Tentang pilihan konfigurasi cluster

---

Halaman ini menjelaskan pilihan konfigurasi cluster utama yang dapat Anda buat saat membuat cluster di Google Kubernetes Engine (GKE), baik Anda menggunakan konsol Google Cloud, Google Cloud CLI, atau Terraform. Opsi ini memungkinkan Anda menyesuaikan berbagai atribut dan perilaku cluster untuk memenuhi kebutuhan Anda, mulai dari apakah cluster dapat diakses dari jaringan publik hingga cara Anda ingin cluster menerima upgrade versi.

Banyak opsi yang dibahas dalam panduan ini tidak dapat diubah setelah cluster dibuat. Hal ini mencakup pilihan yang memengaruhi ketersediaan dan jaringan cluster. Jika perlu mengubah opsi ini, Anda harus membuat cluster baru, lalu memigrasikan traffic ke cluster tersebut, yang mungkin mengganggu.

Praktik terbaik:

Karena banyak opsi konfigurasi cluster yang tidak dapat diubah setelah pembuatan cluster, rencanakan dan desain konfigurasi cluster Anda dengan Admin dan arsitek organisasi, arsitek Cloud, administrator Jaringan, atau tim lain yang bertanggung jawab untuk menentukan, menerapkan, dan mengelola arsitektur GKE dan Google Cloud.

Halaman ini ditujukan bagi Admin dan arsitek yang menentukan solusi IT dan arsitektur sistem sesuai dengan strategi perusahaan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud, lihat Tugas dan peran pengguna GKE Enterprise umum.

Sebelum membaca halaman ini, Anda harus memahami hal berikut, serta konsep dasar Kubernetes:

• Ringkasan GKE
• Mode operasi GKE
• Edisi GKE
• Siklus proses cluster

Tingkat pengelolaan cluster

Sebelum membahas opsi cluster, penting untuk memahami tingkat fleksibilitas, tanggung jawab, dan kontrol yang diperlukan untuk cluster Anda. Tingkat kontrol yang Anda perlukan menentukan mode operasi yang akan digunakan di GKE, dan pilihan konfigurasi cluster yang perlu Anda buat.

Saat membuat cluster di GKE, Anda melakukannya menggunakan salah satu mode operasi berikut:

• Autopilot (direkomendasikan): Menyediakan konfigurasi cluster yang tersedia dan terkelola sepenuhnya. Cluster Autopilot dikonfigurasi sebelumnya dengan konfigurasi cluster yang dioptimalkan dan siap untuk workload produksi.

• Standar: Memberikan fleksibilitas konfigurasi lanjutan atas infrastruktur dasar cluster. Untuk cluster yang dibuat menggunakan mode Standard, Anda menentukan konfigurasi yang diperlukan untuk workload produksi.

Untuk informasi selengkapnya tentang mode ini, dan mempelajari Autopilot lebih lanjut, lihat Mode operasi GKE dan Ringkasan Autopilot.

Anda dapat menemukan perbandingan mendetail antara kedua mode tersebut secara berdampingan di Membandingkan GKE Standard dan Autopilot.

Pilihan konfigurasi cluster

Setelah memilih mode operasi, Anda kemudian memilih konfigurasi yang diperlukan untuk cluster Anda. Karena cluster Autopilot dikelola dan dikonfigurasi secara lebih lengkap oleh Google Cloud daripada cluster Standard, cluster Autopilot memiliki lebih sedikit pilihan konfigurasi yang tersedia.

Opsi konfigurasi untuk semua cluster termasuk dalam kategori berikut:

