Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sui cluster privati

Autopilot Standard

Questa pagina spiega come funzionano i cluster privati in Google Kubernetes Engine (GKE). Puoi anche scoprire come creare cluster privati.

I cluster privati utilizzano nodi che non hanno indirizzi IP esterni. Ciò significa che i client su internet non possono connettersi agli indirizzi IP dei nodi. I cluster privati sono ideali per carichi di lavoro che, ad esempio, richiedono un accesso controllato a causa delle normative sulla privacy e sulla sicurezza dei dati.

I cluster privati sono disponibili in modalità Standard o Autopilot.

Architettura dei cluster privati

A differenza di un cluster pubblico, un cluster privato ha sia un endpoint interno del piano di controllo sia un endpoint esterno del piano di controllo.

Il seguente diagramma fornisce una panoramica dell'architettura per un cluster privato:

Di seguito sono riportati i componenti principali di un cluster privato:

Piano di controllo: il piano di controllo ha sia un endpoint interno per le comunicazioni con cluster interni sia un endpoint esterno. Puoi scegliere di disabilitare l'endpoint esterno.
Nodi: i nodi utilizzano solo gli indirizzi IP interni, isolandoli dalla rete internet pubblica.
Rete VPC: è una rete virtuale in cui crei subnet con intervalli di indirizzi IP interni specifici per nodi e pod del cluster.
Accesso privato Google: è abilitato sulla subnet del cluster e consente ai nodi con indirizzi IP interni di raggiungere le API e i servizi Google Cloud essenziali senza la necessità di indirizzi IP pubblici. Ad esempio, l'accesso privato Google è necessario affinché i cluster privati possano accedere alle immagini container da Artifact Registry e inviare i log a Cloud Logging. L'accesso privato Google è abilitato per impostazione predefinita nei cluster privati, ad eccezione dei cluster VPC condivisi, che richiedono l'abilitazione manuale.

Il piano di controllo nei cluster privati

Ogni cluster GKE dispone di un server API Kubernetes gestito dal piano di controllo.

Il piano di controllo viene eseguito su una macchina virtuale (VM) che si trova in una rete VPC in un progetto gestito da Google. Un cluster a livello di regione include più repliche del piano di controllo, ognuna delle quali viene eseguita sulla propria.

Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster tramite peering di rete VPC. La tua rete VPC contiene i nodi del cluster, mentre la rete VPC di Google Cloud gestita da Google contiene il piano di controllo del cluster.

Il traffico tra i nodi e il piano di controllo viene instradato interamente utilizzando indirizzi IP interni. Se utilizzi il peering di rete VPC per connettere la rete VPC del cluster a una terza rete, la terza rete non può raggiungere le risorse nella rete VPC del piano di controllo. Questo perché il peering di rete VPC supporta solo la comunicazione tra reti in peering diretto e la terza rete non può essere connessa in peering con la rete del piano di controllo. Per ulteriori informazioni, consulta Restrizioni del peering di rete VPC.

Endpoint nei cluster privati

Il piano di controllo per un cluster privato ha un endpoint interno oltre a un endpoint esterno.

L'endpoint interno è un indirizzo IP interno nella rete VPC del piano di controllo. In un cluster privato, i nodi comunicano sempre con l'endpoint interno del piano di controllo. A seconda della configurazione, puoi gestire il cluster anche con strumenti come kubectl che si connettono all'endpoint privato. Anche qualsiasi VM che utilizza la stessa subnet del cluster privato può accedere all'endpoint interno.

L'endpoint esterno è l'indirizzo IP esterno del piano di controllo. Per impostazione predefinita, strumenti come kubectl comunicano con il piano di controllo sul relativo endpoint esterno.

Opzioni per l'accesso agli endpoint del cluster

Puoi controllare l'accesso agli endpoint utilizzando una delle seguenti configurazioni:

Accesso esterno agli endpoint disabilitato: questa è l'opzione più sicura, in quanto impedisce qualsiasi accesso a internet al piano di controllo. Questa è una buona scelta se hai configurato la tua rete on-premise per la connessione a Google Cloud tramite Cloud Interconnect o Cloud VPN.

Se disabiliti l'accesso esterno agli endpoint, devi configurare le reti autorizzate per l'endpoint interno. Se non lo fai, puoi connetterti all'endpoint interno solo da nodi del cluster o VM nella stessa subnet del cluster. Con questa impostazione, le reti autorizzate devono essere indirizzi IP interni.

