Halaman ini diterjemahkan oleh Cloud Translation API.

Tentang cluster pribadi

Autopilot Standard

Halaman ini menjelaskan cara kerja cluster pribadi di Google Kubernetes Engine (GKE). Anda juga dapat mempelajari cara membuat cluster pribadi.

Cluster pribadi menggunakan node yang tidak memiliki alamat IP eksternal. Artinya, klien di internet tidak dapat terhubung ke alamat IP node. Cluster pribadi ideal untuk workload yang—misalnya—memerlukan akses terkontrol karena peraturan keamanan dan privasi data.

Cluster pribadi tersedia dalam mode Standard atau Autopilot.

Arsitektur cluster pribadi

Tidak seperti cluster publik, cluster pribadi memiliki endpoint internal bidang kontrol dan endpoint eksternal bidang kontrol.

Diagram berikut memberikan ringkasan arsitektur untuk cluster pribadi:

Berikut adalah komponen inti cluster pribadi:

Bidang kontrol: Bidang kontrol memiliki endpoint internal untuk komunikasi cluster internal dan endpoint eksternal. Anda dapat memilih untuk menonaktifkan endpoint eksternal.
Node: Node hanya menggunakan alamat IP internal, yang mengisolasinya dari internet publik.
Jaringan VPC: Ini adalah jaringan virtual tempat Anda membuat subnet dengan rentang alamat IP internal khusus untuk node dan Pod cluster.
Akses Google Pribadi: Fitur ini diaktifkan di subnet cluster dan memungkinkan node dengan alamat IP internal menjangkau API dan layanan Google Cloud penting tanpa memerlukan alamat IP publik. Misalnya, Akses Google Pribadi diperlukan bagi cluster pribadi untuk mengakses image container dari Artifact Registry dan untuk mengirim log ke Cloud Logging. Akses Google Pribadi diaktifkan secara default di cluster pribadi, kecuali untuk cluster VPC Bersama, yang memerlukan pengaktifan manual.

Bidang kontrol dalam cluster pribadi

Setiap cluster GKE memiliki server Kubernetes API yang dikelola oleh bidang kontrol.

Bidang kontrol berjalan di virtual machine (VM) yang berada di Jaringan VPC dalam project yang dikelola Google. Cluster regional memiliki beberapa replika bidang kontrol, yang masing-masing berjalan di VM-nya sendiri.

Dalam cluster pribadi, jaringan VPC bidang kontrol terhubung ke jaringan VPC cluster Anda dengan Peering Jaringan VPC. Jaringan VPC berisi node cluster, dan Jaringan VPC Google Cloud yang dikelola Google berisi bidang kontrol cluster.

Traffic antara node dan bidang kontrol dirutekan sepenuhnya menggunakan alamat IP internal. Jika Anda menggunakan Peering Jaringan VPC untuk menghubungkan jaringan VPC cluster ke jaringan ketiga, jaringan ketiga tidak dapat menjangkau resource di Jaringan VPC bidang kontrol. Hal ini karena Peering Jaringan VPC hanya mendukung komunikasi antara jaringan yang di-peering langsung, dan jaringan ketiga tidak dapat di-peering dengan jaringan bidang kontrol. Untuk mengetahui informasi selengkapnya, lihat Pembatasan Peering Jaringan VPC.

Endpoint dalam cluster pribadi

Bidang kontrol untuk cluster pribadi memiliki endpoint internal selain endpoint eksternal.

Endpoint internal adalah alamat IP internal di jaringan VPC bidang kontrol. Dalam cluster pribadi, node selalu berkomunikasi dengan endpoint internal bidang kontrol. Bergantung pada konfigurasinya, Anda dapat mengelola cluster dengan alat seperti kubectl yang juga terhubung ke endpoint pribadi. Setiap VM yang menggunakan subnet yang sama dengan cluster pribadi Anda juga dapat mengakses endpoint internal.

Endpoint eksternal adalah alamat IP eksternal bidang kontrol. Secara default, alat seperti kubectl berkomunikasi dengan bidang kontrol pada endpoint eksternalnya.

Opsi untuk akses ke endpoint cluster

Anda dapat mengontrol akses ke endpoint menggunakan salah satu konfigurasi berikut:

Akses endpoint eksternal dinonaktifkan: Ini adalah opsi yang paling aman karena mencegah semua akses internet ke bidang kontrol. Ini adalah pilihan yang bagus jika Anda telah mengonfigurasi jaringan lokal untuk terhubung ke Google Cloud menggunakan Cloud Interconnect atau Cloud VPN.

Jika akses endpoint eksternal dinonaktifkan, Anda harus mengonfigurasi jaringan yang diizinkan untuk endpoint internal. Jika tidak melakukannya, Anda hanya dapat terhubung ke endpoint internal dari node cluster atau VM di subnet yang sama dengan cluster. Dengan setelan ini, jaringan yang diizinkan harus berupa alamat IP internal.

