Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sui cluster privati

Autopilot Standard

Questa pagina spiega come funzionano i cluster privati in Google Kubernetes Engine (GKE). Puoi anche scoprire come creare cluster privati.

I cluster privati utilizzano nodi che non hanno indirizzi IP esterni. Ciò significa che i client su internet non possono collegarsi agli indirizzi IP dei nodi. I cluster privati sono ideali per i carichi di lavoro che, ad esempio, richiedono l'accesso controllato a causa di normative sulla privacy e sulla sicurezza dei dati.

I cluster privati sono disponibili sia in modalità Standard che Autopilot.

Architettura dei cluster privati

A differenza di un cluster pubblico, un cluster privato ha sia un endpoint interno del piano di controllo sia un endpoint esterno del piano di controllo.

Il seguente diagramma fornisce una panoramica dell'architettura di un cluster privato:

Di seguito sono riportati i componenti principali di un cluster privato:

Control plane: il control plane ha sia un endpoint interno per la comunicazione interna del cluster sia un endpoint esterno. Puoi scegliere di disattivare l'endpoint esterno.
Nodi: i nodi utilizzano solo indirizzi IP interni, isolandosi dall'internet pubblico.
Rete VPC: si tratta di una rete virtuale in cui crei subnet con intervalli di indirizzi IP interni specifici per i nodi e i pod del cluster.
Accesso privato Google: questa opzione è attivata nella sottorete del cluster e consente ai nodi con indirizzi IP interni di raggiungere API e servizi Google Cloud essenziali senza bisogno di indirizzi IP pubblici. Ad esempio, l'accesso privato Google è necessario per consentire ai cluster privati di accedere alle immagini container da Artifact Registry e di inviare i log a Cloud Logging. L'accesso privato Google è abilitato per impostazione predefinita nei cluster privati, ad eccezione dei cluster VPC condiviso, che richiedono l'abilitazione manuale.

Il piano di controllo nei cluster privati

Ogni cluster GKE ha un server API Kubernetes gestito dal piano di controllo.

Il piano di controllo viene eseguito su una macchina virtuale (VM) che si trova in una rete VPC in un progetto gestito da Google. Un cluster a livello di regione include più repliche del piano di controllo, ciascuna in esecuzione su una propria VM.

Nei cluster privati, la rete VPC del control plane è collegata alla rete VPC del cluster tramite il peering di rete VPC. La rete VPC contiene i nodi del cluster e la rete VPC di Google Cloud gestita da Google contiene il piano di controllo del cluster.

Il traffico tra i nodi e il piano di controllo viene indirizzato interamente utilizzando indirizzi IP interni. Se utilizzi il peering di rete VPC per connettere la rete VPC del tuo cluster a una terza rete, quest'ultima non può raggiungere le risorse nella rete VPC del control plane. Questo perché il peering di rete VPC supporta solo la comunicazione tra reti in peering diretto e la terza rete non può essere in peering con la rete del piano di controllo. Per ulteriori informazioni, consulta Restrizioni del peering di rete VPC.

Endpoint in cluster privati

Il piano di controllo di un cluster privato ha un endpoint interno oltre a un endpoint esterno.

L'endpoint interno è un indirizzo IP interno nella rete VPC del control plane. In un cluster privato, i nodi comunicano sempre con l'endpoint interno del piano di controllo. A seconda della configurazione, puoi gestire il cluster con strumenti come kubectl che si connettono anche all'endpoint privato. Qualsiasi VM che utilizza la stessa subnet del tuo cluster privato può anche accedere all'endpoint interno.

L'endpoint esterno è l'indirizzo IP esterno del piano di controllo. Per impostazione predefinita, strumenti come kubectl comunicano con il control plane sul relativo endpoint esterno.

Opzioni per l'accesso agli endpoint del cluster

Puoi controllare l'accesso agli endpoint utilizzando una delle seguenti configurazioni:

Accesso all'endpoint esterno disabilitato: si tratta dell'opzione più sicura in quanto impedisce qualsiasi accesso a internet al piano di controllo. Questa è una buona scelta se hai configurato la tua rete on-premise per connetterti a Google Cloud utilizzando Cloud Interconnect o Cloud VPN.

Se disattivi l'accesso all'endpoint esterno, devi configurare le reti autorizzate per l'endpoint interno. In caso contrario, puoi connetterti all'endpoint interno solo dai nodi del cluster o dalle VM nella stessa subnet del cluster. Con questa impostazione, le reti autorizzate devono essere indirizzi IP interni.