• Nama dan metadata lainnya: Setiap cluster harus memiliki nama pengidentifikasi yang unik dalam project-nya. Anda juga dapat menambahkan deskripsi dan label cluster secara opsional.
• Ketersediaan dan skalabilitas: Tentukan tempat Anda ingin node dan bidang kontrol cluster berjalan, dan apakah Anda menginginkan beberapa replika bidang kontrol. Semua cluster Autopilot bersifat regional, yang berarti cluster tersebut memiliki beberapa bidang kontrol di beberapa zona komputasi dalam region Google Cloud.
• Keanggotaan fleet: Pilih apakah Anda ingin cluster menjadi anggota fleet.
• Jaringan: Opsi jaringan termasuk jaringan Virtual Private Cloud (VPC) dan subnet tempat cluster berada, serta apakah Anda ingin cluster Anda dapat diakses dari jaringan publik.
• Versi dan pengelolaan upgrade: Gunakan saluran rilis untuk memilih keseimbangan yang Anda inginkan antara fitur baru dan stabilitas saat mengupgrade software cluster ini, dan tetapkan periode pemeliharaan dan pengecualian untuk memilih kapan upgrade dapat dan tidak dapat dilakukan.
• Keamanan: Hal ini mencakup apakah cluster menggunakan Workload Identity Federation untuk GKE dan akun layanan yang digunakan oleh node cluster untuk melakukan autentikasi ke Google Cloud.
• Fitur cluster: Mengaktifkan dan mengonfigurasi fitur GKE dan Google Cloud tambahan untuk cluster ini, termasuk pencadangan dan kemampuan observasi. Mode standar juga memungkinkan Anda membuat cluster alfa berumur pendek untuk mencoba fitur Kubernetes alfa.

Selain itu, cluster Standar juga memiliki opsi dalam kategori berikut:

• Node pool: Tentukan detail tentang node cluster Anda, termasuk node pool, sistem operasi node, dan ukuran node.

Bagian berikut membahas beberapa kategori ini secara lebih mendetail, terutama kategori dengan opsi yang tidak dapat Anda ubah setelan setelah membuat cluster. Untuk mengetahui daftar lengkap opsi konfigurasi, lihat Referensi konfigurasi.

Tabel berikut membandingkan opsi yang tersedia di beberapa area utama untuk cluster Autopilot dan Standard:

Pilihan cluster	Mode
	Autopilot	Standard
Jenis ketersediaan	Regional	Regional atau Zona
Saluran rilis	Cepat, Reguler, atau Stabil	Saluran apa pun
Versi cluster	Default atau versi lain yang tersedia	Default atau versi lain yang tersedia
Perutean jaringan	VPC native	VPC native atau Berbasis rute
Isolasi jaringan	Dapat disesuaikan	Dapat disesuaikan
Fitur Kubernetes	Produksi	Produksi atau Alfa

Jenis ketersediaan cluster

Dengan GKE, Anda dapat membuat cluster yang disesuaikan dengan persyaratan ketersediaan workload dan anggaran Anda. Anda dapat memilih antara cluster regional yang memiliki beberapa replika bidang kontrol di beberapa zona komputasi di region Google Cloud, atau cluster zona dengan satu bidang kontrol di satu zona. Cluster Autopilot selalu bersifat regional.

Untuk membantu Anda memilih jenis cluster yang akan dibuat dalam mode Standard, lihat Memilih bidang kontrol regional atau zona.

Setelan ini tidak dapat diperbarui setelah pembuatan cluster: cluster zona tidak dapat menjadi cluster regional, dan cluster regional tidak dapat menjadi cluster zona.

Praktik terbaik:

Untuk workload produksi, gunakan cluster regional karena cluster tersebut umumnya menawarkan ketersediaan yang lebih tinggi daripada cluster zona. Untuk lingkungan pengembangan, gunakan cluster regional dengan kumpulan node zona. Cluster dengan bidang kontrol regional dan node pool zona memiliki biaya yang sama dengan cluster zona. Untuk mengetahui informasi selengkapnya tentang region, lihat Region dan zona.

Cluster regional

Cluster regional memiliki beberapa replika bidang kontrol, yang berjalan di beberapa zona dalam region Google Cloud yang Anda tentukan. Anda selalu perlu menentukan region saat membuat Autopilot atau cluster regional lainnya.

Khusus untuk cluster Standar regional, Anda juga dapat memilih zona tempat node cluster dijalankan. Node dalam cluster regional dapat berjalan di beberapa zona atau satu zona, bergantung pada lokasi node yang dikonfigurasi. Secara default, GKE mereplikasi setiap node pool di tiga zona region bidang kontrol. Saat membuat cluster Standar atau menambahkan node pool baru, Anda dapat mengubah konfigurasi default dengan menentukan zona tempat node cluster dijalankan. Semua zona harus berada dalam region yang sama dengan bidang kontrol.

