Ein privater Cluster ist ein VPC-nativer Cluster (Virtual Private Cloud), der nur von internen IP-Adressen abhängig ist. Dies bedeutet, dass Knoten und Pods standardmäßig vom Internet isoliert sind. Auf dieser Seite wird erläutert, wie Sie mit Cloud Code eine Verbindung zu privaten Clustern mit und ohne Zugriff auf öffentliche Endpunkte herstellen und privaten Clustern den Zugriff auf Ressourcen von außerhalb von Google Cloud ermöglichen.
Informationen zu privaten Clustern finden Sie unter Private Cluster. Eine Anleitung zum Konfigurieren privater Cluster finden Sie unter Privaten Cluster erstellen.
KubeConfig einen privaten GKE-Cluster hinzufügen
Das Hinzufügen eines privaten Clusters in Cloud Code verhält sich so:
Bei Clustern, für die der öffentliche Endpunkt aktiviert ist, wird durch Hinzufügen des Clusters die Clusteradresse in der KubeConfig auf die externe IP-Adresse eingestellt.
Bei Clustern, bei denen der öffentliche Endpunkt deaktiviert ist, wird durch das Hinzufügen des Clusters die Clusteradresse in der KubeConfig als die interne VPC-IP-Adresse des Clusters festgelegt.
Wenn Sie einem vorhandenen Cluster ein autorisiertes Netzwerk hinzufügen möchten, müssen Sie mit einem autorisierten Netzwerk verbunden sein, da für diesen Cluster autorisierte Netzwerke aktiviert sind.
Weitere Informationen zum Herstellen einer Verbindung zu VMs ohne externe IP-Adressen finden Sie unter Sichere Verbindung zu VM-Instanzen herstellen. Informationen zum Verwalten/Löschen von Instanzen, die Sie erstellt haben, finden Sie unter VM-Instanzen.
Damit die Verbindung zum privaten Cluster hergestellt werden kann, muss Cloud Code auf einem Rechner im Netzwerk des Clusters ausgeführt werden oder auf das Netzwerk des Clusters zugreifen können, zum Beispiel über einen Proxyserver, Cloud Interconnect oder Cloud VPN.
Eine schrittweise Anleitung zum Erstellen von GKE-Clustern in Cloud Code und zum Hinzufügen vorhandener GKE-Cluster zu Cloud Code finden Sie unter GKE-Cluster erstellen und konfigurieren. Cloud Code öffnet die Google Cloud Console, um den Cluster zu erstellen.
Nachdem Sie den Cluster erstellt haben, konfigurieren Sie Cloud NAT so, dass ausgehende Internetverbindungen von Ihrem Cluster ermöglicht werden, sofern dies nicht bei der Clustererstellung eingerichtet wurde. Informationen zum Verwalten oder Löschen der von Ihnen erstellten Netzwerke finden Sie unter VPC-Netzwerke.
Probleme beim Herstellen einer Verbindung zu privaten Clustern beheben
Wenn Ihre Entwicklungsumgebung nicht ordnungsgemäß für den Zugriff auf einen privaten Cluster konfiguriert ist, werden in den folgenden Kontexten Empfehlungen zur Lösung des Problems angezeigt:
Im maximierten Kubernetes Explorer werden Cluster, zu denen keine Verbindung über Cloud Code hergestellt werden kann, mit einem Fehlersymbol neben dem Clusternamen angezeigt. Klicken Sie auf den Clusternamen, um mögliche Problemumgehungen und eine ausführlichere Erklärung des potenziellen Problems aufzurufen.
Wenn Sie versuchen, Vorgänge in einem Cluster auszuführen, der aufgrund möglicher Probleme mit der Konfiguration des privaten Clusters nicht zugänglich ist, wird eine Fehlermeldung mit einer längeren Erläuterung des potenziellen Problems und möglichen Problemumgehungen angezeigt.
Proxyserver für einen Cluster konfigurieren
Wenn die Steuerungsebenen-API nicht öffentlich verfügbar ist, z. B. in einem GKE-Cluster mit deaktiviertem öffentlichen Endpunkt, können Sie Cloud Code so konfigurieren, dass Anfragen über einen Proxyserver im selben Netzwerk oder in derselben VPC wie der des Clusters an die Steuerungsebene weitergeleitet werden:
- Konfigurieren Sie einen Proxyserver im selben Netzwerk wie dem Ihres Clusters, wenn noch nicht geschehen. Eine Anleitung zum Einrichten einer Compute Engine-VM als einfachen Proxyserver finden Sie unter Remotezugriff auf private Cluster mithilfe eines Bastion Hosts ausführen. Weitere Informationen finden Sie unter Private Cluster in Google Kubernetes Engine mit Netzwerk-Proxys für Controller-Zugriff erstellen.
- Klicken Sie mit der rechten Maustaste auf den Namen eines Clusters, den Sie Cloud Code hinzugefügt haben, und klicken Sie dann auf Kubectl-Proxying für Cluster einrichten. Folgen Sie den Eingabeaufforderungen, um den Namen Ihres Proxyservers einzugeben, der im Feld
proxy-urldes Clusters gespeichert ist. Die Kubernetes-Ansicht wird neu geladen und zeigt den verbundenen Cluster an.
Kubernetes-Proxying abbrechen
Klicken Sie mit der rechten Maustaste auf den Namen eines Clusters, den Sie für Kubernetes-Proxys konfiguriert haben, und klicken Sie dann auf Kubectl-Proxying für Cluster abbrechen. Cloud Code beendet die Proxy-Weiterleitung von Anfragen für den Cluster, indem die Festlegung des Felds proxy-url in der KubeConfig aufgehoben wird.
Von Clustern auf Ressourcen außerhalb von Google Cloud zugreifen
Konfigurationen von privaten GKE-Clustern bieten keine Knoten mit Internetzugang. Dadurch können Cluster keine APIs im öffentlichen Internet erreichen. Cluster werden automatisch mit privatem Google-Zugriff konfiguriert, der Clustern beispielsweise ermöglicht, Images aus Artifact Registry oder Container Registry abzurufen. APIs und Image-Registries außerhalb von Google Cloud sind ohne zusätzliche Konfiguration, die ausgehende Internetverbindungen von den Knoten zulässt, nicht zugänglich. Zur Bereitstellung dieser Verbindungen können Sie Cloud NAT über Cloud Code in Ihrer VPC einrichten:
- Führen Sie den Befehl Private GKE-Knoten ausgehenden Internetzugriff gewähren aus. Klicken Sie dazu entweder mit der rechten Maustaste auf einen Cluster oder in der Befehlspalette (drücken Sie
Ctrl/Cmd+Shift+Poder klicken Sie auf Ansicht > Befehlspalette). - Bearbeiten Sie im Terminal die Befehle
gcloud compute routers createundgcloud beta compute routers nats create, um die Werte für Ihre Anwendung anzugeben. - Drücken Sie
Enter, um die Befehle auszuführen. - Informationen zum Verwalten oder Löschen der von Ihnen erstellten Router finden Sie unter Cloud Router.