En esta página se explica cómo funcionan los clústeres privados en Google Kubernetes Engine (GKE). También puedes aprender a crear clústeres privados.
Los clústeres privados usan nodos que no tienen direcciones IP externas. Esto significa que los clientes en Internet no se pueden conectar a las direcciones IP de los nodos. Los clústeres privados son ideales para cargas de trabajo que, por ejemplo, requieren acceso controlado debido a las regulaciones de seguridad y privacidad de los datos.
Los clústeres privados están disponibles en modo Standard o Autopilot.
Arquitectura de clústeres privados
A diferencia de un clúster público, un clúster privado tiene un extremo interno del plano de control y un extremo interno del plano de control.
En el siguiente diagrama, se proporciona una descripción general de la arquitectura de un clúster privado:
Los siguientes son los componentes principales de un clúster privado:
Plano de control: El plano de control tiene un extremo interno para la comunicación interna del clúster y un extremo externo. Puedes inhabilitar el extremo externo.
Nodos: Los nodos solo usan direcciones IP internas, que las aíslan de el Internet público.
Red de VPC: Esta es una red virtual en la que creas subredes con rangos de direcciones IP internas específicamente para los nodos y Pods del clúster.
Acceso privado a Google: Esto está habilitado en la subred del clúster y permite que los nodos con direcciones IP internas lleguen a las APIs y los servicios esenciales de Google Cloud sin necesidad de direcciones IP públicas. Por ejemplo, el Acceso privado a Google es obligatorio para que los clústeres privados accedan a las imágenes de contenedor de Artifact Registry y envíen registros a Cloud Logging. El Acceso privado a Google está habilitado de forma predeterminada en los clústeres privados, excepto en los clústeres de VPC compartida, que requieren habilitación manual.
El plano de control en clústeres privados
Cada clúster de GKE tiene un servidor de la API de Kubernetes que administra el plano de control.
El plano de control se ejecuta en una máquina virtual (VM) que está en una red de VPC en un proyecto propiedad de Google. Un clúster regional tiene varias réplicas del plano de control, cada una de las cuales se ejecuta en su propia VM.
En clústeres privados, la red de VPC del plano de control se conecta a la red de VPC de tu clúster con el intercambio de tráfico entre redes de VPC. Tu red de VPC contiene los nodos del clúster, y la red de VPC de Google Cloud, que es propiedad de Google, contiene el plano de control del clúster.
El tráfico entre los nodos y el plano de control se enruta por completo mediante direcciones IP internas. Si usas el intercambio de tráfico entre redes de VPC para conectar la red de VPC de tu clúster a una tercera red, esta última no puede acceder a los recursos en la red de VPC del plano de control. Esto se debe a que el intercambio de tráfico entre redes de VPC solo admite la comunicación entre redes de intercambio de tráfico directo, y a que la tercera red no puede intercambiar tráfico con la red del plano de control. Para obtener más información, consulta Restricciones de intercambio de tráfico entre redes de VPC.
Extremos en clústeres privados
El plano de control de un clúster privado tiene un extremo interno además de un extremo externo.
El extremo interno es una dirección IP interna en la red de VPC del plano de control. En un clúster privado, los nodos siempre se comunican con el extremo interno del plano de control. Según la configuración, puedes administrar el clúster con herramientas como kubectl
, que también se conectan al extremo privado. Cualquier VM que use la misma subred que tu clúster privado también puede acceder al extremo interno.
El extremo externo es la dirección IP externa del plano de control. De forma predeterminada, herramientas como kubectl
se comunican con el plano de control en su extremo externo.
Opciones para acceder a los extremos del clúster
Puedes controlar el acceso a los extremos usando una de las siguientes opciones de configuración:
Acceso al extremo externo inhabilitado: Esta es la opción más segura, ya que impide el acceso a Internet al plano de control. Esta es una buena opción si configuraste tu red local para conectarte a Google Cloud mediante Cloud Interconnect o Cloud VPN.
