
   

   • Ganti APPLICATION_ID dengan ID aplikasi untuk Aplikasi GitHub.
   • Ganti INSTALLATION_ID dengan ID penginstalan untuk Aplikasi GitHub.
   • Ganti /path/to/GITHUB_PRIVATE_KEY dengan nama file yang berisi kunci pribadi.
   • Ganti BASE_URL dengan URL dasar untuk endpoint GitHub API. Ini hanya diperlukan jika repositori tidak dihosting di www.github.com. Argumen dapat dihilangkan dan akan ditetapkan secara default ke https://api.github.com/.

3. Hapus kunci pribadi dari disk lokal atau lindungi kunci pribadi tersebut.

4. Saat Anda mengonfigurasi Config Sync dan menambahkan URL untuk repositori Git Anda, gunakan jenis autentikasi githubapp.

Akun layanan Kubernetes

Anda dapat menggunakan akun layanan Kubernetes sebagai jenis autentikasi jika menyimpan image OCI di Artifact Registry dan cluster Anda menggunakan Workload Identity Federation untuk GKE atau Workload Identity Federation fleet untuk GKE.

1. Berikan peran IAM Pembaca Artifact Registry (roles/artifactregistry.reader) ke akun layanan Kubernetes dengan kumpulan Workload Identity Federation untuk GKE. Untuk mengetahui informasi selengkapnya tentang peran dan izin Artifact Registry, lihat Mengonfigurasi peran dan izin untuk Artifact Registry.

   • Berikan izin di seluruh project jika izin yang sama berlaku untuk semua repositori dalam project.

     gcloud projects add-iam-policy-binding PROJECT_ID \
           --role=roles/artifactregistry.reader \
           --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
     

   • Berikan izin khusus repositori jika Anda ingin akun layanan memiliki tingkat akses yang berbeda untuk setiap repositori di project Anda.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
        --project=PROJECT_ID
     

   Ganti kode berikut:

   • PROJECT_ID: project ID organisasi.
   • FLEET_HOST_PROJECT_ID: jika Anda menggunakan GKE Workload Identity Federation for GKE, nilai ini sama dengan PROJECT_ID. Jika Anda menggunakan fleet Workload Identity Federation untuk GKE, ini adalah project ID fleet tempat cluster Anda terdaftar.
   • KSA_NAME: akun layanan Kubernetes untuk rekonsiliasi.
     • Untuk repositori root, jika nama RootSync adalah root-sync, gunakan root-reconciler. Jika tidak, gunakan root-reconciler-ROOT_SYNC_NAME. Jika Anda menginstal Config Sync menggunakan konsol Google Cloud atau Google Cloud CLI, Config Sync akan otomatis membuat objek RootSync bernama root-sync.
   • REPOSITORY: ID repositori.
   • LOCATION: lokasi regional atau multi-regional repositori.

Akun layanan default Compute Engine

Jika Anda menyimpan diagram Helm di Artifact Registry dan cluster Anda adalah GKE dengan Workload Identity Federation untuk GKE dinonaktifkan, Anda dapat menggunakan gcenode sebagai jenis autentikasi. Config Sync menggunakan akun layanan default Compute Engine. Anda harus memberikan akses pembaca ke Artifact Registry untuk akun layanan default Compute Engine Anda.

1. Beri akun layanan Compute Engine izin baca ke Artifact Registry dengan menjalankan perintah berikut:

   gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_NUMBER[email protected] \
      --role=roles/artifactregistry.reader
   

   Ganti PROJECT_ID dengan project ID organisasi Anda, dan ganti PROJECT_NUMBER dengan nomor project organisasi Anda.

Token

Buat Secret dengan nama pengguna dan sandi repositori Helm:

kubectl create secret generic SECRET_NAME \
    --namespace=config-management-system \
    --from-literal=username=USERNAME \
    --from-literal=password=PASSWORD

Ganti kode berikut:

• SECRET_NAME: nama yang ingin Anda berikan pada Secret Anda.
• USERNAME: nama pengguna repositori Helm.
• PASSWORD: sandi repositori Helm.

