Un cluster privé est un cluster de cloud privé virtuel (VPC) natif qui dépend uniquement d'adresses IP internes. Cela signifie que les nœuds et les pods sont isolés d'Internet par défaut. Cette page explique comment utiliser Cloud Code pour se connecter à des clusters privés avec et sans accès aux points de terminaison publics, et comment autoriser les clusters privés à accéder aux ressources depuis l'extérieur de Google Cloud.
Pour en savoir plus sur les clusters privés, consultez la page Clusters privés. Pour en savoir plus sur la configuration des clusters privés, consultez la page Créer un cluster privé.
Ajouter un cluster GKE privé à votre KubeConfig
L'ajout d'un cluster privé dans Cloud Code présente le comportement suivant :
Pour les clusters sur lesquels le point de terminaison public est activé, l'ajout du cluster définit son adresse dans KubeConfig sur l'adresse IP externe.
Pour les clusters sur lesquels le point de terminaison public est désactivé, l'adresse du cluster est définie dans KubeConfig comme étant l'adresse IP du VPC interne du cluster.
Pour ajouter un réseau autorisé à un cluster existant, assurez-vous d'être connecté à un réseau autorisé, car les réseaux autorisés sont activés sur ce cluster.
Pour en savoir plus sur la connexion aux VM sans adresse IP externe, consultez la section Se connecter en toute sécurité aux instances de VM. Pour gérer/supprimer les instances que vous avez créées, consultez la page Instances de VM.
Pour se connecter au cluster privé, Cloud Code doit s'exécuter sur une machine du réseau du cluster ou pouvoir accéder au réseau du cluster, par exemple à l'aide d'un serveur proxy, de Cloud Interconnect ou de Cloud VPN.
Pour en savoir plus sur la création de clusters GKE dans Cloud Code et l'ajout de clusters GKE existants à Cloud Code, consultez la page Créer et configurer un cluster GKE. Cloud Code ouvre la console Google Cloud pour créer votre cluster.
Après avoir créé le cluster, configurez Cloud NAT pour activer les connexions Internet sortantes à partir de votre cluster si cette configuration n'a pas été configurée lors de la création du cluster. Pour gérer/supprimer les réseaux que vous avez créés, consultez la page Réseaux VPC.
Résoudre les problèmes de connexion aux clusters privés
Si votre environnement de développement n'est pas configuré correctement pour accéder à un cluster privé, les recommandations de résolution du problème apparaissent dans les contextes suivants :
Dans l'explorateur Kubernetes, les clusters auxquels Cloud Code ne peut pas se connecter s'affichent avec une icône d'erreur à côté du nom du cluster.
Lorsque vous essayez d'exécuter des opérations sur un cluster inaccessible en raison de problèmes potentiels liés à la configuration du cluster privé, une info-bulle affiche un message d'erreur contenant une explication plus détaillée du problème et des solutions de contournement potentielles. Pour afficher le message d'erreur, maintenez le pointeur sur un cluster avec une icône d'erreur.
Pour afficher la documentation cluster privé, effectuez un clic droit sur un cluster, puis sélectionnez Afficher la documentation sur les clusters privés.
Configurer un serveur proxy pour un cluster
Si l'API du plan de contrôle n'est pas disponible publiquement, par exemple dans un cluster GKE avec un point de terminaison public désactivé, vous pouvez configurer Cloud Code pour qu'il envoie des requêtes par proxy au plan de contrôle via un serveur proxy sur le même réseau ou VPC que le cluster :
- Si ce n'est pas déjà fait, configurez un serveur proxy sur le même réseau que votre cluster. Pour savoir comment configurer une VM Compute Engine en tant que serveur proxy de base, consultez la section Accéder à distance à un cluster privé à l'aide d'un hôte bastion. Pour en savoir plus, consultez la page Créer des clusters privés Google Kubernetes Engine avec des proxys réseau pour l'accès au contrôleur.
- Effectuez un clic droit sur le nom d'un cluster que vous avez ajouté à Cloud Code, puis cliquez sur Configurer le proxy Kubectl. Suivez les instructions pour saisir le nom de votre serveur proxy, qui est stocké dans le champ
proxy-urldu cluster. L'explorateur Kubernetes s'actualise pour afficher le cluster connecté.
Annuler l'envoi du proxy Kubernetes
Effectuez un clic droit sur le nom d'un cluster que vous avez configuré pour le proxy Kubernetes, puis cliquez sur Cancel Kubectl Proxying (Annuler le proxy Kubectl). Cloud Code arrête l'envoi de requêtes par proxy pour le cluster en désélectionnant le champ proxy-url dans KubeConfig.
Accéder à des ressources en dehors de Google Cloud à partir de clusters
Toutes les configurations des clusters privés GKE ne fournissent pas aux nœuds un accès à Internet. Par conséquent, les clusters ne peuvent pas accéder aux API sur l'Internet public. Les clusters sont automatiquement configurés avec l'accès privé à Google, qui permet, par exemple, d'extraire des images d'Artifact Registry ou de Container Registry. Les API et les registres d'images externes à Google Cloud sont inaccessibles sans configuration supplémentaire pour autoriser les connexions Internet sortantes à partir des nœuds. Pour fournir ces connexions, vous pouvez configurer Cloud NAT sur votre VPC à partir de Cloud Code:
- Dans l'explorateur Kubernetes, effectuez un clic droit sur un cluster, puis sélectionnez Grant Private GKE Internet (Accorder l'accès à Internet GKE privé).
- Dans le terminal, modifiez les commandes
gcloud compute routers createetgcloud beta compute routers nats createpour spécifier les valeurs de votre application. Veillez à choisir la région{REGION}où se trouve le cluster privé. Pour obtenir la liste des régions acceptées, consultez la page Régions et zones. - Pour exécuter les commandes, appuyez sur
Enter. - Pour gérer/supprimer les routeurs que vous avez créés, consultez la page Routeurs Cloud.
Étapes suivantes
- Découvrez les réseaux cloud privés virtuels partagés.