Penting: Meskipun Anda menonaktifkan akses ke endpoint eksternal, Google dapat menggunakan endpoint eksternal bidang kontrol untuk tujuan pengelolaan cluster, seperti pemeliharaan terjadwal dan upgrade bidang kontrol otomatis.
Akses endpoint eksternal diaktifkan, jaringan yang diizinkan diaktifkan: Dalam konfigurasi ini, jaringan yang diizinkan berlaku untuk endpoint eksternal bidang kontrol. Ini adalah pilihan yang tepat jika Anda perlu mengelola cluster dari jaringan sumber yang tidak terhubung ke Jaringan VPC cluster Anda menggunakan Cloud Interconnect atau Cloud VPN.
Akses endpoint eksternal diaktifkan, jaringan yang diizinkan dinonaktifkan: Ini adalah setelan default dan juga merupakan opsi yang paling sedikit batasannya. Karena jaringan yang diizinkan tidak diaktifkan, Anda dapat mengelola cluster dari alamat IP sumber mana pun selama Anda melakukan autentikasi.

Penggunaan ulang Peering Jaringan VPC

Cluster pribadi yang dibuat setelah 15 Januari 2020 menggunakan koneksi Peering Jaringan VPC umum jika cluster berada di zona atau region Google Cloud yang sama dan menggunakan Jaringan VPC yang sama.

Untuk cluster zona: Cluster pribadi pertama yang Anda buat di zona menghasilkan koneksi Peering Jaringan VPC baru ke jaringan VPC cluster. Cluster pribadi zona tambahan yang Anda buat di zona dan Jaringan VPC yang sama menggunakan koneksi peering yang sama.
Untuk cluster regional: Cluster pribadi pertama yang Anda buat di suatu region akan menghasilkan koneksi Peering Jaringan VPC baru ke Jaringan VPC cluster. Cluster pribadi regional tambahan yang Anda buat di region dan Jaringan VPC yang sama menggunakan koneksi peering yang sama.

Cluster zona dan regional menggunakan koneksi peering mereka sendiri, meskipun berada di region yang sama. Contoh:

Anda membuat dua atau beberapa cluster pribadi zona di zona us-east1-b dan mengonfigurasinya untuk menggunakan Jaringan VPC yang sama. Kedua cluster tersebut menggunakan koneksi peering yang sama.
Anda membuat dua atau beberapa cluster pribadi regional di region us-east1 dan mengonfigurasinya untuk menggunakan jaringan VPC yang sama dengan cluster zona. Cluster regional ini menggunakan koneksi Peering Jaringan VPC yang sama satu sama lain, tetapi akan memerlukan koneksi peering yang berbeda untuk berkomunikasi dengan cluster zona.

Semua cluster pribadi yang dibuat sebelum 15 Januari 2020 menggunakan koneksi Peering Jaringan VPC yang unik. Dengan kata lain, cluster ini tidak menggunakan koneksi peering yang sama dengan cluster zona atau regional lainnya. Untuk mengaktifkan penggunaan ulang Peering Jaringan VPC pada cluster ini, Anda dapat menghapus cluster dan membuatnya kembali. Mengupgrade cluster tidak menyebabkan cluster tersebut menggunakan kembali koneksi Peering Jaringan VPC yang ada.

Untuk memeriksa apakah cluster pribadi Anda menggunakan koneksi Peering Jaringan VPC umum, lihat Memverifikasi penggunaan ulang peering VPC.

Pembatasan

Setiap zona atau region dapat mendukung maksimum 75 cluster pribadi jika cluster mengaktifkan penggunaan ulang Peering Jaringan VPC.

Catatan: Untuk mengonfigurasi lebih dari 75 cluster pribadi per lokasi, hubungi tim dukungan Google Cloud. Hal ini hanya berlaku jika cluster Anda telah mengaktifkan penggunaan ulang Peering Jaringan VPC.

Misalnya, Anda dapat membuat hingga 75 cluster zona pribadi di us-east1-b dan 75 cluster regional pribadi lainnya di us-east1. Hal ini juga berlaku jika Anda menggunakan cluster pribadi di jaringan VPC Bersama.
Jumlah maksimum koneksi ke satu jaringan VPC adalah 25, yang berarti Anda hanya dapat membuat cluster pribadi menggunakan 25 lokasi unik.
Penggunaan ulang Peering Jaringan VPC hanya berlaku untuk cluster di lokasi yang sama, misalnya cluster regional di cluster zona atau region yang sama di zona yang sama. Anda dapat memiliki maksimum empat Peering Jaringan VPC per region jika membuat cluster regional dan cluster zona di semua zona pada region tersebut.
Untuk cluster yang dibuat sebelum 15 Januari 2020, setiap jaringan VPC dapat melakukan peering dengan hingga 25 jaringan VPC lain, yang berarti untuk cluster ini ada batas maksimal 25 cluster pribadi per jaringan (dengan asumsi peering tidak digunakan untuk tujuan lain).