Informazioni sui cluster privati

Autopilot Standard

Questa pagina spiega come funzionano i cluster privati in Google Kubernetes Engine (GKE). Puoi anche scoprire come creare cluster privati.

I cluster privati utilizzano nodi che non hanno indirizzi IP esterni. Ciò significa che i client su internet non possono connettersi agli indirizzi IP dei nodi. I cluster privati sono ideali per carichi di lavoro che, ad esempio, richiedono un accesso controllato a causa delle normative sulla privacy e sulla sicurezza dei dati.

I cluster privati sono disponibili in modalità Standard o Autopilot.

Architettura dei cluster privati

A differenza di un cluster pubblico, un cluster privato ha sia un endpoint interno del piano di controllo sia un endpoint esterno del piano di controllo.

Il seguente diagramma offre una panoramica dell'architettura per un cluster privato:

Di seguito sono riportati i componenti principali di un cluster privato:

Piano di controllo: il piano di controllo ha un endpoint interno per la comunicazione dei cluster interni e un endpoint esterno. Puoi scegliere di disabilitare l'endpoint esterno.
Nodi: i nodi utilizzano solo indirizzi IP interni e li isolano dalla rete internet pubblica.
Rete VPC: si tratta di una rete virtuale in cui crei subnet con intervalli di indirizzi IP interni specifici per i nodi e i pod del cluster.
Accesso privato Google: viene abilitato nella subnet del cluster e consente ai nodi con indirizzi IP interni di raggiungere le API e i servizi Google Cloud essenziali senza bisogno di indirizzi IP pubblici. Ad esempio, l'accesso privato Google è obbligatorio per consentire ai cluster privati di accedere alle immagini container da Artifact Registry e inviare log a Cloud Logging. L'accesso privato Google è abilitato per impostazione predefinita nei cluster privati, ad eccezione dei cluster VPC condivisi, che richiedono l'abilitazione manuale.

Il piano di controllo nei cluster privati

Ogni cluster GKE ha un server API Kubernetes gestito dal piano di controllo.

Il piano di controllo viene eseguito su una macchina virtuale (VM) che si trova in una rete VPC in un progetto gestito da Google. Un cluster a livello di regione ha più repliche del piano di controllo, ognuna delle quali viene eseguita su una propria VM.

Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster tramite peering di rete VPC. La rete VPC contiene i nodi del cluster e la rete VPC Google Cloud gestita da Google contiene il piano di controllo del cluster.

Il traffico tra i nodi e il piano di controllo viene instradato interamente utilizzando indirizzi IP interni. Se utilizzi il peering di rete VPC per connettere la rete VPC del tuo cluster a una terza rete, la terza rete non può raggiungere le risorse nella rete VPC del piano di controllo. Il motivo è che il peering di rete VPC supporta solo la comunicazione tra reti in peering diretto e la terza rete non può essere connessa in peering con la rete del piano di controllo. Per ulteriori informazioni, consulta Limitazioni del peering di rete VPC.

Endpoint nei cluster privati

Il piano di controllo per un cluster privato dispone di un endpoint interno oltre a un endpoint esterno.

L'endpoint interno è un indirizzo IP interno nella rete VPC del piano di controllo. In un cluster privato, i nodi comunicano sempre con l'endpoint interno del piano di controllo. A seconda della tua configurazione, puoi gestire il cluster con strumenti come kubectl che si connettono anche all'endpoint privato. Qualsiasi VM che utilizza la stessa subnet del cluster privato può accedere anche all'endpoint interno.

L'endpoint esterno è l'indirizzo IP esterno del piano di controllo. Per impostazione predefinita, strumenti come kubectl comunicano con il piano di controllo sul suo endpoint esterno.

Opzioni per l'accesso agli endpoint del cluster

Puoi controllare l'accesso agli endpoint utilizzando una delle seguenti configurazioni:

Accesso esterno agli endpoint disabilitato: questa è l'opzione più sicura in quanto impedisce l'accesso a internet al piano di controllo. Questa è una buona scelta se hai configurato la tua rete on-premise per la connessione a Google Cloud utilizzando Cloud Interconnect o Cloud VPN.

Se disabiliti l'accesso esterno agli endpoint, devi configurare le reti autorizzate per l'endpoint interno. In caso contrario, puoi connetterti all'endpoint interno solo da nodi cluster o VM nella stessa subnet del cluster. Con questa impostazione, le reti autorizzate devono essere indirizzi IP interni.