Importante: anche se disabiliti l'accesso all'endpoint esterno, Google può utilizzare l'endpoint esterno del piano di controllo per la gestione del cluster, ad esempio per la manutenzione pianificata e gli upgrade automatici del piano di controllo.
Accesso esterno agli endpoint abilitato, reti autorizzate abilitate: in questa configurazione, le reti autorizzate si applicano all'endpoint esterno del piano di controllo. Questa è una buona scelta se devi amministrare il cluster da reti di origine non connesse alla rete VPC del cluster tramite Cloud Interconnect o Cloud VPN.
Accesso esterno agli endpoint abilitato, reti autorizzate disattivate: questa è l'opzione predefinita ed è anche l'opzione meno restrittiva. Poiché le reti autorizzate non sono abilitate, puoi amministrare il cluster da qualsiasi indirizzo IP di origine, a condizione che tu esegua l'autenticazione.

Riutilizzo del peering di rete VPC

I cluster privati creati dopo il 15 gennaio 2020 utilizzano una connessione di peering di rete VPC comune se si trovano nella stessa zona o regione Google Cloud e utilizzano la stessa rete VPC.

Per i cluster di zona: il primo cluster privato che crei in una zona genera una nuova connessione in peering di rete VPC alla rete VPC del cluster. I cluster privati aggiuntivi a livello di zona che crei nella stessa zona e nella stessa rete VPC utilizzano la stessa connessione in peering.
Per i cluster a livello di regione: il primo cluster privato creato in una regione genera una nuova connessione di peering di rete VPC alla rete VPC del cluster. I cluster privati a livello di regione aggiuntivi che crei nella stessa regione e nella stessa rete VPC utilizzano la stessa connessione in peering.

I cluster a livello di zona e di regione utilizzano le proprie connessioni in peering, anche se si trovano nella stessa regione. Ad esempio:

Puoi creare due o più cluster privati a livello di zona nella zona us-east1-b e configurarli in modo che utilizzino la stessa rete VPC. Entrambi i cluster utilizzano la stessa connessione in peering.
Puoi creare due o più cluster privati a livello di regione nella regione us-east1 e configurarli in modo che utilizzino la stessa rete VPC dei cluster di zona. Questi cluster a livello di regione utilizzano tra loro la stessa connessione di peering di rete VPC, ma avranno bisogno di una connessione in peering diversa per comunicare con i cluster di zona.

Tutti i cluster privati creati prima del 15 gennaio 2020 utilizzano una connessione di peering di rete VPC univoca. In altre parole, questi cluster non utilizzano la stessa connessione in peering con altri cluster a livello di zona o di regione. Per abilitare il riutilizzo del peering di rete VPC su questi cluster, puoi eliminare un cluster e ricrearlo. L'upgrade di un cluster non causa il riutilizzo di una connessione di peering di rete VPC esistente.

Per verificare se il cluster privato utilizza una connessione di peering di rete VPC comune, consulta Verificare il riutilizzo del peering VPC.

Limitazioni

Ogni zona o regione può supportare un massimo di 75 cluster privati se nei cluster è abilitato il riutilizzo del peering di rete VPC.

Nota: per configurare più di 75 cluster privati per località, contatta il team di assistenza di Google Cloud. Ciò è applicabile solo se nei cluster è abilitato il riutilizzo del peering di rete VPC.

Ad esempio, puoi creare fino a 75 cluster di zona privati in us-east1-b e altri 75 cluster a livello di regione privati in us-east1. Questo vale anche se utilizzi cluster privati in una rete VPC condiviso.
Il numero massimo di connessioni a una singola rete VPC è 25, il che significa che puoi creare cluster privati utilizzando solo 25 località univoche.
Il riutilizzo del peering di rete VPC si applica solo ai cluster nella stessa località, ad esempio cluster a livello di regione nella stessa regione o cluster di zona nella stessa zona. Al massimo, puoi avere quattro peering di rete VPC per regione se crei cluster a livello di regione e cluster di zona in tutte le zone della regione.
Per i cluster creati prima del 15 gennaio 2020, ogni rete VPC può eseguire il peering con un massimo di altre 25 reti VPC, il che significa che per questi cluster esiste un limite di massimo 25 cluster privati per rete (supponendo che i peering non vengano utilizzati per altri scopi).