Google Distributed Cloud (GDC) air-gapped 通过 Google Kubernetes Engine (GKE) Enterprise 版提供托管式 Kubernetes 服务,让您能够使用业界标准 Kubernetes 方法来部署和运行容器工作负载。GKE on GDC 将 GKE Enterprise 的核心功能引入了断开连接的环境。随着时间的推移,GKE on GDC 将提供更多 GKE Enterprise 功能。
GKE on GDC 提供以下企业功能:
- 多集群生命周期管理
- 全面支持各种 Kubernetes 发行版
- 费用可见性
- 多团队管理
- 基于 GitOps 的配置管理
- 代管式服务网格
- 政策控制
所有这些功能均是 GKE on GDC 的标准配置,可用于通过受管理的 Kubernetes 服务创建的集群。
在本文档中,GDC 集群上的 GKE 称为 Kubernetes 集群或集群。
GDC 集群架构
Kubernetes 集群在逻辑上彼此分离,以提供不同的故障网域和隔离保证。在某些情况下,它们甚至在物理上是分开的。GDC 中的每个组织都有一组专用的 Kubernetes 集群。以下集群类型专门用于每个组织中的工作负载和服务:
- 组织基础架构集群:运行组织的控制平面和数据平面组件。它还托管管理 API 服务器,所有非容器工作负载和服务都部署在该服务器上。
- Kubernetes 集群:为组织运行基于容器的工作负载。工作器节点的数量取决于集群的利用率。您可以根据需求的变化进行扩缩。在 Distributed Cloud 中,Kubernetes 集群有时称为“用户集群”。
当您的基础设施运维人员 (IO) 创建组织时,GDC 会自动生成组织基础设施集群。组织基础架构集群的初始配置是在组织创建期间设置的。
作为管理员,您可以创建和管理 Kubernetes 集群。本部分主题介绍了 Kubernetes 集群的管理。您的容器化 Kubernetes 工作负载都在 Kubernetes 集群中运行。如需详细了解如何在 Kubernetes 集群中创建和管理容器,请参阅部署容器工作负载部分。
Kubernetes 集群由控制平面和称为“节点”的工作器机器组成。控制平面和节点构成 Kubernetes 集群编排系统。GKE on GDC 负责管理集群的整个底层基础设施,包括控制平面和所有系统组件。您需要负责管理运行容器化工作负载的工作器节点。
下图显示了 Kubernetes 集群的架构:
关于控制平面
控制平面运行 Kubernetes API 服务器、调度器和核心资源控制器等进程。GKE on GDC 管理从集群创建到删除的控制平面生命周期。其中包括对控制平面上运行的 Kubernetes 版本的升级。GDC 会自动执行这项升级工作,如果您希望在安排的自动升级时间之前进行升级,也可以请求手动执行。
控制平面和 Kubernetes API
控制平面是集群的统一端点。您可以通过 Kubernetes API 调用与控制平面进行交互。控制平面运行 Kubernetes API 服务器进程 (kube-apiserver) 以处理 API 请求。您可以通过以下方式调用 Kubernetes API:
- 直接调用:KRM
- 间接调用:Kubernetes 命令行客户端(例如
kubectl)或 GDC 控制台。
API 服务器进程是集群所有通信的中心。所有内部集群组件(如节点、系统进程和应用控制器)都充当 API 服务器的客户端。
您的 API 请求会告诉 Kubernetes 集群中对象的所选状态。Kubernetes 会尝试持续保持该状态。Kubernetes 支持您以命令方式或声明方式配置 API 中的对象。
工作器节点管理
控制平面会管理集群的所有节点上运行的内容。控制平面安排工作负载并管理工作负载的生命周期、扩缩和升级。此外,控制平面还会管理这些工作负载的网络和存储资源。控制平面和节点使用 Kubernetes API 相互通信。
节点简介
节点是运行容器化应用和其他工作负载的工作器机器。各个机器是 GKE on GDC 创建的虚拟机 (VM)。控制平面会管理和接收每个节点自行报告的状态更新。
节点运行支持容器(容器构成了集群的工作负载)所必需的服务。这些服务包括运行时和 Kubernetes 节点代理 (kubelet)。该节点代理会与控制平面通信,并负责启动和运行被调度到该节点上的容器。
GKE on GDC 还运行多个系统容器,这些容器作为每个节点的代理(称为 DaemonSet)运行,可提供日志收集和集群内网络连接等功能。
GKE on GDC 的限制
以下 GKE 功能是 GKE on GDC 的限制,无法使用:
- Connect 网关
- 关联多云集群
- Binary Authorization
- 多集群数据传入