Gunakan cluster regional untuk menjalankan workload produksi Anda, karena cluster tersebut menawarkan ketersediaan yang lebih tinggi daripada cluster zona.

• Untuk membuat cluster Standard regional, lihat Membuat cluster regional.
• Untuk membuat cluster Autopilot regional, lihat Membuat cluster Autopilot.

Anda tidak dapat mengubah region cluster regional setelah pembuatan cluster.

Cluster zona (khusus cluster Standar)

Cluster zona memiliki satu bidang kontrol dalam satu zona. Bergantung pada persyaratan ketersediaan workload, Anda dapat memilih untuk mendistribusikan node untuk cluster zona di satu zona atau di beberapa zona.

Untuk membuat cluster zona, lihat Membuat cluster zona.

Cluster zona tunggal

Cluster zona tunggal memiliki satu bidang kontrol yang berjalan di satu zona. Bidang kontrol ini mengelola workload pada node yang berjalan di zona yang sama. Jika Anda menjalankan workload di satu zona, workload ini tidak akan tersedia saat terjadi pemadaman layanan di zona tertentu.

Cluster multi-zona

Cluster multi-zona memiliki satu replika bidang kontrol yang berjalan di satu zona, dan memiliki node yang berjalan di beberapa zona. Selama upgrade cluster atau pemadaman layanan zona tempat bidang kontrol berjalan, workload akan tetap berjalan. Namun, cluster, node-nya, dan workload-nya tidak dapat dikonfigurasi hingga bidang kontrol tersedia. Cluster multi-zona menyeimbangkan ketersediaan dan biaya untuk workload yang konsisten. Jika Anda ingin mempertahankan ketersediaan, tetapi jumlah node dan node pool sering berubah, pertimbangkan untuk menggunakan cluster regional. Jika Anda menjalankan workload di beberapa zona dan terjadi pemadaman layanan zona, workload akan terganggu di zona tersebut, tetapi tetap tersedia di zona lainnya.

Tingkat cluster

Seperti yang Anda ketahui dari edisi GKE, GKE memiliki dua tingkat fitur: fitur tingkat standar yang tersedia untuk semua pengguna GKE, dan tingkat perusahaan yang menambahkan fitur canggih untuk bekerja dalam skala perusahaan, yang sebagian besar dibuat berdasarkan pengelolaan armada GKE.

Untuk cluster GKE di Google Cloud, Anda dapat memilih apakah ingin menambahkan tingkat fitur tambahan berdasarkan cluster. Setelah cluster terdaftar di tingkat GKE Enterprise, Anda berhak menggunakan semua fitur perusahaan yang tersedia dengan cluster tersebut. Jika Anda tidak menentukan tingkat cluster, cluster akan menggunakan tingkat standar secara default, dengan beberapa pengecualian.

Pastikan Anda memahami hal-hal berikut saat memilih tingkat cluster:

• Banyak fitur GKE Enterprise memerlukan langganan fleet agar dapat berfungsi. Anda dapat mendaftarkan cluster ke fleet selama pembuatan cluster, atau setelah membuat cluster. Jika Anda ingin menggunakan fitur GKE Enterprise yang diaktifkan fleet dengan cluster, sebaiknya daftarkan cluster ke fleet saat membuat cluster, karena hal ini berarti cluster akan mewarisi setelan tingkat fleet untuk fitur perusahaan. Anda dapat mempelajarinya lebih lanjut di Langganan Fleet.
• Anda hanya dapat mengaktifkan tingkat perusahaan untuk cluster jika GKE Enterprise (Anthos) API diaktifkan di project cluster.

Setelan ini dapat diubah setelah pembuatan cluster.

Untuk mengetahui detail selengkapnya tentang fitur yang disertakan dalam GKE Enterprise, termasuk subset fitur yang tidak memerlukan langganan fleet, lihat opsi deployment GKE Enterprise.

Langganan Fleet

Jika organisasi Anda menggunakan beberapa cluster, Anda dapat menyederhanakan pengelolaan multi-cluster dengan menambahkan cluster ke fleet: pengelompokan logis cluster Kubernetes. Pembuatan fleet akan membantu organisasi Anda meningkatkan pengelolaan dari setiap cluster ke seluruh grup cluster, dan memungkinkan Anda menggunakan fitur yang didukung fleet seperti Multi Cluster Ingress, Config Sync, dan Policy Controller.