Importante: anche se disattivi l'accesso all'endpoint esterno, Google può utilizzare l'endpoint esterno del piano di controllo per la gestione del cluster, ad esempio per la manutenzione pianificata e gli upgrade automatici del piano di controllo.
Accesso all'endpoint esterno abilitato, reti autorizzate abilitate: in questa configurazione, le reti autorizzate si applicano all'endpoint esterno del control plane. Questa è una buona scelta se devi amministrare il cluster da reti di origine non connesse alla rete VPC del cluster utilizzando Cloud Interconnect o Cloud VPN.
Accesso all'endpoint esterno abilitato, reti autorizzate disabilitate: si tratta dell'impostazione predefinita ed è anche l'opzione meno restrittiva. Poiché le reti autorizzate non sono abilitate, puoi amministrare il cluster da qualsiasi indirizzo IP di origine, a condizione che tu effettui l'autenticazione.

Riutilizzo del peering di rete VPC

I cluster privati creati dopo il 15 gennaio 2020 utilizzano una connessione di peering di rete VPC comune se si trovano nella stessa regione o zona Google Cloud e utilizzano la stessa rete VPC.

Per i cluster zonali: il primo cluster privato che crei in una zona genera una nuova connessione di peering di rete VPC alla rete VPC del cluster. I cluster privati a livello di zona aggiuntivi che crei nella stessa zona e nella stessa rete VPC utilizzano la stessa connessione di peering.
Per i cluster regionali: il primo cluster privato che crei in una regione genera una nuova connessione di peering di rete VPC alla rete VPC del cluster. Altri cluster privati regionali che crei nella stessa regione e nella stessa rete VPC utilizzano la stessa connessione di peering.

I cluster zonali e regionali utilizzano le proprie connessioni di peering, anche se si trovano nella stessa regione. Ad esempio:

Crea due o più cluster privati a livello di zona nella zona us-east1-b e configurali in modo da utilizzare la stessa rete VPC. Entrambi i cluster utilizzano la stessa connessione di peering.
Crea due o più cluster privati a livello di regione nella regione us-east1 e configurali in modo che utilizzino la stessa rete VPC dei cluster a livello di zona. Questi cluster regionali utilizzano la stessa connessione di peering di rete VPC tra di loro, ma avranno bisogno di una connessione di peering diversa per comunicare con i cluster zonali.

Tutti i cluster privati creati prima del 15 gennaio 2020 utilizzano una connessione di peering di rete VPC univoca. In altre parole, questi cluster non utilizzano la stessa connessione di peering con altri cluster zonali o regionali. Per abilitare il riutilizzo del peering di rete VPC su questi cluster, puoi eliminare un cluster e ricrearlo. L'upgrade di un cluster non comporta il riutilizzo di una connessione di peering di rete VPC esistente.

Per verificare se il tuo cluster privato utilizza una connessione di peering di rete VPC comune, consulta Verificare il riutilizzo del peering VPC.

Limitazioni

Ogni zona o regione può supportare un massimo di 75 cluster privati se per i cluster è abilitato il riutilizzo del peering di rete VPC.

Nota: per configurare più di 75 cluster privati per località, contatta il team di assistenza di Google Cloud. Questo vale solo se per i tuoi cluster è attivo il riutilizzo del peering di rete VPC.

Ad esempio, puoi creare fino a 75 cluster zonali privati in us-east1-b e altri 75 cluster regionali privati in us-east1. Questo vale anche se utilizzi cluster privati in una rete VPC condiviso.
Il numero massimo di connessioni a una singola rete VPC è 25, il che significa che puoi creare cluster privati utilizzando solo 25 località univoche.
Il riutilizzo del peering di rete VPC si applica solo ai cluster nella stessa località, ad esempio cluster regionali nella stessa regione o cluster zonali nella stessa zona. Puoi avere al massimo quattro peering di reti VPC per regione se crei sia cluster regionali che cluster zonali in tutte le zone della regione.
Per i cluster creati prima del 15 gennaio 2020, ogni rete VPC può essere collegata tramite peering a un massimo di altre 25 reti VPC, il che significa che per questi cluster esiste un limite massimo di 25 cluster privati per rete (supponendo che i peering non vengano utilizzati per altri scopi).