Saat Mengonfigurasi Config Sync, Anda akan menggunakan nama Secret yang Anda pilih untuk spec.helm.secretRef.name.

Akun layanan Kubernetes

Anda dapat menggunakan akun layanan Kubernetes sebagai jenis autentikasi jika menyimpan diagram Helm di Artifact Registry dan cluster Anda menggunakan Workload Identity Federation untuk GKE atau Workload Identity Federation fleet untuk GKE.

1. Berikan peran IAM Pembaca Artifact Registry (roles/artifactregistry.reader) ke akun layanan Kubernetes dengan kumpulan Workload Identity Federation untuk GKE. Untuk mengetahui informasi selengkapnya tentang peran dan izin Artifact Registry, lihat Mengonfigurasi peran dan izin untuk Artifact Registry.

   • Berikan izin di seluruh project jika izin yang sama berlaku untuk semua repositori dalam project.

     gcloud projects add-iam-policy-binding PROJECT_ID \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]"
     

   • Berikan izin khusus repositori jika Anda ingin akun layanan memiliki tingkat akses yang berbeda untuk setiap repositori di project Anda.

     gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
        --location=LOCATION \
        --role=roles/artifactregistry.reader \
        --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
        --project=PROJECT_ID
     

   Ganti kode berikut:

   • PROJECT_ID: project ID organisasi.
   • FLEET_HOST_PROJECT_ID: jika Anda menggunakan GKE Workload Identity Federation for GKE, nilai ini sama dengan PROJECT_ID. Jika Anda menggunakan fleet Workload Identity Federation untuk GKE, ini adalah project ID fleet tempat cluster Anda terdaftar.
   • KSA_NAME: akun layanan Kubernetes untuk rekonsiliasi.
     • Untuk repositori root, jika nama RootSync adalah root-sync, gunakan root-reconciler. Jika tidak, gunakan root-reconciler-ROOT_SYNC_NAME.
   • REPOSITORY: ID repositori.
   • LOCATION: lokasi regional atau multi-regional repositori.

Akun layanan default Compute Engine

Jika Anda menyimpan diagram Helm di Artifact Registry dan cluster Anda adalah GKE dengan Workload Identity Federation untuk GKE dinonaktifkan, Anda dapat menggunakan gcenode sebagai jenis autentikasi. Config Sync menggunakan akun layanan default Compute Engine. Anda harus memberikan akses pembaca ke Artifact Registry untuk akun layanan default Compute Engine Anda. Anda mungkin perlu memberikan cakupan akses storage-ro untuk memberikan izin hanya baca guna menarik gambar.

1. Berikan izin baca akun layanan Compute Engine ke Artifact Registry:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER[email protected] \
       --role=roles/artifactregistry.reader
   

   Ganti PROJECT_ID dengan project ID organisasi Anda, dan ganti PROJECT_NUMBER dengan nomor project organisasi Anda.

Konsol

Menginstal Config Sync

Untuk menginstal Config Sync, semua cluster harus didaftarkan ke fleet. Saat Anda menginstal Config Sync di konsol Google Cloud , memilih setiap cluster akan otomatis mendaftarkan cluster tersebut ke fleet Anda.

1. Di konsol Google Cloud , buka halaman Config di bagian Features.

   Buka Config

2. Klik add Instal Config Sync.
3. Pilih versi Config Sync yang ingin Anda gunakan.
4. Di bagian Opsi penginstalan, pilih salah satu opsi berikut:
   • Instal Config Sync di seluruh armada (direkomendasikan): Config Sync akan diinstal di semua cluster dalam armada.
   • Menginstal Config Sync di setiap cluster: semua cluster yang dipilih akan otomatis didaftarkan ke fleet. Config Sync akan diinstal di semua cluster dalam armada.
5. Jika Anda menginstal Config Sync di setiap cluster, di tabel Available clusters, pilih cluster tempat Anda ingin menginstal Config Sync.
6. Klik Install Config Sync. Di tab Setelan, setelah beberapa menit, Anda akan melihat Diaktifkan di kolom Status untuk cluster di armada Anda.

