À propos des clusters privés

Autopilot Standard

Cette page explique comment fonctionnent les clusters privés dans Google Kubernetes Engine (GKE). Vous pouvez également apprendre à créer des clusters privés.

Les clusters privés utilisent des nœuds qui ne possèdent pas d'adresse IP externe. Cela signifie que les clients sur Internet ne peuvent pas se connecter aux adresses IP des nœuds. Les clusters privés sont parfaits pour les charges de travail qui, par exemple, nécessitent un accès contrôlé en raison des réglementations de sécurité et de confidentialité des données.

Les clusters privés sont disponibles en mode Standard ou Autopilot.

Architecture des clusters privés

Contrairement à un cluster public, un cluster privé possède à la fois un point de terminaison interne du plan de contrôle et un point de terminaison externe du plan de contrôle.

Le schéma suivant présente l'architecture d'un cluster privé :

Voici les principaux composants d'un cluster privé :

Plan de contrôle : le plan de contrôle possède à la fois un point de terminaison interne pour la communication interne du cluster et un point de terminaison externe. Vous pouvez choisir de désactiver le point de terminaison externe.
Nœuds : les nœuds n'utilisent que des adresses IP internes, ce qui les isole de l'Internet public.
Réseau VPC : il s'agit d'un réseau virtuel dans lequel vous créez des sous-réseaux avec des plages d'adresses IP internes spécifiques aux nœuds et aux pods du cluster.
Accès privé à Google : cette fonctionnalité est activée sur le sous-réseau du cluster et permet aux nœuds disposant d'adresses IP internes d'accéder aux API et services Google Cloud essentiels sans nécessiter d'adresses IP publiques. Par exemple, l'accès privé à Google est requis pour que les clusters privés puissent accéder aux images de conteneur d'Artifact Registry et envoyer des journaux à Cloud Logging. L'accès privé à Google est activé par défaut dans les clusters privés, sauf pour les clusters de VPC partagé qui nécessitent une activation manuelle.

Plan de contrôle des clusters privés

Chaque cluster GKE dispose d'un serveur d'API Kubernetes géré par le plan de contrôle.

Ce plan de contrôle s'exécute sur une machine virtuelle (VM) située dans un réseau VPC d'un projet géré par Google. Un cluster régional comporte plusieurs instances dupliquées du plan de contrôle, chacune s'exécutant sur sa propre VM.

Dans les clusters privés, le réseau VPC du plan de contrôle est connecté au réseau VPC de votre cluster via l'appairage de réseaux VPC. Votre réseau VPC contient les nœuds du cluster, et le plan de contrôle du cluster se trouve dans un réseau VPC Google Cloud géré par Google.

Le trafic entre les nœuds et le plan de contrôle est entièrement routé à l'aide d'adresses IP internes. Si vous utilisez l'appairage de réseaux VPC pour connecter le réseau VPC de votre cluster à un troisième réseau, celui-ci ne peut pas accéder aux ressources du réseau VPC du plan de contrôle. En effet, l'appairage de réseaux VPC n'accepte que la communication entre les réseaux directement appairés et le troisième réseau ne peut pas être appairé au réseau du plan de contrôle. Pour en savoir plus, consultez la section Restrictions de l'appairage de réseaux VPC.

Points de terminaison dans les clusters privés

Le plan de contrôle d'un cluster privé possède un point de terminaison interne en plus d'un point de terminaison externe.

Le point de terminaison interne est une adresse IP interne dans le réseau VPC du plan de contrôle. Dans un cluster privé, les nœuds communiquent toujours avec le point de terminaison interne du plan de contrôle. En fonction de votre configuration, vous pouvez gérer le cluster avec des outils tels que kubectl, qui se connectent également au point de terminaison privé. Toute VM qui utilise le même sous-réseau que votre cluster privé peut également accéder au point de terminaison interne.

Le point de terminaison externe est l'adresse IP externe du plan de contrôle. Par défaut, des outils tels que kubectl communiquent avec le plan de contrôle sur son point de terminaison externe.

Options d'accès aux points de terminaison du cluster

Vous pouvez contrôler l'accès aux points de terminaison à l'aide de l'une des configurations suivantes :

Accès au point de terminaison externe désactivé : il s'agit de l'option la plus sécurisée, car elle empêche tout accès Internet au plan de contrôle. C'est un bon choix si vous avez configuré votre réseau sur site pour une connexion à Google Cloud via Cloud Interconnect ou Cloud VPN.