Meskipun Anda dapat menambahkan cluster ke fleet kapan saja, jika Anda telah mengaktifkan GKE Enterprise, sebaiknya daftarkan cluster tingkat perusahaan baru ke fleet selama pembuatan cluster. Hal ini karena cluster "lahir di fleet" ini dibuat dengan setelan default tingkat fleet yang Anda pilih untuk sejumlah fitur perusahaan, dan dengan log dan metrik yang direkomendasikan yang sudah diaktifkan. Anda dapat mempelajarinya lebih lanjut dalam panduan berikut:

• Mengelola fitur tingkat fleet
• Log diaktifkan secara default
• Metrik yang diaktifkan secara default

Setelan ini dapat diperbarui setelah pembuatan cluster untuk mendaftarkan atau membatalkan pendaftaran cluster, meskipun sebaiknya jangan memindahkan cluster dengan workload aktif dari satu fleet ke fleet lainnya.

Anda dapat mempelajari lebih lanjut cara menambahkan cluster ke fleet di Membuat fleet untuk menyederhanakan pengelolaan multi-cluster.

Setelan jaringan

Saat membuat cluster GKE, Anda dapat menentukan sejumlah setelan jaringan, termasuk jaringan tempat cluster berada, mode perutean jaringan, dan apakah Anda ingin node cluster dapat diakses dari jaringan publik.

Jika Anda bukan administrator jaringan, Anda harus berkonsultasi dengan spesialis Jaringan organisasi Anda sebelum membuat cluster yang siap produksi, karena banyak opsi ini tidak dapat diubah setelah pembuatan cluster. Jika adalah administrator jaringan, Anda dapat mengetahui lebih lanjut tentang jaringan GKE di Tentang jaringan GKE, dengan praktik terbaik untuk opsi jaringan di Praktik terbaik untuk jaringan GKE. Bagian ini hanya menjelaskan sebagian dari kemungkinan opsi jaringan kami.

Jaringan dan subnet

Jaringan Virtual Private Cloud (VPC) tempat cluster berada menentukan resource Compute Engine lain yang dapat melakukan komunikasi dengan cluster tersebut. Secara default, cluster GKE dibuat di jaringan default project Anda, meskipun Anda dapat memilih jaringan lain jika Anda atau administrator telah membuatnya. Jika tersedia, Anda dapat menentukan bahwa Anda ingin cluster berada dalam subnet VPC tertentu: lagi, jika tidak, subnet default akan digunakan. Anda juga dapat menentukan secara opsional bahwa Anda ingin menggunakan rentang alamat IP tertentu dalam subnet tersebut untuk Pod dan Layanan.

Setelan ini tidak dapat diperbarui setelah pembuatan cluster.

Pilihan isolasi jaringan

Anda dapat menyesuaikan isolasi jaringan di cluster dengan mempertimbangkan dua aspek berikut:

• Akses ke bidang kontrol: Secara default, endpoint internal dan endpoint eksternal bidang kontrol diaktifkan, dan endpoint berbasis DNS dinonaktifkan. Anda dapat memilih untuk:

  • Nonaktifkan endpoint eksternal dan internal, lalu hanya gunakan endpoint DNS.
  • Nonaktifkan endpoint eksternal hanya untuk mencegah akses ke klien eksternal.
  • Aktifkan jaringan yang diizinkan untuk mengontrol alamat IP mana yang menjangkau endpoint bidang kontrol.

• Konfigurasi jaringan cluster: Anda dapat memilih untuk mengaktifkan node pribadi di cluster untuk sepenuhnya mengisolasi workload dari jaringan publik. Anda dapat mengaktifkan node pribadi untuk seluruh cluster atau di tingkat node pool (untuk Standard) atau workload (untuk Autopilot). Mengaktifkan node pribadi di tingkat node pool atau workload akan menggantikan konfigurasi node apa pun di tingkat cluster.

Setelan ini dapat diubah setelah pembuatan cluster.

