Halaman ini diterjemahkan oleh Cloud Translation API.

Menginstal Config Connector dalam mode namespace

Halaman ini menjelaskan cara menginstal Config Connector dalam mode namespace.

Penginstalan dalam mode namespace adalah ekstensi dari penginstalan Config Connector. Mode namespace mendukung pengelolaan beberapa project, yang masing-masing memiliki identitas Google Cloud sendiri.

Sebelum memulai

Sebelum mengonfigurasi Config Connector untuk berjalan dalam mode namespace, pastikan Anda telah menginstal Config Connector.

Mengonfigurasi Config Connector agar berjalan dalam mode namespace

Untuk mengaktifkan mode namespace, selesaikan langkah-langkah berikut:

Salin manifes YAML berikut ke dalam file bernama configconnector.yaml:

apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnector
metadata:
  # the name is restricted to ensure that there is only ConfigConnector resource installed in your cluster
  name: configconnector.core.cnrm.cloud.google.com
spec:
  mode: namespaced
  stateIntoSpec: Absent

Terapkan konfigurasi ke cluster Anda dengan kubectl apply:
```
kubectl apply -f configconnector.yaml
```

Mengonfigurasi Config Connector untuk mengelola resource di namespace Anda

Di bagian berikut, Google Cloud project tempat Anda menginstal Config Connector dikenal sebagai project host, atau HOST_PROJECT_ID. Project lain tempat Anda mengelola resource dikenal sebagai project terkelola, atau MANAGED_PROJECT_ID. Project ini dapat berupa project yang sama jika Anda hanya bermaksud menggunakan Config Connector untuk membuat Google Cloud resource dalam project yang sama dengan cluster Anda.

Membuat namespace

Anda dapat melewati langkah ini jika sudah memiliki namespace yang akan digunakan untuk mengatur resourceGoogle Cloud .

Gunakan kubectl untuk membuat namespace baru dengan menjalankan perintah berikut:

kubectl create namespace NAMESPACE

Mengganti NAMESPACE dengan nama untuk namespace.

Membuat identitas

Buat akun layanan Identity and Access Management (IAM) dan buat binding antara Akun Layanan IAM dan akun layanan Kubernetes Config Connector:

Buat akun layanan IAM. Jika memiliki akun layanan yang sudah ada, Anda dapat menggunakannya, bukan membuat akun layanan baru. Gunakan gcloud untuk membuat akun layanan dengan menjalankan perintah berikut:
```
gcloud iam service-accounts create NAMESPACE_GSA --project HOST_PROJECT_ID
```
Ganti kode berikut:
- NAMESPACE_GSA dengan nama akun layanan Google (GSA) yang terikat ke namespace Anda.
- HOST_PROJECT_ID dengan ID project host Anda.
Untuk mempelajari lebih lanjut cara membuat akun layanan, lihat Membuat dan mengelola akun layanan.
Beri akun layanan IAM izin yang lebih tinggi di project terkelola Anda.
```
gcloud projects add-iam-policy-binding MANAGED_PROJECT_ID \
    --member="serviceAccount:NAMESPACE_GSA@HOST_PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/owner"
```
Ganti MANAGED_PROJECT_ID dengan ID project terkelola Anda.

Catatan: Jika Anda memilih untuk memberikan akses editor ke project, ganti roles/owner dengan roles/editor. Dengan memberikan peran editor, sebagian besar fungsi Config Connector dapat digunakan, kecuali konfigurasi di tingkat Project atau Organisasi seperti modifikasi IAM.

Buat binding kebijakan IAM antara akun layanan IAM dan akun layanan Kubernetes Config Connector. Anda mengikat akun layanan dengan menjalankan perintah gcloud berikut:

gcloud iam service-accounts add-iam-policy-binding \
    NAMESPACE_GSA@HOST_PROJECT_ID.iam.gserviceaccount.com \
    --member="serviceAccount:HOST_PROJECT_ID.svc.id.goog[cnrm-system/cnrm-controller-manager-NAMESPACE]" \
    --role="roles/iam.workloadIdentityUser"

Ganti NAMESPACE dengan namespace Anda.

Beri akun layanan IAM izin untuk memublikasikan metrik Prometheus ke Google Cloud Observability di project host Anda.