Importante: anche se disabiliti l'accesso all'endpoint esterno, Google può utilizzare l'endpoint esterno del piano di controllo per scopi di gestione dei cluster, come la manutenzione pianificata e gli upgrade automatici del piano di controllo.
Accesso esterno agli endpoint abilitato, reti autorizzate abilitate: in questa configurazione, le reti autorizzate si applicano all'endpoint esterno del piano di controllo. Questa è una buona scelta se devi amministrare il cluster da reti di origine non connesse alla rete VPC del tuo cluster utilizzando Cloud Interconnect o Cloud VPN.
Accesso esterno agli endpoint abilitato, reti autorizzate disabilitato: questa è l'opzione predefinita ed è anche l'opzione meno restrittiva. Poiché le reti autorizzate non sono abilitate, puoi amministrare il cluster da qualsiasi indirizzo IP di origine, purché tu esegua l'autenticazione.

Riutilizzo del peering di rete VPC

I cluster privati creati dopo il 15 gennaio 2020 utilizzano una connessione di peering di rete VPC comune se si trovano nella stessa zona o regione Google Cloud e utilizzano la stessa rete VPC.

Per i cluster di zona: il primo cluster privato creato in una zona genera una nuova connessione di peering di rete VPC alla rete VPC del cluster. Gli altri cluster privati a livello di zona che crei nella stessa zona e nella stessa rete VPC utilizzano la stessa connessione in peering.
Per i cluster a livello di regione: il primo cluster privato creato in una regione genera una nuova connessione di peering di rete VPC alla rete VPC del cluster. Altri cluster privati a livello di regione che crei nella stessa regione e rete VPC utilizzano la stessa connessione di peering.

I cluster di zona e a livello di regione utilizzano le proprie connessioni di peering, anche se si trovano nella stessa regione. Ad esempio:

Creerai due o più cluster privati a livello di zona nella zona us-east1-b e li configurerai in modo che utilizzino la stessa rete VPC. Entrambi i cluster utilizzano la stessa connessione in peering.
Creerai due o più cluster privati a livello di regione nella regione us-east1 e li configurerai in modo che utilizzino la stessa rete VPC dei cluster di zona. Questi cluster a livello di regione utilizzano tra loro la stessa connessione di peering di rete VPC, ma avranno bisogno di una connessione di peering diversa per comunicare con i cluster di zona.

Tutti i cluster privati creati prima del 15 gennaio 2020 utilizzano una connessione di peering di rete VPC univoca. In altre parole, questi cluster non utilizzano la stessa connessione in peering con altri cluster a livello di zona o di regione. Per abilitare il riutilizzo del peering di rete VPC su questi cluster, puoi eliminare un cluster e ricrearlo. L'upgrade di un cluster non comporta il riutilizzo di una connessione di peering di rete VPC esistente.

Per verificare se il tuo cluster privato utilizza una connessione di peering di rete VPC comune, consulta Verificare il riutilizzo del peering VPC.

Limitazioni

Ogni zona o regione può supportare un massimo di 75 cluster privati se nei cluster è abilitato il riutilizzo del peering di rete VPC.

Nota: per configurare più di 75 cluster privati per località, contatta il team di assistenza di Google Cloud. Ciò è applicabile solo se nei cluster è abilitato il riutilizzo del peering di rete VPC.

Ad esempio, puoi creare fino a 75 cluster di zona privati in us-east1-a e altri 75 cluster a livello di regione privati in us-east1. Questo vale anche se utilizzi cluster privati in una rete VPC condiviso.
Il numero massimo di connessioni a una singola rete VPC è 25, il che significa che puoi creare solo cluster privati utilizzando 25 località univoche.
Il riutilizzo del peering di rete VPC si applica solo ai cluster nella stessa località, ad esempio i cluster a livello di regione nella stessa regione o i cluster di zona nella stessa zona. Puoi avere al massimo quattro peering di rete VPC per regione se crei cluster a livello di regione e cluster di zona in tutte le zone di quella regione.
Per i cluster creati prima del 15 gennaio 2020, ogni rete VPC può eseguire il peering con un massimo di altre 25 reti VPC, il che significa che per questi cluster esiste un limite al massimo di 25 cluster privati per rete (supponendo che i peering non vengano utilizzati per altri scopi).