Untuk informasi selengkapnya tentang isolasi jaringan, lihat Tentang menyesuaikan isolasi jaringan dan Menyesuaikan isolasi jaringan Anda.

Praktik terbaik:

Gunakan Cloud NAT untuk memberi Pod GKE akses ke resource dengan alamat IP publik. Cloud NAT meningkatkan postur keamanan cluster secara keseluruhan karena Pod tidak ditampilkan langsung ke internet, tetapi masih dapat mengakses resource yang ditampilkan ke internet.

Cluster berbasis rute dan VPC native

Di GKE, cluster dapat dibedakan menurut cara mengarahkan traffic dari satu Pod ke Pod lainnya. Cluster yang menggunakan alamat IP Alias disebut cluster native VPC. Cluster yang menggunakan rute Google Cloud disebut cluster berbasis rute.

Secara default, semua cluster GKE baru menggunakan perutean native VPC, yang merupakan opsi yang kami rekomendasikan. Anda dapat mengubah setelan ini saat pembuatan cluster untuk membuat cluster berbasis rute hanya dalam mode Standar. Setelan ini tidak dapat diperbarui setelah pembuatan cluster.

Anda dapat mempelajari lebih lanjut cluster VPC native dan manfaatnya, termasuk persyaratan khusus yang dimilikinya, di cluster VPC native.

Praktik terbaik:

Gunakan mode jaringan VPC native untuk cluster Anda. Ini adalah setelan default untuk cluster Autopilot.

Versi dan upgrade

Dengan saluran rilis, GKE memilih versi software untuk cluster dengan keseimbangan yang Anda pilih antara ketersediaan fitur dan stabilitas. Saat membuat cluster, Anda dapat memilih saluran rilis yang diinginkan. Cluster baru (baik Autopilot maupun Standard) terdaftar di saluran rilis Reguler secara default, meskipun Anda dapat memilih versi tertentu selama pembuatan cluster jika diperlukan.

Cluster Autopilot selalu menggunakan saluran rilis. Cluster standar menggunakan saluran rilis secara default, tetapi Anda dapat memilih untuk tidak mendaftarkan cluster di saluran rilis (meskipun kami tidak merekomendasikannya karena setelan ini memberi Anda akses yang lebih terbatas ke fitur cluster).

GKE secara otomatis mengupgrade semua cluster dari waktu ke waktu, terlepas dari pendaftaran saluran rilis. GKE otomatis mengupgrade bidang kontrol cluster dan node-nya saat versi baru tersedia di saluran rilis tersebut. Anda dapat mengontrol pengaturan waktu dan cakupan upgrade dengan masa dan pengecualian pemeliharaan.

Anda dapat mengubah saluran rilis cluster kapan saja.

Untuk informasi terkait upgrade otomatis mendatang, lihat catatan rilis GKE.

Praktik terbaik:

Pilih saluran rilis untuk GKE guna memilih versi untuk cluster Anda dengan keseimbangan yang dipilih antara ketersediaan fitur dan stabilitas. Gunakan masa dan pengecualian pemeliharaan untuk mengontrol waktu dan cakupan upgrade otomatis.

Fitur alfa (khusus cluster Standard)

Fitur baru di Kubernetes dicantumkan sebagai Alfa, Beta, atau Stabil, bergantung pada statusnya saat pengembangan. Pada umumnya, fitur Kubernetes yang dicantumkan sebagai beta atau stabil disertakan dengan cluster GKE.

Jika Anda ingin bereksperimen dengan fitur yang sangat baru yang belum siap produksi, fitur alfa tersedia di cluster alfa GKE khusus. Cluster alfa memiliki semua API alfa Kubernetes (terkadang disebut feature gate) yang diaktifkan. Anda dapat menggunakan cluster alfa untuk pengujian awal dan validasi fitur Kubernetes. Cluster alfa tidak didukung untuk beban kerja produksi, tidak dapat diupgrade atau ditambahkan ke saluran rilis, dan masa berlakunya hanya 30 hari.

Fitur alfa tidak tersedia untuk cluster Autopilot.

Untuk membuat cluster alfa, lihat Membuat cluster alfa.