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --member="serviceAccount:NAMESPACE_GSA@HOST_PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/monitoring.metricWriter"

Membuat ConfigConnectorContext

Untuk membuat Google Cloud resource, Anda perlu mengonfigurasi Config Connector untuk memantau namespace dengan menambahkan objek ConfigConnectorContext di namespace yang ingin Anda gunakan.

Untuk membuat ConfigConnectorContext, selesaikan langkah-langkah berikut:

Salin manifes YAML berikut ke dalam file bernama configconnectorcontext.yaml:

apiVersion: core.cnrm.cloud.google.com/v1beta1
kind: ConfigConnectorContext
metadata:
  # you can only have one ConfigConnectorContext per namespace
  name: configconnectorcontext.core.cnrm.cloud.google.com
  namespace: NAMESPACE
spec:
  googleServiceAccount: "NAMESPACE_GSA@HOST_PROJECT_ID.iam.gserviceaccount.com"
  stateIntoSpec: Absent

Ganti kode berikut:

NAMESPACE dengan nama namespace Anda.
NAMESPACE_GSA dengan nama akun layanan Google yang terikat ke namespace Anda.
HOST_PROJECT_ID dengan ID project host Anda.

Terapkan file ke cluster Anda dengan kubectl:

kubectl apply -f configconnectorcontext.yaml

Pastikan bahwa Operator Config Connector membuat akun layanan Kubernetes untuk namespace Anda dengan kubectl dengan menjalankan perintah berikut:
```
kubectl get serviceaccount/cnrm-controller-manager-NAMESPACE  -n cnrm-system
```
Ganti NAMESPACE dengan nama namespace Anda.

Pastikan Pod pengontrol Config Connector berjalan untuk namespace Anda dengan kubectl dengan menjalankan perintah berikut:

kubectl wait -n cnrm-system \
    --for=condition=Ready pod \
    -l cnrm.cloud.google.com/component=cnrm-controller-manager \
    -l cnrm.cloud.google.com/scoped-namespace=NAMESPACE

Ganti NAMESPACE dengan nama namespace Anda.

Jika pengontrol Config Connector sedang berjalan, outputnya akan mirip dengan:

cnrm-controller-manager-abcdefghijk-0 condition met.

Mengonfigurasi Config Connector agar tidak lagi mengelola resource di namespace Anda

Untuk mengonfigurasi Config Connector agar tidak lagi mengelola namespace, Anda harus menghapus semua resource Config Connector di namespace dan menghapus ConfigConnectorContext di namespace.

Hapus resource Config Connector di namespace Anda

Untuk menyelesaikan penghapusan ConfigConnectorContext, hapus semua resource Config Connector dari namespace Anda.

Untuk menemukan semua resource Config Connector di namespace Anda, buat daftar semua resource untuk setiap Definisi Resource Kustom Config Connector.
```
kubectl get gcp -n NAMESPACE
```
Ganti NAMESPACE dengan nama namespace Anda.
Untuk menghapus semua resource Config Connector, untuk setiap resource dalam output langkah sebelumnya, keluarkan perintah penghapusan.
```
kubectl delete -n NAMESPACE KIND NAME
```
Ganti kode berikut:
- NAMESPACE: nama namespace Anda
- KIND: jenis resource yang ditemukan pada langkah sebelumnya
- NAME: nama resource yang ditemukan di langkah sebelumnya

Menghapus ConfigConnectorContext

Untuk mengonfigurasi Config Connector agar tidak lagi mengelola resource Config Connector di namespace Anda, hapus ConfigConnectorContext di namespace Anda.

  kubectl delete -n NAMESPACE ConfigConnectorContext configconnectorcontext.core.cnrm.cloud.google.com

Ganti NAMESPACE dengan nama namespace Anda.

Penghapusan ConfigConnectorContext tidak akan selesai hingga semua resource Config Connector dihapus dari namespace Anda.

Meng-uninstal Config Connector

Jangan gunakan langkah-langkah berikut untuk meng-uninstal cluster Config Controller.

Gunakan kubectl delete untuk menghapus CRD Config Connector beserta komponen pengontrol:

kubectl delete ConfigConnectorContext --all -A –wait=false

kubectl delete ConfigConnector configconnector.core.cnrm.cloud.google.com \
    --wait=true

Untuk meng-uninstal operator Config Connector, jalankan perintah berikut:

kubectl delete -f operator-system/configconnector-operator.yaml  --wait=true

Langkah berikutnya

Mulai menggunakan Config Connector.
Pelajari praktik terbaik untuk Config Connector.