Sincronizzare i grafici Helm da Artifact Registry

Questa pagina mostra come sincronizzare i grafici Helm da Artifact Registry creando e spingendo un grafico Helm in un repository in Artifact Registry. Contiene inoltre una configurazione di esempio per sincronizzare un grafico dal tuo repository Helm.

Puoi configurare Config Sync per la sincronizzazione dai repository Helm. Puoi archiviare i grafici Helm in Artifact Registry, il repository Helm consigliato per Google Cloud. Per utilizzare questa funzionalità, devi attivare le API RootSync e RepoSync. Config Sync esegue il rendering dei grafici Helm utilizzando helm template e pertanto non supporta la gestione completa del ciclo di vita di Helm.

Versioni di Helm e Kustomize in bundle elenca le versioni di Kustomize e Helm in bundle con la versione corrispondente di Config Sync.

Prima di iniziare

Limitazioni

  • Non puoi modificare un campo immutabile in una configurazione semplicemente modificando il valore nella fonte attendibile. Se devi aggiornare un campo immutabile, apporta prima la modifica nell'origine attendibile, quindi elimina manualmente l'oggetto nel cluster. Config Sync può quindi ricreare l'oggetto con il nuovo valore del campo.

  • I seguenti grafici Helm includono job e non sono consigliati per il deployment da parte di Config Sync:

    Per scoprire di più sul motivo per cui i job non sono consigliati per l'utilizzo con Config Sync, consulta Evitare di gestire i job con Config Sync.

Crea un repository Artifact Registry

In questa sezione viene creato un repository Artifact Registry. Per scoprire di più sulla creazione di repository Artifact Registry, consulta Creare repository.

  1. Abilita l'API Artifact Registry:

    gcloud services enable artifactregistry.googleapis.com --project=PROJECT_ID
    
  2. Crea un repository Artifact Registry:

    gcloud artifacts repositories create AR_REPO_NAME \
       --repository-format=docker \
       --location=AR_REGION \
       --description="Config Sync Helm repo" \
       --project=PROJECT_ID
    

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto dell'organizzazione.
  • AR_REPO_NAME: l'ID del repository.
  • AR_REGION: la posizione regionale o su più regioni del repository.

Variabili utilizzate nelle seguenti sezioni:

  • FLEET_HOST_PROJECT_ID: se utilizzi Workload Identity Federation for GKE, è lo stesso valore di PROJECT_ID. Se utilizzi la federazione delle identità per i carichi di lavoro del parco risorse per GKE, questo è l'ID progetto del parco risorse a cui è registrato il tuo cluster.
  • GSA_NAME: il nome dell'account di servizio Google personalizzato che vuoi utilizzare per connetterti ad Artifact Registry.
  • KSA_NAME: l'account di servizio Kubernetes per il Mediator.
    • Per i repository principali, se il nome RootSync è root-sync, aggiungi root-reconciler. In caso contrario, aggiungi root-reconciler-ROOT_SYNC_NAME.
    • Per i repository dello spazio dei nomi, se il nome RepoSync è repo-sync, aggiungi ns-reconciler-NAMESPACE. In caso contrario, aggiungi ns-reconciler-NAMESPACE-REPO_SYNC_NAME-REPO_SYNC_NAME_LENGTH dove REPO_SYNC_NAME_LENGTH è il numero di caratteri in REPO_SYNC_NAME.

Concedi l'autorizzazione di lettore

Se la versione di Config Sync è 1.17.2 o successiva nel tuo cluster, puoi utilizzare l'account di servizio Kubernetes per autenticarti in Artifact Registry. In caso contrario, utilizza l'account di servizio Google per l'autenticazione.