Setelan keamanan

GKE memiliki sejumlah setelan keamanan yang dapat Anda tentukan saat pembuatan cluster. Hal ini mencakup setelan enkripsi, fitur keamanan seperti Otorisasi Biner, akun layanan yang ingin Anda gunakan untuk node cluster (dibahas secara lebih mendetail di bagian berikutnya), dan apakah cluster Anda menggunakan Federasi Workload Identity untuk GKE.

Seperti setelan lainnya, Anda harus berkonsultasi dengan kolega pakar — dalam hal ini, spesialis Keamanan organisasi Anda — sebelum membuat cluster yang siap produksi. Anda dapat mempelajari keamanan GKE lebih lanjut di Ringkasan keamanan dan Melakukan hardening untuk keamanan cluster.

Akun layanan untuk node

GKE menggunakan akun layanan IAM yang dilampirkan ke node Anda untuk menjalankan tugas sistem seperti logging dan pemantauan. Setidaknya, akun layanan node ini harus memiliki peran Akun Layanan Node Default Kubernetes Engine (roles/container.defaultNodeServiceAccount) di project Anda. Secara default, GKE menggunakan akun layanan default Compute Engine, yang dibuat secara otomatis di project Anda, sebagai akun layanan node.

Jika organisasi Anda menerapkan batasan kebijakan organisasi iam.automaticIamGrantsForDefaultServiceAccounts, akun layanan Compute Engine default di project Anda mungkin tidak otomatis mendapatkan izin yang diperlukan untuk GKE.

Jika Anda menggunakan akun layanan default Compute Engine untuk fungsi lain di project atau organisasi, akun layanan tersebut mungkin memiliki lebih banyak izin daripada yang diperlukan GKE, yang dapat mengekspos Anda pada risiko keamanan.

Anda tidak dapat mengubah akun layanan untuk cluster mode Autopilot atau untuk node pool mode Standard setelah pembuatan.

Setelan kumpulan node (khusus cluster Standard)

Seperti yang Anda ketahui dari Ringkasan administrasi cluster dan mode operasi GKE, jika menggunakan Autopilot untuk cluster, Anda tidak perlu khawatir dengan konfigurasi node karena GKE mengonfigurasi node untuk Anda. Semua node cluster Autopilot dikelola sepenuhnya oleh GKE dan semuanya menggunakan sistem operasi node (OS) yang sama.

Jika memilih untuk membuat cluster Standar, Anda dapat menentukan sejumlah opsi node saat membuat cluster, termasuk:

• Nama, jumlah, ukuran, dan lokasi node pool yang ingin Anda gunakan; node pool adalah kumpulan node dalam cluster Anda yang memiliki konfigurasi yang sama.
• OS node yang ingin Anda gunakan untuk node baru.
• Apakah Anda ingin menggunakan VM spot sementara untuk node.
• Jenis mesin Compute Engine yang ingin Anda gunakan untuk node.
• Akun layanan yang ingin Anda gunakan untuk node, seperti yang dijelaskan dalam Setelan keamanan.

Beberapa setelan node pool cluster dapat diubah setelah pembuatan cluster, meskipun semua cluster Standard memerlukan minimal satu node pool. Jika Anda tidak menentukan jumlah node dan jenis mesin saat membuat cluster Standard, node pool default-nya terdiri dari tiga node di setiap zona cluster, dengan image node default cos_containerd, dan jenis mesin tujuan umum.

Anda dapat mempelajari lebih lanjut konfigurasi node pool di Tentang node pool dan Menambahkan dan mengelola node pool.

Referensi konfigurasi

Temukan daftar lengkap opsi konfigurasi yang mungkin ada dalam panduan referensi berikut:

• gcloud container clusters create-auto: Referensi Google Cloud CLI untuk cluster Autopilot
• gcloud container clusters create: Referensi Google Cloud CLI untuk cluster Standar
• google_container_cluster: Referensi Terraform

Langkah selanjutnya

• Pelajari arsitektur cluster lebih lanjut di arsitektur cluster GKE
• Lihat perbandingan berdampingan antara cluster Standard dan Autopilot di Membandingkan GKE Standard dan Autopilot * Mulai membuat cluster:
  • Buat cluster Autopilot.
  • Buat cluster zona Standar.
  • Buat cluster regional Standard.