Privaten Cluster in Cloud Code für Cloud Shell konfigurieren

Ein privater Cluster ist ein VPC-nativer Cluster (Virtual Private Cloud), der nur von internen IP-Adressen abhängig ist. Dies bedeutet, dass Knoten und Pods standardmäßig vom Internet isoliert sind. Auf dieser Seite wird erläutert, wie Sie mit Cloud Code eine Verbindung zu privaten Clustern mit und ohne Zugriff auf öffentliche Endpunkte herstellen und privaten Clustern den Zugriff auf Ressourcen von außerhalb von Google Cloud ermöglichen.

Informationen zu privaten Clustern finden Sie unter Private Cluster. Eine Anleitung zum Konfigurieren privater Cluster finden Sie unter Privaten Cluster erstellen.

Privaten GKE-Cluster zu KubeConfig hinzufügen

Das Hinzufügen eines privaten Clusters in Cloud Code verhält sich so:

  • Bei Clustern, für die der öffentliche Endpunkt aktiviert ist, wird durch Hinzufügen des Clusters die Clusteradresse in der KubeConfig auf die externe IP-Adresse eingestellt.

  • Für Cluster, bei denen der öffentliche Endpunkt deaktiviert ist, die Clustergruppen hinzufügen die Clusteradresse in KubeConfig als interne VPC-IP-Adresse des Cluster.

Achten Sie darauf, dass Sie verbunden sind, um einem vorhandenen Cluster ein autorisiertes Netzwerk hinzuzufügen zu einem autorisierten Netzwerk, da für diesen Cluster autorisierte Netzwerke aktiviert sind.

Weitere Informationen zum Herstellen einer Verbindung zu VMs ohne externe IP-Adressen finden Sie unter Sichere Verbindung zu VM-Instanzen herstellen Informationen zum Verwalten und Löschen der von Ihnen erstellten Instanzen finden Sie unter VM-Instanzen.

Damit die Verbindung zum privaten Cluster hergestellt werden kann, muss Cloud Code auf einem Rechner im Netzwerk des Clusters ausgeführt werden oder auf das Netzwerk des Clusters zugreifen können, zum Beispiel über einen Proxyserver, Cloud Interconnect oder Cloud VPN.

Für Schritte zum Erstellen von GKE-Clustern in Cloud Code und vorhandene GKE-Cluster zu Cloud Code hinzufügen, finden Sie unter GKE-Cluster erstellen und konfigurieren Cloud Code öffnet die Google Cloud Console, um Ihren Cluster zu erstellen.

Nachdem Sie den Cluster erstellt haben, konfigurieren Sie Cloud NAT. zum Aktivieren ausgehender Internetverbindungen von Ihrem Cluster, falls dies nicht eingerichtet wurde während der Clustererstellung. Informationen zum Verwalten/Löschen der von Ihnen erstellten Netzwerke finden Sie unter VPC-Netzwerke:

Probleme beim Herstellen einer Verbindung zu privaten Clustern beheben

Wenn Ihre Entwicklungsumgebung nicht ordnungsgemäß für den Zugriff auf einen privaten Cluster konfiguriert ist, werden in den folgenden Kontexten Empfehlungen zur Lösung des Problems angezeigt:

  • Im maximierten Kubernetes Explorer werden Cluster, für die von Cloud Code keine Verbindung hergestellt werden kann, mit einem Fehlersymbol neben dem Clusternamen angezeigt. Um mögliche Behelfslösungen und eine ausführlichere Erklärung der klicken Sie auf den Clusternamen.

  • Wenn Sie versuchen, Vorgänge in einem Cluster auszuführen, der aufgrund möglicher Probleme mit der Konfiguration des privaten Clusters nicht zugänglich ist, wird eine Fehlermeldung mit einer längeren Erläuterung des potenziellen Problems und möglichen Problemumgehungen angezeigt.

Proxyserver für einen Cluster konfigurieren

Wenn die Steuerungsebenen-API nicht öffentlich verfügbar ist, z. B. in einem GKE-Cluster mit deaktiviertem öffentlichen Endpunkt, können Sie Cloud Code so konfigurieren, dass Anfragen über einen Proxyserver im selben Netzwerk oder in derselben VPC wie der des Clusters an die Steuerungsebene weitergeleitet werden:

  1. Konfigurieren Sie einen Proxyserver im selben Netzwerk wie dem Ihres Clusters, wenn noch nicht geschehen. Eine Anleitung zum Einrichten einer Compute Engine-VM als einfachen Proxyserver finden Sie unter Remotezugriff auf einen privaten Cluster über einen Bastion Host. Weitere Informationen finden Sie unter Private Cluster in Google Kubernetes Engine mit Netzwerk-Proxys für den Controllerzugriff erstellen.
  2. Klicken Sie mit der rechten Maustaste auf den Namen eines Clusters, den Sie zu Cloud Code hinzugefügt haben, und klicken Sie dann auf Kubectl-Proxy für Cluster einrichten. Folgen Sie den Eingabeaufforderungen, um den Namen Ihres Proxyservers einzugeben, der im Feld proxy-url des Clusters gespeichert ist. Die Kubernetes-Ansicht wird neu geladen, um den verbundenen Cluster anzuzeigen.

Kubernetes-Proxy-Weiterleitung abbrechen

Klicken Sie mit der rechten Maustaste auf den Namen eines Clusters, den Sie für die Kubernetes-Proxy-Weiterleitung konfiguriert haben, und klicken Sie dann auf Kubectl-Proxy-Weiterleitung für Cluster abbrechen. Cloud Code beendet die Proxy-Weiterleitung von Anfragen für den Cluster, indem die Festlegung des Felds proxy-url in der KubeConfig aufgehoben wird.

Über Cluster auf Ressourcen außerhalb von Google Cloud zugreifen

Konfigurationen von privaten GKE-Clustern bieten keine Knoten mit Internetzugang. Dadurch können Cluster keine APIs im öffentlichen Internet erreichen. Cluster werden automatisch mit privatem Google-Zugriff konfiguriert, der Clustern beispielsweise ermöglicht, Images aus Artifact Registry oder Container Registry abzurufen. APIs und Image-Registries außerhalb von Google Cloud sind ohne zusätzliche Konfiguration, die ausgehende Internetverbindungen von den Knoten zulässt, nicht zugänglich. Zur Bereitstellung dieser Verbindungen können Sie Cloud NAT über Cloud Code in Ihrer VPC einrichten:

  1. Führen Sie den Befehl Privaten GKE-Knoten ausgehenden Internetzugriff gewähren aus. indem Sie mit der rechten Maustaste auf einen Cluster oder über die Befehlspalette klicken Drücken Sie dazu Ctrl/Cmd + Shift + P oder klicken Sie auf Ansicht > Befehlspalette.
  2. Bearbeiten Sie im Terminal die Befehle gcloud compute routers create und gcloud beta compute routers nats create, um die Werte für Ihre Anwendung anzugeben.
  3. Drücken Sie Enter, um die Befehle auszuführen.
  4. Informationen zum Verwalten und Löschen der von Ihnen erstellten Router finden Sie unter Cloud Router.

Nächste Schritte