Men-deploy paket

Setelah mendaftarkan cluster ke armada dan menginstal Config Sync, Anda dapat mengonfigurasi Config Sync untuk men-deploy paket ke cluster dari sumber tepercaya. Anda dapat men-deploy paket yang sama ke beberapa cluster atau men-deploy paket yang berbeda ke cluster yang berbeda. Anda dapat mengedit paket setelah men-deploy-nya, kecuali untuk beberapa setelan seperti nama paket dan jenis sinkronisasi. Untuk mengetahui informasi selengkapnya, lihat Mengelola paket.

Untuk men-deploy paket, selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud , buka dasbor Config Sync.

   Buka dasbor Config Sync

2. Klik Deploy Package.

3. Pada tabel Select clusters for package deployment, pilih cluster yang ingin Anda gunakan untuk men-deploy paket, lalu klik Continue.

4. Pilih Package hosted on Git atau Package hosted on OCI sebagai jenis sumber Anda, lalu klik Continue.

5. Di bagian Package details, masukkan Package name, yang mengidentifikasi objek RootSync atau RepoSync.

6. Di kolom Sync type, pilih Cluster scoped sync atau Namespace scoped sync sebagai jenis sinkronisasi.

   Sinkronisasi cakupan cluster membuat objek RootSync dan sinkronisasi cakupan Namespace membuat objek RepoSync. Untuk mengetahui informasi selengkapnya tentang objek ini, lihat Arsitektur Config Sync.

7. Di bagian Sumber, selesaikan langkah-langkah berikut:

   • Untuk sumber yang dihosting di repositori Git, masukkan kolom berikut:

     1. Masukkan URL repositori Git yang Anda gunakan sebagai sumber tepercaya sebagai URL Repositori.
     2. Opsional: Perbarui kolom Revisi untuk melakukan checkout jika Anda tidak menggunakan HEAD default.
     3. Opsional: Perbarui kolom Path jika Anda tidak ingin menyinkronkan dari repositori root.
     4. Opsional: Perbarui kolom Branch jika Anda tidak menggunakan cabang main default.

   • Untuk sumber yang dihosting dalam image OCI, masukkan kolom berikut:

     1. Masukkan URL gambar OCI yang Anda gunakan sebagai sumber kebenaran sebagai Gambar.
     2. Masukkan jalur direktori yang akan disinkronkan dari, relatif terhadap direktori root, sebagai Direktori.

8. (Opsional): Luaskan bagian Advanced settings untuk menyelesaikan langkah-langkah berikut:

   1. Pilih Jenis autentikasi. Config Sync memerlukan akses hanya baca ke sumber tepercaya Anda untuk membaca file konfigurasi di sumber dan menerapkannya ke cluster Anda. Kecuali jika sumber Anda tidak memerlukan autentikasi, seperti repositori publik, pastikan Anda memberikan akses hanya baca ke Config Sync untuk repositori Git, image OCI, atau Helm chart (khusus gcloud CLI). Pilih jenis autentikasi yang sama dengan yang Anda konfigurasi saat menginstal Config Sync:

      • Tidak ada: Tidak menggunakan autentikasi.
      • SSH: Lakukan autentikasi menggunakan pasangan kunci SSH.
      • Cookiefile: Lakukan autentikasi dengan menggunakan cookiefile.
      • Token: Lakukan autentikasi menggunakan token akses atau sandi.
      • Google Cloud Repository: Menggunakan akun layanan Google untuk mengakses repositori Cloud Source Repositories. Pilih opsi ini hanya jika Workload Identity Federation untuk GKE tidak diaktifkan di cluster Anda.
      • Workload Identity: Menggunakan akun layanan Google untuk mengakses repositori Cloud Source Repositories.

