Questa pagina spiega come funzionano i cluster privati in Google Kubernetes Engine (GKE). Tu possono anche imparare a per creare cluster privati.
Utilizzo dei cluster privati nodes che non che hanno un indirizzo IP esterno. Ciò significa che i client su internet non possono collegarsi agli indirizzi IP dei nodi. I cluster privati sono ideali per i carichi di lavoro che, ad esempio, richiedono l'accesso controllato a causa di normative sulla privacy e sulla sicurezza dei dati.
I cluster privati sono disponibili sia nella versione standard Autopilot.
Architettura dei cluster privati
A differenza di un cluster pubblico, un cluster privato ha sia un endpoint interno del piano di controllo sia un endpoint esterno del piano di controllo.
Il seguente diagramma fornisce una panoramica dell'architettura per un ambiente cluster:
Di seguito sono riportati i componenti principali di un cluster privato:
Piano di controllo: il piano di controllo ha sia un endpoint interno per la comunicazione tra il cluster e un endpoint esterno. Puoi scegliere di disattivare endpoint esterno.
Nodi: i nodi utilizzano solo gli indirizzi IP interni, isolandoli dalla tramite la rete internet pubblica.
Rete VPC: è una rete virtuale in cui crei subnet con intervalli di indirizzi IP interni specifici per i nodi del cluster e pod.
Accesso privato Google: questa opzione è attivata nella sottorete del cluster e consente ai nodi con indirizzi IP interni di raggiungere API e servizi Google Cloud essenziali senza bisogno di indirizzi IP pubblici. Ad esempio, l'accesso privato Google è necessario per consentire ai cluster privati di accedere alle immagini container da Artifact Registry e di inviare i log a Cloud Logging. L'accesso privato Google è abilitato per impostazione predefinita nei cluster privati, ad eccezione dei cluster VPC condiviso, che richiedono l'abilitazione manuale.
Il piano di controllo nei cluster privati
Ogni cluster GKE ha un server API Kubernetes gestito il controllo aereo.
Il piano di controllo viene eseguito su una macchina virtuale (VM) che si trova in un VPC in un progetto gestito da Google. Un cluster a livello di regione ha più repliche sul piano di controllo, ognuno dei quali viene eseguito sulla propria VM.
Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster Peering di rete VPC. Il tuo VPC che contiene i nodi del cluster e la rete Google La rete VPC contiene il piano di controllo del cluster.
Il traffico tra i nodi e il piano di controllo viene instradato interamente utilizzando l'IP interno indirizzi IP esterni. Se utilizzi il peering di rete VPC per connettere a una terza rete, quest'ultima non può raggiungere di risorse nella rete VPC del piano di controllo. Questo perché il peering di rete VPC supporta solo la comunicazione tra reti in peering diretto e la terza rete non può essere in peering con la rete del piano di controllo. Per ulteriori informazioni, vedi Restrizioni del peering di rete VPC.
Endpoint nei cluster privati
Il piano di controllo per un cluster privato ha un endpoint interno oltre endpoint esterno.
L'endpoint interno è un indirizzo IP interno nel campo
rete VPC. In un cluster privato, i nodi comunicano sempre con
l'endpoint interno del piano di controllo. A seconda della configurazione, puoi gestire il cluster con strumenti come kubectl
che si connettono anche all'endpoint privato. Qualsiasi VM che utilizza la stessa subnet del tuo cluster privato può anche accedere all'endpoint interno.
L'endpoint esterno è l'indirizzo IP esterno del piano di controllo. Per impostazione predefinita, strumenti come kubectl
comunicano con il control plane sul relativo endpoint esterno.
Opzioni per l'accesso agli endpoint del cluster
Puoi controllare l'accesso agli endpoint utilizzando una delle seguenti configurazioni:
Accesso all'endpoint esterno disabilitato: si tratta dell'opzione più sicura in quanto impedisce qualsiasi accesso a internet al piano di controllo. Questa è una buona scelta se hai configurato la tua rete on-premise per connetterti a Google Cloud utilizzando Cloud Interconnect o Cloud VPN.
Se disabiliti l'accesso esterno agli endpoint, devi configurare authorized reti per l'endpoint interno. In caso contrario, potrai connetterti solo al un endpoint interno dai nodi o dalle VM del cluster nella stessa subnet del cluster. Con questa impostazione, le reti autorizzate devono essere IP interni indirizzi IP.
