Un cluster privé est un cluster de cloud privé virtuel (VPC) natif qui ne dépend que des adresses IP internes. Cela signifie que les nœuds et les pods sont isolés d'Internet par défaut. Cette page explique comment utiliser Cloud Code pour se connecter à des clusters privés avec ou sans accès au point de terminaison public, et comment autoriser les clusters privés à accéder aux ressources depuis l'extérieur Google Cloud.
Pour en savoir plus sur les clusters privés, consultez Clusters privés. Pour savoir comment configurer des clusters privés, consultez Créer un cluster privé.
Ajouter un cluster GKE privé à votre KubeConfig
L'ajout d'un cluster privé dans Cloud Code présente le comportement suivant :
Pour les clusters pour lesquels le point de terminaison public est activé, l'ajout du cluster définit l'adresse du cluster dans KubeConfig comme adresse IP externe.
Pour les clusters pour lesquels le point de terminaison public est désactivé, l'ajout du cluster définit l'adresse du cluster dans KubeConfig comme adresse IP de VPC interne du cluster.
Pour ajouter un réseau autorisé à un cluster existant, assurez-vous d'être connecté à un réseau autorisé, car les réseaux autorisés sont activés sur ce cluster.
Pour en savoir plus sur la connexion à des VM sans adresse IP externe, consultez Se connecter en toute sécurité aux instances de VM. Pour gérer ou supprimer les instances que vous avez créées, consultez Instances de VM.
Pour se connecter au cluster privé, Cloud Code doit s'exécuter sur une machine du réseau du cluster ou être en mesure d'accéder au réseau du cluster, par exemple en utilisant un serveur proxy, Cloud Interconnect ou Cloud VPN.
Pour savoir comment créer des clusters GKE dans Cloud Code et ajouter des clusters GKE existants à Cloud Code, consultez Créer et configurer un cluster GKE. Cloud Code ouvre la console Google Cloud pour créer votre cluster.
Une fois le cluster créé, configurez Cloud NAT pour activer les connexions Internet sortantes depuis votre cluster si cela n'a pas été configuré lors de la création du cluster. Pour gérer ou supprimer les réseaux que vous avez créés, consultez Réseaux VPC.
Résoudre les problèmes de connexion aux clusters privés
Si votre environnement de développement n'est pas configuré correctement pour accéder à un cluster privé, les recommandations de résolution du problème apparaissent dans les contextes suivants :
Dans l'explorateur Kubernetes, les clusters auxquels Cloud Code ne peut pas se connecter sont signalés par une icône d'erreur à côté de leur nom.
Lorsque vous essayez d'exécuter des opérations sur un cluster inaccessible en raison de problèmes potentiels liés à la configuration du cluster privé, une info-bulle affiche un message d'erreur avec une explication plus détaillée du problème potentiel et des solutions de contournement possibles. Pour afficher le message d'erreur, pointez sur un cluster comportant une icône d'erreur.
Pour afficher la documentation cluster privé, effectuez un clic droit sur un cluster, puis sélectionnez Afficher la documentation sur les clusters privés.
Configurer un serveur proxy pour un cluster
Si l'API du plan de contrôle n'est pas disponible publiquement, par exemple dans un cluster GKE avec un point de terminaison public désactivé, vous pouvez configurer Cloud Code pour qu'il envoie des requêtes par proxy au plan de contrôle via un serveur proxy sur le même réseau ou VPC que le cluster :
- Si ce n'est pas déjà fait, configurez un serveur proxy sur le même réseau que votre cluster. Pour savoir comment configurer une VM Compute Engine en tant que serveur proxy de base, consultez Accéder à distance à un cluster privé à l'aide d'un hôte bastion. Pour en savoir plus, consultez Créer des clusters privés Google Kubernetes Engine avec des proxys réseau pour l'accès au contrôleur.
- Effectuez un clic droit sur le nom d'un cluster que vous avez ajouté à Cloud Code, puis cliquez sur Configurer le proxy kubectl. Suivez les instructions pour saisir le nom de votre serveur proxy, qui est stocké dans le champ
proxy-url
du cluster. L'explorateur Kubernetes se recharge pour afficher le cluster connecté.
Annuler le proxy Kubernetes
Faites un clic droit sur le nom d'un cluster que vous avez configuré pour le proxy Kubernetes, puis cliquez sur Cancel Kubectl Proxying (Annuler le proxy Kubectl). Cloud Code arrête de transférer les requêtes pour le cluster en supprimant le champ proxy-url
dans le fichier KubeConfig.
Accéder aux ressources en dehors Google Cloud des clusters
Toutes les configurations de clusters GKE privés ne permettent pas aux nœuds d'accéder à Internet. Par conséquent, les clusters ne peuvent pas accéder aux API sur l'Internet public. Les clusters sont automatiquement configurés avec l'accès privé à Google, qui permet, par exemple, aux clusters d'extraire des images d'Artifact Registry. Les API et les registres d'images en dehors de Google Cloud sont inaccessibles sans configuration supplémentaire pour autoriser les connexions Internet sortantes depuis les nœuds. Pour fournir ces connexions, vous pouvez configurer Cloud NAT sur votre VPC à partir de Cloud Code :
- Dans l'explorateur Kubernetes, effectuez un clic droit sur un cluster, puis sélectionnez Accorder l'accès à Internet privé GKE.
- Dans le terminal, modifiez les commandes
gcloud compute routers create
etgcloud beta compute routers nats create
pour spécifier les valeurs de votre application. Assurez-vous de choisir la{REGION}
où se trouve le cluster privé. Pour obtenir la liste des régions compatibles, consultez la page Régions et zones. - Pour exécuter les commandes, appuyez sur
Enter
. - Pour gérer ou supprimer les routeurs que vous avez créés, consultez Routeurs Cloud Router.
Étapes suivantes
- En savoir plus sur les réseaux de cloud privé virtuel partagés