您正在查看 GKE On-Prem 以前版本的文档。查看最新文档

连接到 Google

您可以通过多种方式将在本地数据中心运行的 GKE On-Prem 集群连接到 Google 的网络。可能采用的方式包括:

常规互联网连接

在某些情况下,您可以将互联网用作 Google 与本地数据中心之间的连接。例如:

  • 您的 GKE On-Prem 部署自包含于您的本地中,并且您的本地组件很少与 Google 网络通信。您主要通过连接来进行集群管理。连接的速度、可靠性和安全性并不重要。

  • 您的本地集群是自包含的,但访问 Cloud SQL 之类的 Google 服务除外。您的本地集群和 Google 服务之间的流量使用公共 IP 地址。您可以配置防火墙规则以提供安全性。

使用静态路由的 Cloud VPN

借助 Cloud VPN,Google 和您的本地数据中心之间的流量将遍历公共互联网,但会进行加密。本地组件可以使用私有 IP 地址与云组件进行通信。使用静态路由时,您必须在 Google Cloud 网络和本地网络之间手动配置路由。如果安全性很重要,但速度不太重要,请使用 Cloud VPN。

使用 Cloud Router 的 Cloud VPN

借助 Cloud VPNCloud Router,Google 与您的本地数据中心之间的流量将遍历公共互联网,但会进行加密。本地组件可以使用私有 IP 地址与云组件进行通信。Cloud Router 会动态地在您的 Google Cloud 网络和您的本地网络之间交换路由。动态路由在您的网络扩展和更改时尤其有用,因为它可以确保将正确的路由状态传播到本地数据中心。

合作伙伴互连

合作伙伴互连通过受支持的服务提供商提供您本地网络与 Google 网络之间的连接。Google 与您的本地数据中心之间的流量不会遍历公共互联网。本地组件可以使用私有 IP 地址与云组件进行通信。您与 Google 之间的连接速度快、安全可靠。

专用互连

专用互连在您的本地网络和 Google 网络之间提供直接物理连接。如果您有高带宽需求,这可能是一种经济实惠的方式。Google 与您的本地数据中心之间的流量不会遍历公共互联网。本地组件可以使用私有 IP 地址与云组件进行通信。您与 Google 的连接是安全可靠的,甚至比使用合作伙伴互连的连接还要快。

选择连接类型

有关选择连接类型的更多指导,请参阅:

网络监控

无论您如何建立与 Google 的基础连接,您都可以从网络日志记录和监控提供的洞察中受益。如需了解详情,请参阅 GKE On-Prem 日志记录和监控

增强基础连接

完成基础连接后,您可以添加可提高访问权限、安全性和可见性的功能。例如,您可以启用专用 Google 访问通道VPC Service ControlsConnect

本主题中的其余指南假定您使用以下某个选项与 Google 建立基础连接:

专用 Google 访问

专用 Google 访问通道允许只有专用 IP 地址的虚拟机访问 Google API 和服务的 IP 地址。这包括您的 GKE On-Prem 集群节点只有专用 IP 地址的情况。您可以在子网级层启用专用 Google 访问通道。

借助专用 Google 访问通道,从本地数据中心到 Google 服务的请求将遍历您的 Cloud Interconnect 或 Cloud VPN 连接,而不是遍历公共互联网。

在以下情况下使用专用 Google 访问通道:

  • 没有公共 IP 地址的本地虚拟机需要连接到像 BigQuery、Pub/Sub 或 Container Registry 之类的 Google 服务。

  • 您希望在不遍历公共互联网的情况下连接到 Google 服务。

如需查看支持来自本地虚拟机的 Google 专用访问通道的服务列表,请参阅支持的服务。有关通过本地虚拟机使用专用 Google 访问通道的信息,请参阅 配置适用于本地主机的专用 Google 访问通道

不需要 Google 专用访问通道的服务

在某些情况下,您无需专用 Google 访问通道即可通过仅具有专用 IP 地址的虚拟机访问服务。例如:

  • 您会创建一个同时具有公共 IP 地址和专用 IP 地址的 Cloud SQL 实例。然后,您的本地组件可以使用其专用 IP 地址访问 Cloud SQL 实例。在这种情况下,您不需要专用 Google 访问通道,因为您不需要访问 Google 服务的公共 IP 地址。这仅在 Cloud Router 路由器将 Cloud SQL 实例的专用 IP 地址通告到本地网络时才有效。

  • 您在 Google 云中有一个 GKE 集群,并且集群节点具有专用 IP 地址。您的本地组件可以访问 cloud GKE 集群中的 NodePort 服务或内部负载平衡器服务。

VPC 服务控制

如果您希望增加防护以防止渗漏,则可以使用 VPC Service Controls。借助 VPC Service Controls,您可以为 Google 托管服务的资源配置安全边界,并控制跨边界的数据移动。

沟通

利用 Connect,您可通过 Google Cloud Console 查看和管理本地用户集群。

后续步骤