   2. Masukkan angka dalam detik untuk menyetel Waktu tunggu sinkronisasi, yang menentukan durasi Config Sync menunggu di antara upaya penarikan dari sumber tepercaya.

   3. Masukkan URL proxy Git untuk proxy HTTPS yang akan digunakan saat berkomunikasi dengan sumber tepercaya.

   4. Pilih Hierarki untuk mengubah Format sumber.

      Nilai default Tidak terstruktur direkomendasikan dalam sebagian besar kasus karena memungkinkan Anda mengatur sumber tepercaya sesuai keinginan.

9. Klik Deploy Package.

   Anda akan dialihkan ke halaman Packages Config Sync. Setelah beberapa menit, Anda akan melihat Disinkronkan di kolom Status sinkronisasi untuk cluster yang Anda konfigurasi.

gcloud

Sebelum melanjutkan, pastikan Anda telah mendaftarkan cluster ke fleet.

1. Aktifkan fitur fleet ConfigManagement:

   gcloud beta container fleet config-management enable
   

2. Siapkan konfigurasi dengan membuat manifes apply-spec.yaml baru atau menggunakan manifes yang sudah ada. Dengan menggunakan manifes yang ada, Anda dapat mengonfigurasi cluster dengan setelan yang sama dengan yang digunakan oleh cluster lain.

   Buat manifes baru

   Untuk mengonfigurasi Config Sync dengan setelan baru untuk cluster Anda, buat file bernama apply-spec.yaml dan salin file YAML berikut ke dalamnya.

   Anda dapat menetapkan semua kolom spec.configSync opsional yang diperlukan saat membuat manifes, dan kemudian menggunakan perintah kubectl untuk konfigurasi. Anda juga hanya dapat menetapkan kolom spec.configSync.enabled sebagai true dan menghilangkan kolom opsional. Anda kemudian dapat menggunakan perintah kubectl untuk membuat objek RootSync tambahan atau RepoSync yang dapat Anda kelola sepenuhnya menggunakan perintah kubectl nanti.

   # apply-spec.yaml
   
   applySpecVersion: 1
   spec:
     configSync:
       enabled: true
       # If you don't have a source of truth yet, omit the
       # following fields. You can configure them later.
       sourceType: SOURCE_TYPE
       sourceFormat: FORMAT
       syncRepo: REPO
       syncRev: REVISION
       syncBranch: BRANCH
       secretType: SECRET_TYPE
       gcpServiceAccountEmail: EMAIL
       metricsGcpServiceAccountEmail: METRICS_EMAIL
       policyDir: DIRECTORY
       preventDrift: PREVENT_DRIFT
   

   Ganti kode berikut:

   • SOURCE_TYPE: tambahkan git untuk menyinkronkan dari repositori Git, oci untuk menyinkronkan dari image OCI, atau helm untuk menyinkronkan dari diagram Helm. Jika tidak ada nilai yang ditentukan, nilai defaultnya adalah git.
   • FORMAT: tambahkan unstructured untuk menggunakan repositori tidak terstruktur atau tambahkan hierarchy untuk menggunakan repositori hierarkis. Nilai ini peka huruf besar/kecil. Kolom ini bersifat opsional dan nilai defaultnya adalah hierarchy. Sebaiknya tambahkan unstructured, karena format ini memungkinkan Anda mengatur konfigurasi dengan cara yang paling nyaman bagi Anda.

   • REPO: tambahkan URL sumber tepercaya. URL repositori Git dan Helm menggunakan protokol HTTPS atau SSH. Contoh, https://github.com/GoogleCloudPlatform/anthos-config-management-samples. Jika Anda berencana menggunakan SSH sebagai secretType, masukkan URL Anda dengan protokol SSH. Kolom ini wajib diisi dan jika Anda tidak memasukkan protokol, URL akan diperlakukan sebagai URL HTTPS.