Utilizzo dell'account di servizio Kubernetes

Concedi il ruolo IAM Lettore del registry di elementi (roles/artifactregistry.reader) all'account di servizio Kubernetes con il pool della federazione delle identità per i carichi di lavoro per GKE:

gcloud artifacts repositories add-iam-policy-binding AR_REPO_NAME \
    --location=AR_REGION \
    --member="serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
    --role=roles/artifactregistry.reader \
    --project=PROJECT_ID

Utilizzo dell'account di servizio Google

  1. Concedi il ruolo IAM Artifact Registry Reader (roles/artifactregistry.reader) all'account di servizio Google:

    gcloud artifacts repositories add-iam-policy-binding AR_REPO_NAME \
       --location=AR_REGION \
       --member=serviceAccount:GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --role=roles/artifactregistry.reader \
       --project=PROJECT_ID
    
  2. Crea un'associazione dei criteri IAM tra l'account di servizio Kubernetes e l'account di servizio Google:

    gcloud iam service-accounts add-iam-policy-binding \
       --role roles/iam.workloadIdentityUser \
       --member "serviceAccount:FLEET_HOST_PROJECT_ID.svc.id.goog[config-management-system/KSA_NAME]" \
       GSA_NAME@PROJECT_ID.iam.gserviceaccount.com \
       --project=PROJECT_ID
    

Esegui il push di un grafico Helm nel repository Artifact Registry

In questa sezione, scarichi un grafico Helm pubblico ed esegui il push in Artifact Registry.

  1. Recupera il pacchetto mysql-9.3.1.tgz dal repository Helm pubblico e scaricalo localmente:

    helm pull mysql --repo https://charts.bitnami.com/bitnami --version 9.3.1
    
  2. Autenticazione con un token di accesso:

    Linux / macOS

    gcloud auth print-access-token | helm registry login -u oauth2accesstoken \
    --password-stdin https://AR_REGION-docker.pkg.dev
    

    Windows

    gcloud auth print-access-token
    ya29.8QEQIfY_...
    
    helm registry login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
    https://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME
    

    In questo comando, oauth2accesstoken è il nome utente da utilizzare per l'autenticazione con un token di accesso e gcloud auth print-access-token è il comando per ottenere il token di accesso. Il token di accesso è la password per l'autenticazione. L'autenticazione con un token di accesso è il metodo di autenticazione più sicuro.

  3. Esegui il push del grafico Helm in Artifact Registry:

    helm push mysql-9.3.1.tgz oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME
    

Configura Config Sync per la sincronizzazione dal grafico Helm

In questa sezione, crei un oggetto RootSync e configuri Config Sync per la sincronizzazione dal grafico Helm.

Se vuoi sostituire i valori predefiniti del grafico Helm, puoi farlo specificando i valori nel campo spec.helm.values o aggiungendo un riferimento a un ConfigMap utilizzando il campo spec.helm.valuesFileRefs. Per scoprire di più sui campi facoltativi, consulta la sezione Configurazione per il repository Helm.

valori

  1. Crea un oggetto RootSync con un nome univoco:

    cat <<EOF>> ROOT_SYNC_NAME.yaml
    apiVersion: configsync.gke.io/v1beta1
    kind: RootSync
    metadata:
      name: ROOT_SYNC_NAME
      namespace: config-management-system
    spec:
      sourceFormat: unstructured
      sourceType: helm
      helm:
        repo: oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME
        chart: mysql
        version: 9.3.1
        releaseName: my-mysql
        namespace: test
        # The k8sserviceaccount auth type is available in version 1.17.2 and
        # later. Use "gcpserviceaccount" if using an older version.
        # auth: gcpserviceaccount
        # gcpServiceAccountEmail: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
        auth: k8sserviceaccount
        # Use the optional field spec.helm.values to override default values.
        # You can use the same format as the default values file to override
        # default values.
        values:
          image:
            pullPolicy: Always
          primary:
            resources:
              limits:
                cpu: 250m
                memory: 256Mi
              requests:
                cpu: 250m
                memory: 256Mi
    EOF
    

    Sostituisci ROOT_SYNC_NAME con il nome dell'oggetto RootSync. Il nome deve essere univoco nel cluster e non deve contenere più di 26 caratteri. Se hai installato Config Sync utilizzando la console Google Cloud o Google Cloud CLI, scegli un nome diverso da root-sync.

