限定公開クラスタについて

このページでは、Google Kubernetes Engine(GKE)での限定公開クラスタの動作について説明します。限定公開クラスタを作成する方法についても説明します。

限定公開クラスタは、外部 IP アドレスを持たないノードを使用します。つまり、インターネット上のクライアントはノードの IP アドレスに接続できません。限定公開クラスタは、データのプライバシーやセキュリティに関する規制により、アクセスを制御する必要があるワークロードに最適です。

限定公開クラスタは、Standard モードと Autopilot モードのどちらでも使用できます。

限定公開クラスタのアーキテクチャ

一般公開クラスタとは異なり、限定公開クラスタには、コントロール プレーンの内部エンドポイントとコントロール プレーンの外部エンドポイントの両方があります。

次の図は、限定公開クラスタのアーキテクチャの概要を示しています。

限定公開クラスタのアーキテクチャ

限定公開クラスタのコア コンポーネントは次のとおりです。

  • コントロール プレーン: コントロール プレーンには、内部クラスタ通信用の内部エンドポイントと外部エンドポイントの両方があります。外部エンドポイントは無効にすることもできます。

  • ノード: ノードは内部 IP アドレスのみを使用し、公共のインターネットから分離されます。

  • VPC ネットワーク: クラスタのノードと Pod 専用の内部 IP アドレス範囲を持つサブネットを作成する仮想ネットワークです。

  • 限定公開の Google アクセス: クラスタのサブネットで有効にすると、内部 IP アドレスを持つノードが、パブリック IP アドレスを必要とせずに、不可欠な Google Cloud APIs やサービスにアクセスできるようになります。たとえば、限定公開のクラスタが Artifact Registry からコンテナ イメージにアクセスし、Cloud Logging にログを送信するには、限定公開の Google アクセスが必要です。限定公開の Google アクセスは、限定公開クラスタではデフォルトで有効になっています。ただし、共有 VPC クラスタでは手動で有効にする必要があります。

限定公開クラスタ内のコントロール プレーン

各 GKE クラスタには、コントロール プレーンが管理する Kubernetes API サーバーがあります。

コントロール プレーンは、Google が管理するプロジェクトの VPC ネットワーク内の仮想マシン(VM)上で動作します。リージョン クラスタには、コントロール プレーンの複数のレプリカがあり、それぞれが独自の VM で実行されます。

限定公開クラスタでは、コントロール プレーンの VPC ネットワークが VPC ネットワーク ピアリングによりクラスタの VPC ネットワークに接続します。VPC ネットワークにはクラスタノードが存在し、Google 管理の Google Cloud VPC ネットワークにはクラスタのコントロール プレーンが存在します。

ノードとコントロール プレーンの間のトラフィックは、すべて内部 IP アドレスを使用してルーティングされます。VPC ネットワーク ピアリングを使用してクラスタの VPC ネットワークを 3 番目のネットワークに接続する場合、3 番目のネットワークはコントロール プレーンの VPC ネットワーク内のリソースに到達できません。これは、VPC ネットワーク ピアリングは、直接ピアリングされたネットワーク間の通信のみをサポートしており、3 番目のネットワークとコントロール プレーン ネットワークとピアリングできないためです。詳細については、VPC ネットワーク ピアリングに関する制限をご覧ください。

限定公開クラスタ内のエンドポイント

限定公開クラスタのコントロール プレーンには、外部エンドポイントに加えて内部エンドポイントがあります。

内部エンドポイントとは、コントロール プレーンの VPC ネットワーク内の内部 IP アドレスを指します。限定公開クラスタでは、ノードは常にコントロール プレーンの内部エンドポイントと通信します。構成によっては、プライベート エンドポイントにも接続する kubectl などのツールでクラスタを管理できます。限定公開クラスタと同じサブネットを使用する VM は、内部エンドポイントにもアクセスできます。

外部エンドポイントは、コントロール プレーンの外部 IP アドレスです。デフォルトでは、kubectl などのツールはその外部エンドポイント上のコントロール プレーンと通信します。

クラスタ エンドポイントへのアクセスに関するオプション

エンドポイントへのアクセスを制御するには、次のいずれかの構成を使用します。

  • 外部エンドポイント アクセスが無効: これは最も安全なオプションで、コントロール プレーンに対するすべてのインターネット アクセスが阻止されます。Cloud Interconnect または Cloud VPN を使用してオンプレミス ネットワークから Google Cloud への接続を構成している場合に適しています。