Accesso all'endpoint esterno abilitato, reti autorizzate abilitate: in questa configurazione, le reti autorizzate si applicano all'endpoint esterno del control plane. Questa è una buona scelta se devi amministrare il cluster da reti di origine non connesse alla rete VPC del cluster utilizzando Cloud Interconnect o Cloud VPN.
Accesso esterno agli endpoint abilitato, reti autorizzate disattivate: Questa è l'opzione predefinita ed è anche l'opzione meno restrittiva. Dall'autorizzazione non sono abilitate, puoi amministrare il cluster da qualsiasi all'indirizzo IP di origine, purché tu esegua l'autenticazione.
Riutilizzo del peering di rete VPC
I cluster privati creati dopo il 15 gennaio 2020 utilizzano un'istanza Connessione in peering di rete VPC se i cluster si trovano negli stessi zona o regione Google Cloud e utilizza la stessa rete VPC.
Per i cluster di zona: il primo cluster privato che crei in una zona genera una nuova connessione in peering di rete VPC al VPC del cluster in ogni rete. Cluster privati a livello di zona aggiuntivi che crei nella stessa zona e la rete VPC usano la stessa connessione in peering.
Per i cluster regionali: il primo cluster privato che crei in una regione genera una nuova connessione di peering di rete VPC alla rete VPC del cluster. Ulteriori cluster privati a livello di regione nella stessa regione e nella stessa rete VPC usano lo stesso connessione.
I cluster a livello di zona e di regione utilizzano le proprie connessioni in peering, anche se si trovano nella stessa regione. Ad esempio:
Creerai due o più cluster privati a livello di zona nella zona
us-east1-b
e configurarli affinché utilizzino lo stesso rete VPC. Entrambi i cluster utilizzano la stessa connessione di peering.Crea due o più cluster privati a livello di regione nella regione
us-east1
e configurali in modo che utilizzino la stessa rete VPC dei cluster a livello di zona. Questi cluster regionali utilizzano la stessa connessione di peering di rete VPC tra di loro, ma avranno bisogno di una connessione di peering diversa per comunicare con i cluster zonali.
Tutti i cluster privati creati prima del 15 gennaio 2020 utilizzano una connessione di peering di rete VPC univoca. In altre parole, questi cluster non utilizzano la stessa connessione in peering con altri cluster a livello di zona o di regione. Per attivare Riutilizzo del peering di rete VPC su questi cluster, puoi eliminare un cluster ricrearlo. L'upgrade di un cluster non comporta il riutilizzo di una connessione di peering di rete VPC esistente.
Per verificare se il tuo cluster privato utilizza una connessione di peering di rete VPC comune, consulta Verificare il riutilizzo del peering VPC.
Limitazioni
Ogni zona o regione può supportare un massimo di 75 cluster privati se per i cluster è abilitato il riutilizzo del peering di rete VPC.
Ad esempio, puoi creare fino a 75 cluster di zona privati in
us-east1-b
e e altri 75 cluster a livello di regione privati inus-east1
. Lo stesso vale anche se utilizzando cluster privati in una rete VPC condiviso.Il numero massimo di connessioni a una singola rete VPC è 25, il che significa che puoi creare cluster privati utilizzando solo 25 località univoche.
Il riutilizzo del peering di rete VPC si applica solo ai cluster nella stessa località, ad esempio cluster regionali nella stessa regione o cluster zonali nella stessa zona. Puoi avere al massimo quattro peering di rete VPC per regione se crei sia cluster regionali che cluster zonali in tutte le zone della regione.
Per i cluster creati prima del 15 gennaio 2020, ogni rete VPC può eseguire il peering con un massimo di 25 altre reti VPC, il che significa che per questi esiste un limite di massimo 25 cluster privati per rete (supponendo che i peering non vengono usati per altri scopi).
Passaggi successivi
- Leggi la panoramica della rete GKE.
- Scopri come creare un cluster privato.
- Scopri come creare cluster nativi di VPC.
- Scopri come eseguire il deployment di un'applicazione Windows in un cluster privato.
- Scopri di più sul peering VPC.