Si vous désactivez l'accès au point de terminaison externe, vous devez configurer des réseaux autorisés pour le point de terminaison interne. Si vous ne les configurez pas, vous ne pouvez vous connecter au point de terminaison interne que depuis des nœuds de cluster ou des VM appartenant au même sous-réseau que le cluster. Avec ce paramètre, les réseaux autorisés doivent être des adresses IP internes.
Important : Même si vous désactivez l'accès au point de terminaison externe, Google peut utiliser le point de terminaison externe du plan de contrôle à des fins de gestion du cluster, telles que la maintenance planifiée et les mises à niveau automatiques du plan de contrôle.
Accès au point de terminaison externe activé, réseaux autorisés activés : dans cette configuration, les réseaux autorisés s'appliquent au point de terminaison externe du plan de contrôle. Cette option est idéale si vous devez administrer le cluster à partir de réseaux sources non connectés au réseau VPC de votre cluster à l'aide de Cloud Interconnect ou de Cloud VPN.
Accès au point de terminaison externe activé, réseaux autorisés désactivés : il s'agit de l'option par défaut, qui est également la moins restrictive. Puisque les réseaux autorisés ne sont pas activés, vous pouvez administrer votre cluster à partir de n'importe quelle adresse IP source, à condition de vous authentifier.

Réutilisation de l'appairage de réseaux VPC

Les clusters privés créés après le 15 janvier 2020 utilisent une connexion d'appairage de réseaux VPC commune si les clusters se trouvent dans la même zone ou région Google Cloud et utilisent le même réseau VPC.

Pour les clusters zonaux : le premier cluster privé que vous créez dans une zone génère une connexion d'appairage de réseaux VPC au réseau VPC du cluster. Les autres clusters privés zonaux que vous créez dans la même zone et le réseau VPC utilisent la même connexion d'appairage.
Pour les clusters régionaux : le premier cluster privé que vous créez dans une région génère une connexion d'appairage de réseaux VPC au réseau VPC du cluster. Les autres clusters privés régionaux que vous créez dans la même région et le réseau VPC utilisent la même connexion d'appairage.

Les clusters zonaux et régionaux utilisent leurs propres connexions d'appairage, même s'ils se trouvent dans la même région. Exemple :

Vous créez au moins deux clusters privés zonaux dans la zone us-east1-b et vous les configurez pour qu'ils utilisent le même réseau VPC. Les deux clusters utilisent la même connexion d'appairage.
Vous créez au moins deux clusters privés régionaux dans la région us-east1 et vous les configurez pour utiliser le même réseau VPC que les clusters zonaux. Ces clusters régionaux utilisent la même connexion d'appairage de réseaux VPC, mais auront besoin d'une connexion d'appairage différente pour communiquer avec les clusters zonaux.

Tous les clusters privés créés avant le 15 janvier 2020 utilisent une connexion d'appairage de réseaux VPC unique. En d'autres termes, ces clusters n'utilisent pas la même connexion d'appairage avec d'autres clusters zonaux ou régionaux. Pour activer la réutilisation de l'appairage de réseaux VPC sur ces clusters, vous pouvez supprimer un cluster et le recréer. La mise à niveau d'un cluster ne lui permet pas de réutiliser une connexion d'appairage de réseaux VPC existante.

Pour vérifier si votre cluster privé utilise une connexion d'appairage de réseaux VPC commune, consultez la section Vérifier la réutilisation de l'appairage de VPC.

Restrictions

Chaque zone ou région peut accepter jusqu'à 75 clusters privés, à condition qu'ils soient compatibles avec la réutilisation de l'appairage de réseaux VPC.

Remarque : Pour configurer plus de 75 clusters privés par emplacement, contactez l'équipe d'assistance Google Cloud. Ceci n'est applicable que si la réutilisation de l'appairage de réseaux VPC est activée sur vos clusters.

Par exemple, vous pouvez créer jusqu'à 75 clusters zonaux privés dans la zone us-east1-a et 75 clusters régionaux privés dans la zone us-east1. Cela s'applique également si vous utilisez des clusters privés dans un réseau VPC partagé.
Le nombre maximal de connexions à un seul réseau VPC est de 25. Vous ne pouvez donc créer des clusters privés que pour 25 emplacements uniques.
La réutilisation de l'appairage de réseaux VPC ne s'applique qu'aux clusters situés au même emplacement, par exemple dans les clusters régionaux de la même région ou dans les clusters zonaux de la même zone. Vous pouvez disposer au maximum de quatre appairages de réseaux VPC par région si vous créez à la fois des clusters régionaux et des clusters zonaux dans toutes les zones de cette région.
Pour les clusters créés avant le 15 janvier 2020, chaque réseau VPC peut appairer jusqu'à 25 autres réseaux VPC, ce qui signifie que pour ces clusters, la limite est de 25 clusters privés au maximum par réseau (en supposant que les appairages ne sont pas utilisés à d'autres fins).