     URL OCI menggunakan format berikut: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME. Secara default, image diambil dari tag latest, tetapi Anda dapat mengambil image berdasarkan TAG atau DIGEST. Tentukan TAG atau DIGEST di PACKAGE_NAME:

     • Untuk menarik menurut TAG: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME:TAG
     • Untuk menarik menurut DIGEST: LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY_NAME/PACKAGE_NAME@sha256:DIGEST

   • REVISION: revisi Git (tag atau hash) atau nama cabang yang akan disinkronkan. Saat menggunakan hash, hash tersebut harus berupa hash lengkap, bukan bentuk singkat.

   • SECRET_TYPE: salah satu secretTypes berikut:

     git

     • none: Tidak menggunakan autentikasi.
     • ssh: Gunakan pasangan kunci SSH.
     • cookiefile: Gunakan cookiefile.
     • token: Menggunakan token.
     • gcpserviceaccount: Menggunakan akun layanan Google untuk mengakses Cloud Source Repositories. Jika memilih jenis autentikasi ini, Anda harus membuat binding kebijakan IAM setelah selesai mengonfigurasi Config Sync. Untuk mengetahui detailnya, lihat tab akun layanan Google di bagian Memberikan akses hanya baca Config Sync ke Git.
     • gcenode: Menggunakan akun layanan Google untuk mengakses Cloud Source Repositories. Pilih opsi ini hanya jika Workload Identity Federation for GKE tidak diaktifkan di cluster Anda.
     • githubapp: Menggunakan Aplikasi GitHub untuk mengautentikasi ke repositori GitHub.

     Untuk mengetahui informasi selengkapnya tentang jenis autentikasi ini, lihat Memberikan akses hanya baca Config Sync ke Git.

     oci

     • none: Tidak menggunakan autentikasi
     • gcenode: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Pilih opsi ini hanya jika Workload Identity Federation for GKE tidak diaktifkan di cluster Anda.
     • gcpserviceaccount: Menggunakan akun layanan Google untuk mengakses gambar.

     helm

     • token: Menggunakan token.
     • gcenode: Gunakan akun layanan default Compute Engine untuk mengakses image di Artifact Registry. Pilih opsi ini hanya jika Workload Identity Federation for GKE tidak diaktifkan di cluster Anda.
     • gcpserviceaccount: Menggunakan akun layanan Google untuk mengakses gambar.

   • EMAIL: Jika Anda menambahkan gcpserviceaccount sebagai secretType, tambahkan alamat email akun layanan Google Anda. Contoh, acm@PROJECT_ID.iam.gserviceaccount.com.

   • METRICS_EMAIL: email Google Cloud Akun Layanan (GSA) yang digunakan untuk mengekspor metrik Config Sync ke Cloud Monitoring. GSA harus memiliki peran IAM Monitoring Metric Writer (roles/monitoring.metricWriter). default Akun Layanan Kubernetes di namespace config-management-monitoring harus terikat ke GSA.

   • DIRECTORY: jalur direktori yang akan disinkronkan, relatif terhadap root repositori Git. Semua subdirektori dari direktori yang Anda tentukan disertakan dan disinkronkan ke cluster. Nilai defaultnya adalah direktori root repositori.

   • PREVENT_DRIFT: Jika disetel ke true, akan mengaktifkan webhook penerimaan Config Sync untuk mencegah penyimpangan dengan menolak perubahan yang bertentangan agar tidak dikirim ke cluster aktif. Setelan default-nya adalah false. Config Sync selalu memperbaiki penyimpangan, apa pun nilai kolom ini.

   Untuk mengetahui daftar lengkap kolom yang dapat Anda tambahkan ke kolom spec, lihat gcloud fields.

