手動安裝 Config Connector

本頁面說明如何手動安裝 Config Connector。

如要進一步瞭解各種安裝選項,請參閱「選擇安裝類型」。

相較於使用外掛程式,手動安裝可讓您更快取得更新。

在下方操作說明中,Config Connector 會設為叢集模式,也就是說,會有一個全域 Config Connector 控制器,會冒用單一 Google Cloud IAM 服務帳戶。隨著您在同一個叢集中新增更多 Config Connector 資源,並導入更多 Kubernetes 命名空間,建議您考慮切換至命名空間模式,因為這個模式可提供更彈性的功能,並為多租戶用途提供更完善的 IAM 權限隔離功能,例如管理來自多個 Google Cloud 專案的資源。

事前準備

手動安裝 Config Connector Operator 前,請先完成下列步驟:

安裝 Config Connector Operator

Config Connector 會使用 Kubernetes Operator 保持安裝作業的最新狀態。如要安裝這個 Operator,請完成下列步驟:

  1. 下載最新的 Config Connector Operator tar 檔案:

    gcloud storage cp gs://configconnector-operator/latest/release-bundle.tar.gz release-bundle.tar.gz

  2. 將 tar 檔案解壓縮:

    tar zxvf release-bundle.tar.gz

  3. 在叢集上安裝 Config Connector Operator:

    1. 針對 GKE Autopilot 叢集:

      kubectl apply -f operator-system/autopilot-configconnector-operator.yaml

    2. 針對 GKE Standard 叢集:

      kubectl apply -f operator-system/configconnector-operator.yaml

設定 IAM 政策以連線至 Google Cloud API

如要讓 Config Connector 使用 GKE 適用的工作負載身分聯盟管理您的 Google Cloud 資源,請建立 IAM 政策。

如要設定政策繫結,請建立 IAM 允許政策,參照在叢集中安裝 Config Connector 時自動建立的 Kubernetes 服務帳戶:

gcloud projects add-iam-policy-binding projects/PROJECT_ID \
    --role=roles/iam.workloadIdentityUser \
    --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/cnrm-system/cnrm-controller-manager \
    --condition=None

更改下列內容:

  • PROJECT_ID:您的 Google Cloud 專案 ID。
  • PROJECT_NUMBER:您的數字 Google Cloud專案編號。
  • NAMESPACE:Config Connector 服務帳戶的 Kubernetes 命名空間名稱。如果您未明確建立命名空間,這個值會是 default

設定 Config Connector

如要完成安裝作業,請為 ConfigConnector CustomResource 建立設定檔,然後使用 kubectl apply 指令套用該設定檔。Config Connector Operator 會在叢集中安裝Google Cloud 資源 CRD 和 Config Connector 元件。

如要將運算子設為叢集模式,請完成下列步驟:

  1. 將下列 YAML 檔案複製到名為 configconnector.yaml 的檔案中:
    # configconnector.yaml
apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnector
metadata:
  # the name is restricted to ensure that there is only one
  # ConfigConnector resource installed in your cluster
  name: configconnector.core.cnrm.cloud.google.com
spec:
  mode: cluster
  # Setting `stateIntoSpec` to `Absent` is recommended. It means setting `cnrm.cloud.google.com/state-into-spec`
  # annotation to `absent` for all Config Connector resources created in the cluster in the future.
  # It prevents Config Connector from populating unspecified fields into the spec.
  stateIntoSpec: Absent
  2. 使用 kubectl apply 將設定套用至叢集:
      kubectl apply -f configconnector.yaml

指定建立資源的位置

Config Connector 可依專案、資料夾或機構來整理資源,這與您使用 Google Cloud整理資源的方式相同。

使用 Config Connector 建立資源前,您必須先設定建立資源的位置。為決定建立資源的位置,Config Connector 會在資源設定或現有命名空間中使用註解。詳情請參閱「整理資源」。

如果您沒有用於此用途的命名空間,請使用 kubectl 建立一個。
kubectl create namespace NAMESPACE

請將 NAMESPACE 替換為您的命名空間名稱。例如 config-connector

選取分頁標籤,選擇要讓 Config Connector 建立資源的位置。

專案

如要在特定專案中建立資源,請執行下列指令:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/project-id=PROJECT_ID