    In questo esempio, il grafico Helm viene disegnato nello spazio dei nomi test perché le sue risorse contengono namespace: {{ .Release.Namespace }} nei relativi modelli.

    Puoi utilizzare helm.values per sostituire i valori predefiniti. Per informazioni sui campi facoltativi, consulta Configurazione per il repository Helm.

  2. Applica l'oggetto RootSync:

    kubectl apply -f ROOT_SYNC_NAME.yaml
    
  3. Verifica che Config Sync stia sincronizzando dall'immagine:

    nomos status --contexts=$(kubectl config current-context)
    

    L'output è simile al seguente:

    Connecting to clusters...
    
    *cluster-name
      --------------------
      <root>:root-sync   oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME/mysql:9.3.1
      SYNCED             9.3.1
      Managed resources:
          NAMESPACE  NAME                       STATUS    SOURCEHASH
          default    configmap/my-mysql         Current   9.3.1
          default    secret/my-mysql            Current   9.3.1
          default    service/my-mysql           Current   9.3.1
          default    service/my-mysql-headless  Current   9.3.1
          default    serviceaccount/my-mysql    Current   9.3.1
          default    statefulset.apps/my-mysql  Current   9.3.1
    

    Hai sincronizzato correttamente il grafico Helm con il tuo cluster.

valuesFileRefs

  1. Crea un oggetto RootSync con un nome univoco:

    cat <<EOF>> ROOT_SYNC_NAME.yaml
    apiVersion: configsync.gke.io/v1beta1
    kind: RootSync
    metadata:
      name: ROOT_SYNC_NAME
      namespace: config-management-system
    spec:
      sourceFormat: unstructured
      sourceType: helm
      helm:
        repo: oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME
        chart: mysql
        version: 9.3.1
        releaseName: my-mysql
        # The k8sserviceaccount auth type is available in version 1.17.2 and
        # later. Use "gcpserviceaccount" if using an older version.
        # auth: gcpserviceaccount
        # gcpServiceAccountEmail: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
        auth: k8sserviceaccount
        # use the optional field spec.helm.valuesFilesRefs to override default values
        # by referencing a ConfigMap
        valuesFileRefs:
        - name: CONFIGMAP_NAME
          dataKey: DATA_KEY
    
    EOF
    

    Sostituisci quanto segue:

    • ROOT_SYNC_NAME: il nome dell'oggetto RootSync. Il nome deve essere univoco nel cluster e non deve contenere più di 26 caratteri. Se hai installato Config Sync utilizzando la console Google Cloud o Google Cloud CLI, scegli un nome diverso da root-sync.
    • CONFIGMAP_NAME: il nome del ConfigMap. Può essere qualsiasi nome ConfigMap valido accettato da Kubernetes e univoco nel tuo cluster.
    • (Facoltativo) DATA_KEY: la chiave dei dati nel ConfigMap da cui vuoi leggere i valori. Il valore predefinito è values.yaml.
  2. Crea l'oggetto ConfigMap con i valori:

    cat <<EOF>> CONFIGMAP_NAME.yaml
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: CONFIGMAP_NAME
      namespace: config-management-system
    immutable: true
    # You can use the same format as the default values file to override
    # default values.
    data:
      DATA_KEY: |-
        image:
          pullPolicy: Always
        primary:
          resources:
            limits:
              cpu: 250m
              memory: 256Mi
            requests:
              cpu: 250m
              memory: 256Mi
    
    EOF
    

    Se non hai specificato un valore per DATA_KEY in RootSync, dovrebbe essere il valore predefinito values.yaml.

  3. Applica l'oggetto ConfigMap:

    kubectl apply -f CONFIGMAP_NAME.yaml
    
  4. Applica l'oggetto RootSync:

    kubectl apply -f ROOT_SYNC_NAME.yaml
    
  5. Verifica che Config Sync stia sincronizzando dall'immagine:

    nomos status --contexts=$(kubectl config current-context)
    

    L'output è simile al seguente:

    Connecting to clusters...
    
