Ein privater Cluster ist ein VPC-nativer Cluster (Virtual Private Cloud), der nur von internen IP-Adressen abhängig ist. Dies bedeutet, dass Knoten und Pods standardmäßig vom Internet isoliert sind. Auf dieser Seite wird erläutert, wie Sie mit Cloud Code eine Verbindung zu privaten Clustern mit und ohne Zugriff auf öffentliche Endpunkte herstellen und privaten Clustern den Zugriff auf Ressourcen von außerhalb von Google Cloud ermöglichen.
Informationen zu privaten Clustern finden Sie unter Private Cluster. Eine Anleitung zum Konfigurieren privater Cluster finden Sie unter Privaten Cluster erstellen.
Privaten GKE-Cluster zu KubeConfig hinzufügen
Das Hinzufügen eines privaten Clusters in Cloud Code verhält sich so:
Bei Clustern, für die der öffentliche Endpunkt aktiviert ist, wird durch Hinzufügen des Clusters die Clusteradresse in der KubeConfig auf die externe IP-Adresse eingestellt.
Bei Clustern mit deaktiviertem öffentlichen Endpunkt wird durch Hinzufügen des Clusters die Clusteradresse in KubeConfig als interne VPC-IP-Adresse des Clusters festgelegt.
Damit Sie einem vorhandenen Cluster ein autorisiertes Netzwerk hinzufügen können, müssen Sie mit einem autorisierten Netzwerk verbunden sein, da für diesen Cluster autorisierte Netzwerke aktiviert sind.
Weitere Informationen zum Herstellen einer Verbindung zu VMs ohne externe IP-Adressen finden Sie unter Sichere Verbindung zu VM-Instanzen herstellen. Informationen zum Verwalten/Löschen der von Ihnen erstellten Instanzen finden Sie unter VM-Instanzen.
Damit die Verbindung zum privaten Cluster hergestellt werden kann, muss Cloud Code auf einem Rechner im Netzwerk des Clusters ausgeführt werden oder auf das Netzwerk des Clusters zugreifen können, zum Beispiel über einen Proxyserver, Cloud Interconnect oder Cloud VPN.
Eine schrittweise Anleitung zum Erstellen von GKE-Clustern in Cloud Code und zum Hinzufügen vorhandener GKE-Cluster zu Cloud Code finden Sie unter GKE-Cluster erstellen und konfigurieren. Cloud Code öffnet die Google Cloud Console, um den Cluster zu erstellen.
Nachdem Sie den Cluster erstellt haben, konfigurieren Sie Cloud NAT, um ausgehende Internetverbindungen von Ihrem Cluster zu aktivieren, wenn dies nicht bei der Erstellung des Clusters eingerichtet wurde. Informationen zum Verwalten/Löschen der von Ihnen erstellten Netzwerke finden Sie unter VPC-Netzwerke.
Probleme beim Herstellen einer Verbindung zu privaten Clustern beheben
Wenn Ihre Entwicklungsumgebung nicht ordnungsgemäß für den Zugriff auf einen privaten Cluster konfiguriert ist, werden in den folgenden Kontexten Empfehlungen zur Lösung des Problems angezeigt:
Im erweiterten Bereich Kubernetes werden Cluster, zu denen Cloud Code keine Verbindung herstellen kann, mit einem Fehlersymbol neben dem Clusternamen angezeigt. Klicken Sie auf den Clusternamen, um mögliche Problemumgehungen und eine ausführlichere Erklärung des potenziellen Problems aufzurufen.
Wenn Sie versuchen, Vorgänge in einem Cluster auszuführen, der aufgrund möglicher Probleme mit der Konfiguration des privaten Clusters nicht zugänglich ist, wird eine Fehlermeldung mit einer längeren Erläuterung des potenziellen Problems und möglichen Problemumgehungen angezeigt.
Proxyserver für einen Cluster konfigurieren
Wenn die Steuerungsebenen-API nicht öffentlich verfügbar ist, z. B. in einem GKE-Cluster mit deaktiviertem öffentlichen Endpunkt, können Sie Cloud Code so konfigurieren, dass Anfragen über einen Proxyserver im selben Netzwerk oder in derselben VPC wie der des Clusters an die Steuerungsebene weitergeleitet werden:
- Konfigurieren Sie einen Proxyserver im selben Netzwerk wie dem Ihres Clusters, wenn noch nicht geschehen. Eine Anleitung zum Einrichten einer Compute Engine-VM als einfachen Proxyserver finden Sie unter Remotezugriff auf einen privaten Cluster mithilfe eines Bastion Hosts. Weitere Informationen finden Sie unter Private Google Kubernetes Engine-Cluster mit Netzwerk-Proxys für Controllerzugriff erstellen.
- Klicken Sie mit der rechten Maustaste auf den Namen eines Clusters, den Sie Cloud Code hinzugefügt haben, und klicken Sie dann auf Kubernetes-Proxying für Cluster einrichten. Folgen Sie den Eingabeaufforderungen, um den Namen Ihres Proxyservers einzugeben, der im Feld
proxy-urldes Clusters gespeichert ist. Die Kubernetes-Ansicht wird neu geladen, um den verbundenen Cluster anzuzeigen.
Kubernetes-Proxying abbrechen
Klicken Sie mit der rechten Maustaste auf den Namen des Clusters, den Sie für die Kubernetes-Proxys konfiguriert haben, und klicken Sie dann auf Cancel Kubectl Proxying for cluster. Cloud Code beendet die Proxy-Weiterleitung von Anfragen für den Cluster, indem die Festlegung des Felds proxy-url in der KubeConfig aufgehoben wird.
Über Cluster auf Ressourcen außerhalb von Google Cloud zugreifen
Konfigurationen von privaten GKE-Clustern bieten keine Knoten mit Internetzugang. Dadurch können Cluster keine APIs im öffentlichen Internet erreichen. Cluster werden automatisch mit privatem Google-Zugriff konfiguriert, der Clustern beispielsweise ermöglicht, Images aus Artifact Registry oder Container Registry abzurufen. APIs und Image-Registries außerhalb von Google Cloud sind ohne zusätzliche Konfiguration, die ausgehende Internetverbindungen von den Knoten zulässt, nicht zugänglich. Zur Bereitstellung dieser Verbindungen können Sie Cloud NAT über Cloud Code in Ihrer VPC einrichten:
- Führen Sie den Befehl Privaten GKE-Knoten ausgehenden Internetzugriff gewähren aus. Klicken Sie dazu entweder mit der rechten Maustaste auf einen Cluster oder über die Befehlspalette (drücken Sie
Ctrl/Cmd+Shift+Poder klicken Sie auf Ansicht > Befehlspalette). - Bearbeiten Sie im Terminal die Befehle
gcloud compute routers createundgcloud beta compute routers nats create, um die Werte für Ihre Anwendung anzugeben. - Drücken Sie
Enter, um die Befehle auszuführen. - Informationen zum Verwalten/Löschen der von Ihnen erstellten Router finden Sie unter Cloud Router.
Nächste Schritte
- Weitere Informationen zu freigegebenen Virtual Private Cloud-Netzwerken