El 2 de octubre, se lanzó una nueva versión de GKE en AWS. Consulta las notas de la versión para obtener más información.

Usa un proxy con GKE en AWS

En este tema, se muestra cómo enrutar el tráfico desde el servicio de administración de GKE en AWS y conectarse a través de un proxy HTTP/HTTPS.

Los clústeres de GKE en AWS requieren acceso a Internet por los siguientes motivos:

  • El servicio de administración registra clústeres de usuarios con Connect.
  • Los clústeres de usuario ejecutan el agente de Connect.
  • Todos los nodos de servicio de administración y clúster de clústeres de usuarios descargan imágenes de Container Registry.

Puedes enrutar este tráfico a través de un proxy HTTP/HTTPS.

Debes declarar la configuración del proxy en un archivo JSON al que se hace referencia en anthos-gke.yaml.

Requisitos previos

Antes de configurar GKE en AWS para usar un proxy, debes habilitar los extremos de VPC de AWS, definir un grupo de seguridad para el proxy y permitir conexiones salientes a ciertos servicios de Google Cloud.

Habilitar extremos de VPC

Antes de configurar un proxy, debes crear extremos de VPC para tu instalación de GKE en AWS. Los extremos de VPC permiten que los recursos de las subredes privadas accedan a los servicios de AWS sin acceso a la Internet pública.

En la siguiente tabla, se enumeran los servicios de AWS para los que GKE necesita GKE, además del tipo de extremo y los grupos de seguridad para cada GKE en el componente de AWS que requiere acceso al extremo.

Servicio Tipo de extremo Grupos de seguridad
Ajuste de escala automático Interfaz Administración, plano de control, grupos de nodos
EC2 Interfaz Administración, plano de control, grupos de nodos
Balanceo de cargas Interfaz Administración, plano de control, grupos de nodos
Servicio de administración de claves Interfaz Administración, plano de control, grupos de nodos
S3 Puerta de enlace Administración, plano de control, grupos de nodos
Servicio de tokens de seguridad (STS) Puerta de enlace Administración, plano de control, grupos de nodos

Puedes crear extremos desde la consola de VPC de AWS. Las opciones que estableces cuando creas extremos de VPC dependen de tu configuración de VPC.

Define un grupo de seguridad

Tus componentes de GKE en AWS deben poder conectarse al servidor proxy. Crea o ubica un grupo de seguridad de AWS que permita conexiones salientes a tu servidor proxy. El grupo de seguridad debe permitir el acceso saliente desde los grupos de seguridad de Administración, plano de control y grupo de nodos a la dirección y puerto del proxy. Guarda el ID de este grupo de seguridad (por ejemplo, sg-12345678).

Tipo Protocolo Del puerto Al puerto Dirección
Salida TCP Puerto proxy: Puerto proxy: Grupo de seguridad de proxy

Permite conexiones salientes a los servicios de Google Cloud

Para que GKE en AWS se conecte a los servicios de Google Cloud, el servidor proxy debe permitir el tráfico a los siguientes dominios:

  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • oauth2.googleapis.com
  • storage.googleapis.com
  • www.googleapis.com
  • gcr.io
  • k8s.gcr.io

Crea el archivo de configuración JSON del proxy

El archivo JSON de configuración del proxy contiene un objeto que contiene tres pares clave-valor, con los nombres de clave httpProxy, httpsProxy y noProxy. Los nombres de usuario y las contraseñas se encriptan en sobrecarga con tu clave de KMS de AWS antes de aplicarlas al servidor.

{
  "httpProxy": "HTTP_PROXY",
  "httpsProxy": "HTTPS_PROXY",
  "noProxy": "NO_PROXY_RANGE"
}

Reemplaza lo siguiente:

  • HTTP_PROXY con la dirección del servidor proxy para enrutar las solicitudes HTTP. El valor es una URL HTTP con contraseña codificada.
  • HTTPS_PROXY con el servidor proxy para enrutar las solicitudes HTTPS. El valor es una URL HTTPS con contraseña codificada.
  • NO_PROXY_RANGE con una lista opcional de rangos y direcciones CIDR en los que no se usa el proxy. Esta es una lista separada por comas de IP, rangos CIDR y direcciones HTTP.

A continuación, se muestra un ejemplo de configuración JSON de proxy para 10.0.0.254 y varias exclusiones.

{
  "httpProxy": "http://user:password@10.0.0.254:80",
  "httpsProxy": "https://user:password@10.0.0.254:443",
  "noProxy": "localhost, 127.0.0.1,169.254.169.254,10.0.0.0/16,http://example.com"
}

Agrega el proxy a Anthos-gke.yaml

Para configurar AWSManagementService, realiza los siguientes pasos:

  1. Cambia al directorio con la configuración de GKE en AWS. Creaste este directorio cuando instalaste el servicio de administración.

    cd anthos-aws

  2. Abre anthos-gke.yaml en un editor de texto. Agrega un valor para spec.proxy como en el siguiente ejemplo.

    apiVersion: multicloud.cluster.gke.io/v1
    kind: AWSManagementService
    metadata:
      name: management
    spec:
      version: aws-1.4.1-gke.17
      proxy: PROXY_JSON_FILE
    

    Reemplaza PROXY_JSON_FILE con la ruta de acceso relativa de la configuración JSON de tu proxy. Guarda el archivo.

  3. Ejecuta anthos-gke aws management init para generar un archivo anthos-gke.status.yaml con configuración adicional. El comando init también valida el objeto AWSManagementService en tu archivo anthos-gke.yaml.

    anthos-gke aws management init
    
  4. Ejecuta anthos-gke aws management apply para actualizar tu servicio de administración en AWS.

    anthos-gke aws management apply
    

¿Qué sigue?

Para obtener más información sobre cómo completar una instalación de GKE en AWS, consulta los vínculos siguientes: