Auf dieser Seite erhalten Sie einen Überblick über die verschiedenen Installationsoptionen, die bei der Installation von Config Connector zur Verfügung stehen.
Installationsmethoden
Sie haben drei Möglichkeiten, Config Connector zu installieren:
Config Controller: Config Controller ist ein gehosteter Dienst, der Config Connector enthält. Die Config Connector-Version im Config Controller wird von Google verwaltet und automatisch regelmäßig aktualisiert, sobald Versionen infrage kommen. Config Controller ist eine zentrale und designierte Steuerungsebene, die eine sicherere Möglichkeit zur Verwaltung von Google Cloud-Ressourcen bietet. Weitere Informationen finden Sie in der Kurzanleitung: Ressourcen mit Config Controller verwalten oder Config Controller einrichten.
Manuelle Installation: Wenn Sie Config Connector manuell installieren möchten, müssen Sie einen Kubernetes-Operator herunterladen und verwenden. Bei der manuellen Installation können Sie flexibel entscheiden, welche Version Sie anwenden möchten und wann das Upgrade durchgeführt werden soll. Wenn Sie Config Connector auf anderen Kubernetes-Distributionen installieren möchten, müssen Sie eine manuelle Installation ausführen.
GKE Config Connector-Add-on: Mit dem Config Connector-Add-on können Sie Config Connector während der Clustererstellung installieren. Das Config Connector-Add-on ist nur für GKE-Standardcluster und nicht für Autopilot verfügbar. Die Version von Config Connector, die über das Config Connector-Add-on installiert wurde, kann deutlich hinter den anderen beiden Optionen liegen (bis zu 12 Monate). Weitere Informationen finden Sie unter Upgrades von Add-ons für Config Connector. Wenn Sie die Betriebskosten für die Verwaltung eines GKE Standard-Clusters reduzieren möchten, sollten Sie Config Controller verwenden.
Bei der Auswahl der Installationsmethode müssen viele Faktoren berücksichtigt werden. In der folgenden Tabelle sind einige allgemeine Überlegungen aufgeführt:
| Installationsmethoden | Vorteile | Nachteile |
|---|---|---|
| Config Controller | • Keine Installation erforderlich. • Automatische Versionsupgrades. • Enthält vordefinierte GitOps-Komponenten: Config Sync. • Von Google Cloud verwaltet und unterstützt. |
• Einschränkung bei benutzerdefinierten Arbeitslasten. • Gebühr für Verwaltung und Cluster. |
| Manuelle Installation | • Vollständig anpassbar. • Flexibler Zeitplan für Versionsupdates. • Kann mit jeder benutzerdefinierten Arbeitslast im selben Cluster ausgeführt werden. |
• Betriebskosten. |
| GKE Config Connector-Add-on | • Einfache Installation. | • Erhebliche Verzögerung gegenüber der neuesten Config Connector-Version in Nicht-Rapid Channels. |
Authentifizierungsoptionen
Wenn Sie Config Connector auf GKE-Clustern installieren möchten, ist Workload Identity der empfohlene Ansatz. Workload Identity bindet ein Kubernetes-Dienstkonto an ein Google-Dienstkonto. Config Connector verwendet dann das Kubernetes-Dienstkonto in Ihrem Cluster, um neue Ressourcen zu erstellen. Config Connector kann nur Ressourcen mit den Rollen erstellen, die Sie dem Google-Dienstkonto gewähren.
Um Config Connector auf anderen Kubernetes-Distributionen zu installieren, verwenden Sie Cloud Identity anstelle von Workload Identity. In diesem Fall müssen Sie einen Google-Dienstkontoschlüssel erstellen und die Anmeldedaten des Schlüssels als Secret in Ihre Cluster importieren. Sie sind dafür verantwortlich, die Schlüsselanmeldedaten falls erforderlich zu rotieren.
Ressourcen mit Dienstkonten verwalten
Sie können Ressourcen mit einem einzelnen oder mit mehreren Dienstkonten verwalten.
Einzelnes Dienstkonto
Wenn Sie Config Connector mit dem GKE-Add-on oder manuell installieren, können Sie den Clustermodus in der ConfigConnector
CustomResource festlegen.
Im Clustermodus können Sie ein einzelnes Google-Dienstkonto zum Erstellen und Verwalten von Ressourcen verwenden, auch wenn Sie den Config Connector zur Verwaltung mehrerer Projekte verwenden.
Das folgende Diagramm zeigt, wie dieser Modus funktioniert:
Mehrere Dienstkonten
Sie können mehrere Dienstkonten verwenden, indem Sie den Namespace-Modus in ConfigConnector CustomResource festlegen. Im Namespace-Modus können Sie Berechtigungen basierend auf den jeweiligen Anforderungen der verschiedenen Google-Dienstkonten aufteilen und die Berechtigungen auf verschiedene Kubernetes-Namespaces isolieren, da Sie jedem Namespace ein anderes Google-Dienstkonto zuordnen können.
Sie können beispielsweise ein Google-Dienstkonto pro Google Cloud-Projekt erstellen, Ressourcen aus dem Google Cloud-Projekt im selben Kubernetes-Namespace organisieren und das entsprechende Google-Dienstkonto an den Kubernetes-Namespace binden, um separate IAM-Berechtigungen zu trennen.
Folgendes Diagramm gibt einen Überblick über die Funktionsweise des Namespace-Modus:
Im Namespace-Modus ist standardmäßig jedes Google-Dienstkonto an einen Namespace gebunden. Wenn Sie Ressourcen in diesem Namespace erstellen, verwendet Config Connector dieses Dienstkonto zur Erstellung von Google Cloud-Ressourcen. Außerdem gibt es einen dedizierten cnrm-controller-manager-Pod von Config Connector für jeden Namespace, der die Identität des mit dem Namespace verknüpften Google-Dienstkontos übernimmt.
Wählen Sie den Namespace-Modus aus, wenn Sie:
- Sie möchten Google Cloud IAM-Berechtigungen auf Kubernetes-Namespace-Ebene isolieren.
- Sie können damit rechnen, dass Sie eine große Anzahl von Google Cloud-Ressourcen aus mehreren Google Cloud-Projekten in einem einzigen Cluster verwalten können.
Informationen zum Konfigurieren des Namespace-Modus finden Sie unter Config Connector im Namespace-Modus installieren.
Nächste Schritte
- Weitere Infos zu Dienstkonten der Identitäts- und Zugriffsverwaltung
- Google Cloud-Ressourcen mit Config Controller verwalten
- Config Connector manuell installieren
- Config Connector als GKE-Add-on installieren
- Config Connector auf anderen Kubernetes-Distributionen installieren