   Menggunakan manifes yang ada

   Untuk mengonfigurasi cluster Anda dengan setelan yang sama dengan yang digunakan oleh cluster lain, ambil setelan dari cluster terdaftar:

   gcloud alpha container fleet config-management fetch-for-apply \
       --membership=MEMBERSHIP_NAME \
       --project=PROJECT_ID \
       > CONFIG_YAML_PATH
   

   Ganti kode berikut:

   • MEMBERSHIP_NAME: nama keanggotaan cluster terdaftar yang memiliki setelan Config Sync yang ingin Anda gunakan
   • PROJECT_ID: project ID Anda
   • CONFIG_YAML_PATH: jalur ke file apply-spec.yaml yang berisi setelan yang diambil dari cluster

3. Terapkan file apply-spec.yaml. Jika menggunakan manifes yang ada, Anda harus menerapkan file ke cluster yang ingin dikonfigurasi dengan setelan yang Anda ambil pada perintah sebelumnya:

   gcloud beta container fleet config-management apply \
       --membership=MEMBERSHIP_NAME \
       --config=CONFIG_YAML_PATH \
       --project=PROJECT_ID
   

   Ganti kode berikut:

   • MEMBERSHIP_NAME: nama keanggotaan fleet yang Anda pilih saat mendaftarkan cluster. Anda dapat menemukan nama dengan gcloud container fleet memberships list.
   • CONFIG_YAML_PATH: jalur ke file apply-spec.yaml Anda.
   • PROJECT_ID: project ID Anda.

Terraform

Untuk setiap cluster yang ingin Anda konfigurasi Config Sync-nya, terapkan blok resource google_gkehub_feature_membership yang berisi blok configmanagement dan config_sync, seperti dalam contoh berikut:

data "google_project" "default" {}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-basic"
  location = "us-central1"

  fleet {
    project = data.google_project.default.project_id
  }

  enable_autopilot = true
}

resource "google_gke_hub_feature" "configmanagement_feature" {
  name     = "configmanagement"
  location = "global"
}

resource "google_gke_hub_feature_membership" "configmanagement_feature_member" {
  location = "global"

  feature             = google_gke_hub_feature.configmanagement_feature.name
  membership          = google_container_cluster.default.fleet[0].membership_id
  membership_location = google_container_cluster.default.fleet[0].membership_location

  configmanagement {
    config_sync {
      # The field `enabled` was introduced in Terraform version 5.41.0, and
      # needs to be set to `true` explicitly to install Config Sync.
      enabled = true
      git {
        sync_repo   = "REPO"
        sync_branch = "BRANCH"
        policy_dir  = "DIRECTORY"
        secret_type = "SECRET"
      }
    }
  }
}

data "google_project" "default" {}

resource "google_container_cluster" "default" {
  name     = "gke-autopilot-basic"
  location = "us-central1"

  fleet {
    project = data.google_project.default.project_id
  }

  enable_autopilot = true
}

resource "google_gke_hub_feature" "configmanagement_feature" {
  name     = "configmanagement"
  location = "global"
}

resource "google_gke_hub_feature_membership" "configmanagement_feature_member" {
  location = "global"

  feature             = google_gke_hub_feature.configmanagement_feature.name
  membership          = google_container_cluster.default.fleet[0].membership_id
  membership_location = google_container_cluster.default.fleet[0].membership_location

  configmanagement {
    config_sync {
      # The field `enabled` was introduced in Terraform version 5.41.0, and
      # needs to be set to `true` explicitly to install Config Sync.
      enabled = true
      oci {
        sync_repo   = "REPO"
        policy_dir  = "DIRECTORY"
        secret_type = "SECRET"
      }
    }
  }
}

Ulangi proses ini untuk setiap cluster yang ingin Anda sinkronkan.

Untuk mempelajari lebih lanjut cara menggunakan Terraform, lihat artikel Dukungan Terraform untuk Config Sync.

gcloud

Jalankan perintah enable untuk fitur tersebut, dengan meneruskan file konfigurasi apply-spec.yaml yang Anda buat saat mengonfigurasi Config Sync di cluster tertentu:

gcloud beta container fleet config-management enable \
    --fleet-default-member-config=apply-spec.yaml

Anda dapat menggunakan perintah ini untuk memperbarui setelan default armada kapan saja. Jika Anda memperbarui setelan default armada, Anda harus menyinkronkan ulang cluster yang ada ke setelan default.