Si inhabilitas el acceso al extremo externo, debes configurar las redes autorizadas para el extremo interno. De lo contrario, solo podrás conectarte al extremo interno desde los nodos del clúster o las VMs que estén en la misma subred que el clúster. Con esta configuración, las redes autorizadas deben ser direcciones IP internas.
Acceso de extremo externo habilitado, redes autorizadas habilitadas: En esta configuración, las redes autorizadas se aplican al extremo externo del plano de control. Esta es una buena opción si necesitas administrar el clúster desde redes de origen que no están conectadas a la red de VPC de tu clúster mediante Cloud Interconnect o Cloud VPN.
Acceso al extremo externo habilitado, redes autorizadas inhabilitadas: Esta es la opción predeterminada y también la menos restrictiva. Debido a que las redes autorizadas no están habilitadas, siempre que te autentiques, puedes administrar el clúster desde cualquier dirección IP de origen.
Vuelve a usar el intercambio de tráfico entre redes de VPC
Los clústeres privados creados después del 15 de enero de 2020 usan una conexión de intercambio de tráfico de red de VPC común si están en la misma zona o región de Google Cloud y usan la misma red de VPC.
Para los clústeres zonales, el primer clúster privado que creas en una zona genera una nueva conexión de intercambio de tráfico entre redes de VPC a la red de VPC del clúster. Los clústeres privados zonales adicionales que creas en la misma zona y red de VPC usan la misma conexión de intercambio de tráfico.
Para los clústeres regionales, el primer clúster privado que creas en una región genera una nueva conexión de intercambio de tráfico entre redes de VPC a la red de VPC del clúster. Los clústeres privados regionales adicionales que creas en la misma región y red de VPC usan la misma conexión de intercambio de tráfico.
Los clústeres zonales y regionales usan sus propias conexiones de intercambio de tráfico, incluso si están en la misma región. Por ejemplo:
Debes crear dos o más clústeres privados zonales en la zona
us-east1-b
y configurarlos para que usen la misma red de VPC. Ambos clústeres usan la misma conexión de intercambio de tráfico.Crea dos o más clústeres privados regionales en la región
us-east1
y los configuras para que usen la misma red de VPC que los clústeres zonales. Estos clústeres regionales usan la misma conexión de intercambio de tráfico entre redes de VPC entre sí, pero necesitarán una conexión de intercambio de tráfico diferente para comunicarse con los clústeres zonales.
Todos los clústeres privados creados antes del 15 de enero de 2020 usan una única conexión de intercambio de tráfico entre redes de VPC. En otras palabras, estos clústeres no usan la misma conexión de intercambio de tráfico con otros clústeres zonales o regionales. Para habilitar la reutilización de esta conexión en estos clústeres, puedes borrar un clúster y volver a crearlo. La actualización del clúster no hace que este vuelva a usar una conexión de intercambio de tráfico de red de VPC existente.
Para verificar si el clúster privado usa una conexión de intercambio de tráfico entre redes de VPC común, consulta Verifica la reutilización del intercambio de tráfico de VPC.
Restricciones
Cada zona o región puede admitir un máximo de 75 clústeres privados si estos tienen habilitada la reutilización del intercambio de tráfico entre redes de VPC.
La reutilización del intercambio de tráfico entre redes de VPC solo se aplica a los clústeres en la misma ubicación, por ejemplo, clústeres regionales en la misma región. Como máximo, puedes tener cuatro intercambios de tráfico entre redes de VPC por región.
En el caso de los clústeres creados antes del 15 de enero de 2020, cada red de VPC puede intercambiar hasta 25 redes de VPC más, lo que significa que hay un límite máximo de 25 clústeres privados por red (si suponemos los intercambios de tráfico no se usan para otros fines).
¿Qué sigue?
- Lee la descripción general de redes de GKE.
- Obtén más información para crear un clúster privado.
- Obtén información para crear clústeres nativos de VPC.
- Obtén más información para implementar una aplicación de Windows en un clúster privado.
- Obtén más información sobre el intercambio de tráfico de VPC.