Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazioni avanzate di cluster privato

Autopilot . . Standard

In questa pagina vengono descritte alcune configurazioni avanzate che potrebbero essere utili quando la creazione di un cluster privato. Per apprendere la configurazione di base di un container in un cluster, consulta Creazione di un cluster cluster.

Concedere ai nodi privati l'accesso a internet in uscita

Per fornire ai nodi privati l'accesso a internet in uscita, ad esempio per eseguire il pull immagini da un registro esterno, utilizza Cloud NAT per per creare e configurare un router Cloud. Cloud NAT consente ai cluster privati stabilire connessioni in uscita su internet per inviare e ricevere pacchetti.

Il router Cloud consente a tutti i nodi nella regione di utilizzare Cloud NAT per tutti gli intervalli IP alias e principali. it alloca automaticamente anche gli indirizzi IP esterni per il gateway NAT.

Per istruzioni su come creare e configurare un router Cloud, consulta Crea una configurazione Cloud NAT utilizzando il router Cloud nella documentazione di Cloud NAT.

Creazione di un cluster privato in una rete VPC condiviso

Per scoprire come creare un cluster privato in una rete VPC condiviso, consulta Creazione di un cluster privato in un VPC condiviso.

Deployment di un'applicazione container Windows Server in un cluster privato

Scopri come eseguire il deployment di un'applicazione container Windows Server in un ambiente fai riferimento alle Documentazione sui pool di nodi Windows.

Accesso globale all'endpoint privato del piano di controllo

L'endpoint privato del piano di controllo è implementato da un bilanciatore del carico di rete passthrough interno in alla rete VPC del piano di controllo. Clienti interni o connesse tramite tunnel Cloud VPN e Cloud Interconnect I collegamenti VLAN possono accedere ai bilanciatori del carico di rete passthrough interni.

Per impostazione predefinita, questi client devono che si trova nella stessa regione del con il bilanciatore del carico di rete passthrough esterno regionale.

Quando abiliti l'accesso globale al piano di controllo, il bilanciatore del carico di rete passthrough interno è a livello globale accessibile: le VM client e i sistemi on-premise possono connettersi privato, in base alla configurazione delle reti autorizzate, in qualsiasi regione.

Per ulteriori informazioni sui bilanciatori del carico di rete passthrough interni e sull'accesso globale, consulta bilanciatori del carico reti.

Abilitazione dell'accesso globale agli endpoint privati del piano di controllo in corso...

Per impostazione predefinita, l'accesso globale non è abilitato per la configurazione privata del piano di controllo quando crei un cluster privato. Per abilitare il piano di controllo globale usa i seguenti strumenti in base alla modalità cluster:

Per i cluster standard, puoi utilizzare Google Cloud CLI o la console Google Cloud.

Per i cluster Autopilot, puoi utilizzare la risorsa Terraform google_container_cluster.

Console

Per creare un nuovo cluster privato con accesso globale al piano di controllo abilitato, segui questi passaggi:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea, quindi nella sezione Standard o Autopilot, fai clic su Configura.
Inserisci un Nome.
Nel riquadro di navigazione, fai clic su Networking.
Seleziona Cluster privato.
Seleziona la casella di controllo Abilita accesso globale al piano di controllo.
Configura gli altri campi come preferisci.
Fai clic su Crea.

Per abilitare l'accesso globale al piano di controllo per un cluster privato esistente, esegui segui questi passaggi:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su accanto al cluster da modificare. Azioni, poi fai clic su Modifica.
Nella sezione Networking, accanto a Piano di controllo globale accesso, fai clic su Modifica.
Nella finestra di dialogo Modifica accesso globale al piano di controllo, seleziona il Casella di controllo Abilita accesso globale al piano di controllo.
Fai clic su Salva modifiche.

gcloud

Aggiungi il flag --enable-master-global-access per creare un cluster privato con accesso globale all'endpoint privato del piano di controllo abilitato:

gcloud container clusters create CLUSTER_NAME \
    --enable-private-nodes \
    --enable-master-global-access

Puoi anche abilitare l'accesso globale all'endpoint privato del piano di controllo per per un cluster privato esistente:

gcloud container clusters update CLUSTER_NAME \
    --enable-master-global-access

Verifica dell'accesso globale all'endpoint privato del piano di controllo in corso...