Konsol

1. Di konsol Google Cloud , buka halaman Feature Manager.

   Buka Pengelola Fitur

2. Di panel Config Sync, klik Configure.

3. Tinjau setelan tingkat armada Anda. Semua cluster baru yang Anda buat di fleet akan mewarisi setelan ini.

4. Opsional: Untuk mengubah setelan default, klik Sesuaikan setelan armada. Pada dialog yang muncul, lakukan hal berikut:

5. Pilih versi Config Sync yang ingin Anda gunakan.

6. Klik Simpan perubahan.

7. Klik Configure.

8. Pada dialog konfirmasi Mengonfigurasi setelan armada, klik Konfirmasi. Jika Anda belum pernah mengaktifkan Config Sync, mengklik Confirm juga akan mengaktifkan anthosconfigmanagement.googleapis.com API.

Terraform

Untuk mengaktifkan Config Sync di seluruh armada, lihat contoh berikut:

resource "google_gke_hub_feature" "default" {
  name     = "configmanagement"
  location = "global"

  fleet_default_member_config {
    configmanagement {
      config_sync {
        # The field `enabled` was introduced in Terraform version 5.41.0, and
        # needs to be set to `true` explicitly to install Config Sync.
        enabled = true
        git {
          sync_repo   = "REPO"
          sync_branch = "BRANCH"
          policy_dir  = "DIRECTORY"
          secret_type = "SECRET"
        }
      }
    }
  }
}

resource "google_gke_hub_feature" "configmanagement_feature_member" {
  name     = "configmanagement"
  location = "global"

  fleet_default_member_config {
    configmanagement {
      config_sync {
        # The field `enabled` was introduced in Terraform version 5.41.0, and
        # needs to be set to `true` explicitly to install Config Sync.
        enabled = true
        oci {
          sync_repo   = "REPO"
          policy_dir  = "DIRECTORY"
          secret_type = "SECRET"
        }
      }
    }
  }
}

Untuk mempelajari lebih lanjut cara menggunakan Terraform, lihat artikel Dukungan Terraform untuk Config Sync.

gcloud

1. Menyinkronkan langganan yang ada ke konfigurasi default armada:

   gcloud beta container fleet config-management apply \
       --origin=FLEET \
       --membership=MEMBERSHIP_NAME
   

   Ganti MEMBERSHIP_NAME dengan nama keanggotaan fleet cluster yang ingin Anda sinkronkan dengan konfigurasi default fleet.

2. Pastikan konfigurasi keanggotaan Anda disinkronkan dengan default fleet:

   gcloud beta container fleet config-management status
   

   Output perintah ini akan ditampilkan sebagai Yes untuk status Synced_to_Fleet_Default keanggotaan yang Anda sinkronkan.

console

1. Buka Pengelola Fitur:

   Buka Feature Manager: Config Sync

2. Di tabel cluster, pilih cluster yang ingin Anda sinkronkan ke setelan armada.

3. Klik Sinkronkan ke setelan inventaris.

Konsol

Selesaikan langkah-langkah berikut:

1. Di konsol Google Cloud , buka halaman Config di bagian Features.

   Buka Config

2. Di tab Paket, periksa kolom Status sinkronisasi dalam tabel cluster. Penginstalan Config Sync yang berhasil akan memiliki status Diinstal. Sumber tepercaya yang berhasil dikonfigurasi memiliki status Disinkronkan.

gcloud

Jalankan perintah berikut:

gcloud beta container fleet config-management status \
    --project=PROJECT_ID

Ganti PROJECT_ID dengan ID project Anda.

Penginstalan yang berhasil memiliki status SYNCED dengan versi Config Sync yang diinstal.

Jika Anda melihat error setelah menjalankan perintah sebelumnya, pastikan Anda telah membuat Secret git-creds. Jika Anda telah membuat Secret, coba jalankan kembali perintah berikut:

gcloud beta container fleet config-management apply