    *cluster-name
      --------------------
      <root>:root-sync   oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME/mysql:9.3.1
      SYNCED             9.3.1
      Managed resources:
          NAMESPACE  NAME                       STATUS    SOURCEHASH
          default    configmap/my-mysql         Current   9.3.1
          default    secret/my-mysql            Current   9.3.1
          default    service/my-mysql           Current   9.3.1
          default    service/my-mysql-headless  Current   9.3.1
          default    serviceaccount/my-mysql    Current   9.3.1
          default    statefulset.apps/my-mysql  Current   9.3.1
    

    Hai sincronizzato correttamente il grafico Helm con il tuo cluster.

    Puoi anche esaminare imagePullPolicy in una delle risorse sincronizzate nel cluster per verificare che i valori del ConfigMap siano stati utilizzati per visualizzare il grafico:

    kubectl get statefulset -n test my-mysql -o yaml | grep imagePullPolicy
    
  6. Poiché il ConfigMap è immutabile, per modificare i valori devi creare un nuovo ConfigMap e aggiornare spec.helm.valuesFileRefs nella specifica RootSync o RepoSync in modo che punti al nuovo ConfigMap. La creazione di un nuovo ConfigMap garantisce che le modifiche ai valori causino il nuovo rendering del grafico Helm, il che è utile quando è necessario aggiornare contemporaneamente più ConfigMap a cui viene fatto riferimento in spec.helm.valuesFileRefs durante il nuovo rendering. Per modificare i valori utilizzati per il rendering del grafico, crea un nuovo ConfigMap con un nome diverso:

    cat <<EOF>> CONFIGMAP_NAME-2.yaml
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: CONFIGMAP_NAME-2
      namespace: config-management-system
    immutable: true
    # You can use the same format as the default values file to override
    # default values.
    data:
      DATA_KEY: |-
        image:
          pullPolicy: Never
        primary:
          resources:
            limits:
              cpu: 100m
              memory: 256Mi
            requests:
              cpu: 250m
              memory: 200Mi
    
    EOF
    
  7. Aggiorna l'oggetto RootSync in modo che faccia riferimento al nuovo ConfigMap:

    cat <<EOF>> ROOT_SYNC_NAME.yaml
    apiVersion: configsync.gke.io/v1beta1
    kind: RootSync
    metadata:
      name: ROOT_SYNC_NAME
      namespace: config-management-system
    spec:
      sourceFormat: unstructured
      sourceType: helm
      helm:
        repo: oci://AR_REGION-docker.pkg.dev/PROJECT_ID/AR_REPO_NAME
        chart: mysql
        version: 9.3.1
        releaseName: my-mysql
        namespace: test
        # The k8sserviceaccount auth type is available in version 1.17.2 and
        # later. Use "gcpserviceaccount" if using an older version.
        # auth: gcpserviceaccount
        # gcpServiceAccountEmail: GSA_NAME@PROJECT_ID.iam.gserviceaccount.com
        auth: k8sserviceaccount
        # use the optional field spec.helm.valuesFilesRefs to override default values
        # by referencing a ConfigMap
        valuesFileRefs:
        - name: CONFIGMAP_NAME-2
          dataKey: DATA_KEY
    
    EOF
    
  8. Applica l'oggetto ConfigMap:

    kubectl apply -f CONFIGMAP_NAME-2.yaml
    
  9. Applica l'oggetto RootSync:

    kubectl apply -f ROOT_SYNC_NAME.yaml
    
  10. Verifica che Config Sync stia sincronizzando dall'immagine:

    nomos status --contexts=$(kubectl config current-context)
    

    Puoi anche esaminare imagePullPolicy in una delle risorse sincronizzate nel cluster per verificare che i nuovi valori del ConfigMap aggiornato siano stati utilizzati per il rendering del grafico:

    kubectl get statefulset -n test my-mysql -o yaml | grep imagePullPolicy
    

Passaggi successivi