En la página, se proporciona una descripción general de las diferentes opciones de instalación que puedes usar cuando instalas Config Connector.
Métodos de instalación
Puedes instalar Config Connector de una de estas tres maneras:
Controlador de configuración: El controlador de configuración es un servicio alojado que incluye Config Connector. Google administra la versión de Config Connector en el controlador de configuración, y esta se actualiza automáticamente con regularidad a medida que las versiones califican. El controlador de configuración es un plano de control centralizado y designado que proporciona una forma más segura de administrar los recursos de Google Cloud. Para obtener más información, consulta la Guía de inicio rápido: Administra recursos con el controlador de configuración o Configura el controlador de configuración.
Instalación manual: Para instalar Config Connector de forma manual, debes descargar y usar un operador de Kubernetes. La instalación manual te brinda flexibilidad sobre la versión que quieres aplicar y cuándo actualizarla. Si deseas instalar Config Connector en otras distribuciones de Kubernetes, debes usar una instalación manual.
Complemento de Config Connector de GKE: El complemento de Config Connector te permite instalar Config Connector durante la creación del clúster. El complemento de Config Connector solo está disponible en los clústeres de GKE Standard y no en Autopilot. La versión de Config Connector instalada a través del complemento Config Connector puede ser muy superior a las otras dos opciones (hasta 12 meses). Para obtener más información, consulta Actualizaciones de complementos de Config Connector. Si quieres reducir el costo operativo de la administración de un clúster de GKE Standard, considera usar el Controlador de configuración.
Se deben considerar muchos factores a la hora de seleccionar un método de instalación. En la siguiente tabla, se describen algunas consideraciones de alto nivel:
| Métodos de instalación | Ventajas | Desventajas |
|---|---|---|
| Config Controller | • No se requiere instalación. • Actualizaciones automáticas de versión • Incluye componentes de GitOps compilados previamente: Sincronizador de configuración. • Administrado y respaldado por Google Cloud |
• Restricción en las cargas de trabajo personalizadas. • Tarifa de administración y clúster |
| Instalación manual | • Totalmente personalizable • Programa de actualizaciones de versiones flexible. • Se puede ejecutar con cualquier carga de trabajo personalizada en el mismo clúster. |
• Costo operativo. |
| Complemento de GKE Config Connector | • Facilidad de instalación. | • Hay un retraso significativo con respecto a la versión más reciente de Config Connector en canales que no son rápidos. |
Opciones de autenticación
Si deseas instalar Config Connector en clústeres de GKE, se recomienda usar Workload Identity. Workload Identity vincula una cuenta de servicio de Kubernetes a una de Google. Config Connector luego usa la cuenta de servicio de Kubernetes (KSA) dentro del clúster para crear nuevos recursos. Config Connector solo puede crear recursos con las funciones que otorgas en la cuenta de servicio de Google.
Si deseas instalar Config Connector en otras distribuciones de Kubernetes, debes usar Cloud Identity en lugar de Workload Identity. Esta opción requiere que crees una clave de cuenta de servicio de Google e importes las credenciales de la clave como un secreto a tus clústeres. Eres responsable de rotar las credenciales de clave cuando sea necesario.
Administra recursos con cuentas de servicio
Puedes elegir administrar recursos con una o con varias cuentas de servicio.
Cuenta de servicio única
Cuando instalas Config Connector con el complemento de GKE o la instalación manual, puedes configurar el modo de clúster en tu CustomResource ConfigConnector.
Con el modo de clúster, puedes usar una sola cuenta de servicio de Google a fin de crear y administrar recursos, incluso si usas Config Connector para administrar varios proyectos.
En el siguiente diagrama, se muestra cómo funciona este modo:
Varias cuentas de servicio
Puedes usar varias cuentas de servicio si configuras el modo con espacio de nombres en tu ConfigConnector CustomResource. El modo con espacio de nombres te permite dividir los permisos en función de los asuntos respectivos de las diferentes cuentas de servicio de Google y aislar los permisos entre distintos espacios de nombres de Kubernetes, ya que puedes asociar diferentes cuentas de servicio de Google a cada espacio de nombres.
A modo de ejemplo, puedes crear una cuenta de servicio de Google por proyecto de Google Cloud, organizar los recursos del proyecto en el mismo espacio de nombres de Kubernetes y vincular la cuenta de servicio de Google correspondiente al espacio de nombres de Kubernetes para separar los permisos de IAM que son diferentes y no están relacionados entre sí.
En el siguiente diagrama, se muestra una descripción general de cómo funciona el modo de espacio de nombres:
En el modo de espacio de nombres, cada cuenta de servicio de Google está vinculada a un espacio de nombres de forma predeterminada. Cuando creas recursos dentro de ese espacio de nombres, Config Connector usa esta cuenta de servicio para crear recursos de Google Cloud. También habrá un Pod dedicado de Config Connector cnrm-controller-manager para cada espacio de nombres que se haga pasar por la cuenta de servicio de Google asociada con el espacio de nombres.
Elige el modo de espacio de nombres en los siguientes casos:
- Desean aislar los permisos de Google Cloud IAM a nivel del espacio de nombres de Kubernetes.
- Puedes administrar una gran cantidad de recursos de Google Cloud desde múltiples proyectos de Google Cloud en un solo clúster.
Si deseas obtener información para configurar el modo de espacio de nombres, consulta Instala Config Connector con un modo de espacio de nombres.
¿Qué sigue?
- Obtén más información sobre las cuentas de servicio de la administración de identidades y accesos.
- Obtén más información para administrar recursos de Google Cloud con Config Controller.
- Obtén más información para instalar Config Connector de forma manual.
- Obtén más información para instalar Config Connector como complemento de GKE.
- Aprende a instalar Config Connector en otras distribuciones de Kubernetes.