本頁面會概略說明 Config Sync 及其優點。
Config Sync 可協助您簡化 Kubernetes 設定物件的管理作業。 您可以使用 Config Sync 將設定檔集中存放在單一可靠來源 (例如 Git 存放區),確保設定一致性並消除設定漂移。
本頁內容適用於想要導入 GitOps 工具,集中管理團隊設定的營運人員。如要進一步瞭解我們在 Google Cloud 內容中提及的常見角色和範例工作,請參閱「常見的 GKE Enterprise 使用者角色和工作」。
定價
Config Sync 需要 Google Kubernetes Engine (GKE) Enterprise 版授權。
Config Sync 的優點
Config Sync 是一項 GitOps 服務,適用於平台管理員,可讓團隊從單一可靠來源,跨叢集或命名空間同步處理資源,集中管理設定。
對於大規模管理 Kubernetes 設定的機構而言,GitOps 普遍被視為最佳做法。所有 GitOps 工具都能提供穩定性、可讀性、一致性、稽核和安全性等優勢。Config Sync 是 Google Kubernetes Engine (GKE) Enterprise 版的一部分,可為您帶來一系列獨特優勢:
- 與 Google Kubernetes Engine (GKE) Enterprise 版整合:平台管理員只需在 Google Cloud 控制台中按幾下滑鼠、使用 Terraform,或在連線至機群的任何叢集上使用 Google Cloud CLI,即可安裝 Config Sync。這項服務已預先設定,可與其他 Google Kubernetes Engine (GKE) Enterprise 版和 Google Cloud服務搭配使用,例如 Policy Controller、GKE 適用的 Workload Identity Federation 和 Cloud Monitoring。
- 內建可觀測性:Config Sync 內建可觀測性資訊主頁,位於 Google Cloud 控制台中,不需要額外設定。平台管理員可以前往 Google Cloud 控制台或使用 Google Cloud CLI,查看同步和調解狀態。
- 支援多雲端和混合式環境:每次發布正式版前,我們都會先在多個雲端供應商和混合式環境中測試 Config Sync。如要查看支援矩陣,請參閱「Google Kubernetes Engine (GKE) Enterprise 版版本和升級支援」。
Config Sync 的運作方式
下圖概述團隊如何將叢集同步至單一根層級存放區 (由管理員管理) 和多個命名空間存放區 (由應用程式運算子管理):
中央管理員負責管理機構的集中式基礎架構,並在叢集和機構內的所有命名空間強制執行政策。應用程式運算子負責管理即時部署作業,並將設定套用至他們所用命名空間中的應用程式。
設定叢集
Config Sync 可讓您建立一組通用的設定和政策 (例如 Policy Controller 限制),並從單一的可靠資料來源,將這些設定和政策一致地套用至已註冊和已連線的叢集。
您可以使用 GitOps 樣式的工具,協調將設定變更部署至叢集機群,而不必手動重複執行 kubectl apply 指令。詳情請參閱「使用 Config Sync 安全推出」。雖然本教學課程和其他教學課程使用 Git 存放區做為資料來源,但您也可以使用 OCI 映像檔或 Helm 圖表。
設定命名空間
使用 Config Sync 設定命名空間可提供下列功能:
- 您可以透過命名空間範圍政策 (例如角色型存取權控管 (RBAC) 角色),在已註冊及已連線的叢集中,一致地佈建 Kubernetes 命名空間。命名空間範圍政策可讓您更輕鬆地在叢集內實作及管理多租戶。
- 將政策套用至多個相關命名空間,而不必複製設定,還能針對指定命名空間或一組命名空間覆寫或擴展設定,方便您在所有租戶中套用一致的政策。