請依指示取代下列項目:

  • NAMESPACE 改為您的命名空間名稱。
  • PROJECT_ID 改成您的 Google Cloud 專案 ID。

資料夾

如要在特定資料夾中建立資源,請執行下列指令:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/folder-id=FOLDER_ID

取代下列內容:

  • NAMESPACE 改為您的命名空間名稱。
  • FOLDER_ID 改為您的 Google Cloud 資料夾 ID。

機構

如要在特定機構中建立資源,請執行下列指令:

    kubectl annotate namespace \
    NAMESPACE cnrm.cloud.google.com/organization-id=ORGANIZATION_ID

取代下列內容:

  • NAMESPACE 改為您的命名空間名稱。
  • ORGANIZATION_ID 替換為您的 Google Cloud 機構 ID。

您在命名空間中加上註解後,Config Connector 就會在對應的專案、資料夾或機構中建立資源。如要進一步瞭解 Config Connector 如何使用 Kubernetes 命名空間,請參閱「Kubernetes 命名空間和 Google Cloud 專案」。

驗證安裝

Config Connector 會在名為 cnrm-system 的命名空間中執行所有元件。您可以執行下列指令,驗證 Pod 是否已就緒:

kubectl wait -n cnrm-system \
      --for=condition=Ready pod --all

如果已正確安裝 Config Connector,輸出內容會類似以下內容:

pod/cnrm-controller-manager-0 condition met

升級 Config Connector

如要下載及安裝最新版本的 Config Connector 操作員,請按照下列步驟操作:

gcloud storage cp gs://configconnector-operator/latest/release-bundle.tar.gz release-bundle.tar.gz
tar zxvf release-bundle.tar.gz
kubectl apply -f operator-system/configconnector-operator.yaml

降級 Config Connector

不支援完全降級設定連接器。如要同時降級 Config Connector 操作員和 CRD,您必須解除安裝 Config Connector,然後重新安裝,再重新套用資源。

在 Config Connector 1.123.1 以上版本中,您可以為使用命名空間模式的裝置回復運算子版本。在每個含有您要回溯的運算子的命名空間中,將 ConfigConnectorContext 物件中的 spec.version 欄位設為先前的 Config Connector 版本。

您最多可以將 Config Connector 控制器回溯至 3 個次要版本。您必須一律將特定次要版本回溯至最新的修補程式版本。

解除安裝 Config Connector

使用 kubectl delete 移除 Config Connector CRD 和控制器元件:

kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com \
    --wait=true

如要解除安裝 Config Connector 運算子,請執行下列指令:

kubectl delete -f operator-system/configconnector-operator.yaml  --wait=true

從非操作員安裝升級

Config Connector 1.33.0 以上版本僅支援透過 GKE 外掛程式或作業管理員安裝。

如要升級至 Operator (並保留所有 Config Connector 資源),您必須移除所有 Config Connector 系統元件 (除了 CRD),然後安裝 Operator。

  1. 執行下列指令,移除 Config Connector 系統的非 CRD 元件:

    kubectl delete sts,deploy,po,svc,roles,clusterroles,clusterrolebindings --all-namespaces -l cnrm.cloud.google.com/system=true --wait=true
kubectl delete validatingwebhookconfiguration abandon-on-uninstall.cnrm.cloud.google.com --ignore-not-found --wait=true
kubectl delete validatingwebhookconfiguration validating-webhook.cnrm.cloud.google.com --ignore-not-found --wait=true
kubectl delete mutatingwebhookconfiguration mutating-webhook.cnrm.cloud.google.com --ignore-not-found --wait=true

  2. 使用 GKE 外掛程式操作員安裝 Config Connector。

從外掛程式切換至手動安裝

以外掛程式形式安裝時,Config Connector 的版本會直接與已安裝的 GKE 版本連結。

手動安裝可加快更新速度,但必須手動升級。

如要安全地保留所有資源,請按照下列步驟操作:

  1. 不刪除任何 ConfigConnectorConfigConnectorContext 物件,停用外掛程式:

    gcloud container clusters update CLUSTER_NAME --update-addons ConfigConnector=DISABLED

    CLUSTER_NAME 替換為您安裝 Config Connector 的叢集名稱。

  2. 請按照操作說明安裝所需版本的手動操作員

後續步驟