    外部エンドポイントへのアクセスを無効にする場合は、内部エンドポイント用の承認済みネットワークを構成する必要があります。この構成を行わないと、クラスタと同じサブネット内のクラスタノードまたは VM からのみ、内部エンドポイントへの接続が許可されます。この設定では、承認済みネットワークを内部 IP アドレスにする必要があります。

  • 外部エンドポイント アクセスが有効、承認済みネットワークが有効: この構成では、承認済みネットワークがコントロール プレーンの外部エンドポイントに適用されます。これは、Cloud Interconnect または Cloud VPN を使用してクラスタの VPC ネットワークに接続していないソース ネットワークからクラスタを管理する必要がある場合に適しています。

  • 外部エンドポイント アクセスが有効、承認済みネットワークが無効: これはデフォルトで、最も制限の少ないオプションです。承認済みネットワークが有効でないため、承認されていれば、送信元 IP アドレスからクラスタを管理できます。

VPC ネットワーク ピアリングの再使用

2020 年 1 月 15 日以降に作成された限定公開クラスタは、これらのクラスタが同じ Google Cloud ゾーンまたはリージョンに存在し、同じ VPC ネットワークを使用する場合に、共通の VPC ネットワーク ピアリング接続を使用します。

  • ゾーンクラスタの場合: ゾーンに最初に作成する限定公開クラスタが、クラスタの VPC ネットワークとの新しい VPC ネットワーク ピアリング接続を生成します。同じゾーンと VPC ネットワークで作成した追加のゾーン限定公開クラスタは、同じピアリング接続を使用します。

  • リージョン クラスタの場合: リージョンに最初に作成する限定公開クラスタが、クラスタの VPC ネットワークとの新しい VPC ネットワーク ピアリング接続を生成します。同じリージョンと VPC ネットワークで作成した追加のリージョン限定公開クラスタは、同じピアリング接続を使用します。

ゾーンクラスタとリージョン クラスタは、同じリージョンにあっても、独自のピアリング接続を使用します。例:

  • us-east1-b ゾーンに複数のゾーン限定公開クラスタを作成し、同じ VPC ネットワークを使用するように構成します。両方のクラスタが同じピアリング接続を使用します。

  • us-east1 リージョンに複数のリージョン限定公開クラスタを作成し、ゾーンクラスタと同じ VPC ネットワークを使用するように構成します。これらのリージョン クラスタは、同じ VPC ネットワーク ピアリング接続を使用しますが、ゾーンクラスタと通信するには別のピアリング接続が必要になります。

2020 年 1 月 15 日より前に作成されたすべての限定公開クラスタは、固有の VPC ネットワーク ピアリング接続を使用します。つまり、これらのクラスタは、他のゾーンクラスタやリージョン クラスタと同じピアリング接続を使用しません。これらのクラスタで VPC ネットワーク ピアリングを再利用できるようにするには、クラスタを削除して再度作成します。クラスタをアップグレードしても、既存の VPC ネットワーク ピアリング接続は再利用されません。

限定公開クラスタが一般的な VPC ネットワーク ピアリング接続を使用しているかどうかを確認するには、VPC ピアリングの再利用を確認するをご覧ください。

制限事項

  • 各ゾーンやリージョンでは、限定公開クラスタの VPC ネットワーク ピアリングの再利用が有効になっていれば、最大 75 個の限定公開クラスタをサポートできます。

    たとえば、最大 75 個の限定公開ゾーンクラスタを us-east1-a に作成し、さらに 75 個の限定公開リージョン クラスタを us-east1 に作成できます。これは、共有 VPC ネットワークで限定公開クラスタを使用している場合にも当てはまります。

  • 1 つの VPC ネットワークへの最大接続数は 25 です。つまり、作成できるのは固有のロケーションを 25 個使用した限定公開クラスタだけということになります。

  • VPC ネットワーク ピアリングの再利用は、同じロケーションのクラスタ(同じリージョン内のリージョン クラスタ、同じゾーン内のゾーンクラスタなど)にのみ適用されます。リージョン クラスタとゾーンクラスタの両方をそのリージョン内のすべてのゾーンに作成する場合は、リージョンごとに最大 4 つの VPC ネットワーク ピアリングを設定できます。

  • 2020 年 1 月 15 日より前に作成されたクラスタの場合、各 VPC ネットワークは最大 25 個の他の VPC ネットワークとピアリングできます。つまり、これらのクラスタではネットワーク当たりの限定公開クラスタ数が最大 25 個に制限されることになります(ピアリングが他の目的のために使用されないことが前提)。

次のステップ