Puoi verificare che l'accesso globale all'endpoint privato del piano di controllo sia sia abilitato eseguendo questo comando e osservando l'output.

gcloud container clusters describe CLUSTER_NAME

L'output include una sezione privateClusterConfig in cui puoi vedere stato di masterGlobalAccessConfig.

privateClusterConfig:
  enablePrivateNodes: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
  masterGlobalAccessConfig:
    enabled: true

Accesso all'endpoint privato del piano di controllo da altre reti

Quando crei un Cluster privato GKE e disabilitare l'endpoint pubblico del piano di controllo, devi amministrare il cluster con strumenti come kubectl, che usano l'endpoint privato del piano di controllo. Puoi accede all'endpoint privato del piano di controllo del cluster da un'altra rete, tra cui:

Una rete on-premise connessa al VPC del cluster che utilizza tunnel Cloud VPN o VLAN Cloud Interconnect allegati
Un'altra rete VPC connessa al cluster Rete VPC che utilizza tunnel Cloud VPN

Il seguente diagramma mostra un percorso di routing tra una rete on-premise e Nodi del piano di controllo GKE:

Diagramma che mostra il routing tra VPC on-premise e piano di controllo del cluster

Consentire ai sistemi in un'altra rete di connettersi al piano di controllo di un cluster. l'endpoint privato, completa i seguenti requisiti:

Identifica e registra le informazioni di rete pertinenti per il cluster e i suoi l'endpoint privato del piano di controllo.
```
gcloud container clusters describe CLUSTER_NAME \
   --location=COMPUTE_LOCATION \
   --format="yaml(network, privateClusterConfig)"
```
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster.
- COMPUTE_LOCATION: il valore Località di Compute Engine del cluster
Dall'output del comando, identifica e registra le seguenti informazioni da utilizzare nei passaggi successivi:
- network: il nome o l'URI del VPC del cluster in ogni rete.
- privateEndpoint: l'indirizzo IPv4 dell'endpoint privato del piano di controllo o l'intervallo CIDR IPv4 incluso (masterIpv4CidrBlock).
- peeringName: il nome della connessione in peering di rete VPC utilizzata per connettere la rete VPC del cluster alla rete rete VPC.
L'output è simile al seguente:
```
network: cluster-network
privateClusterConfig:
  enablePrivateNodes: true
  masterGlobalAccessConfig:
    enabled: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
```
Valuta la possibilità di abilitare l'endpoint privato globale del piano di controllo per consentire l'ingresso dei pacchetti da qualsiasi regione nella rete VPC del cluster. Abilitazione della modalità privata del piano di controllo in corso... l'accesso globale dell'endpoint ti consente di connetterti all'endpoint privato utilizzando Tunnel Cloud VPN o collegamenti VLAN di Cloud Interconnect in qualsiasi regione, non solo in quella del cluster.
Crea una route per l'indirizzo IP privateEndpoint o per Intervallo di indirizzi IP masterIpv4CidrBlock nell'altra rete. Poiché l'indirizzo IP dell'endpoint privato del piano di controllo rientra sempre masterIpv4CidrBlock intervallo di indirizzi IPv4, creando una route per L'indirizzo IP privateEndpoint o il suo intervallo che contiene fornisce un percorso per pacchetti dall'altra rete all'endpoint privato del piano di controllo se:
- L'altra rete si connette al VPC del cluster che utilizza collegamenti VLAN di Cloud Interconnect o Cloud VPN tunnel che usano route dinamiche (BGP): usa un router Cloud una route annunciata personalizzata. Per ulteriori informazioni, consulta la sezione Pubblicizza annunci personalizzati intervalli di indirizzi nella documentazione del router Cloud.
- L'altra rete si connette al VPC del cluster che utilizza tunnel VPN classica che non utilizzano route: devi configurare una route statica nell'altra rete.
Importante: se l'accesso globale al piano di controllo è disattivato, i tunnel Cloud VPN o i collegamenti VLAN di Cloud Interconnect che connettono la rete VPC del cluster all'altra rete deve trovarsi nella stessa regione del cluster.
Configura la rete VPC del cluster per esportarne i dati personalizzati route nella relazione di peering al VPC del piano di controllo in ogni rete. Google Cloud configura sempre per importare route personalizzate dal cluster rete VPC. Questo passaggio fornisce il percorso dei pacchetti dall'endpoint privato del piano di controllo all'altra rete.

Per abilitare l'esportazione delle route personalizzate dalla rete VPC del cluster, utilizza questo comando:
```
gcloud compute networks peerings update PEERING_NAME \
    --network=CLUSTER_VPC_NETWORK \
    --export-custom-routes
```
Sostituisci quanto segue:
- PEERING_NAME: il nome del peering che connette dalla rete VPC del cluster al piano di controllo Rete VPC
- CLUSTER_VPC_NETWORK: il nome o l'URI del cluster Rete VPC
Quando l'esportazione delle route personalizzate è abilitata per il VPC, creazione di route che si sovrappongono con l'IP Google Cloud potrebbero e interrompere il cluster.

Per maggiori dettagli su come aggiornare lo scambio di route per uno esistente Connessioni di peering di rete VPC; consulta Aggiornare il peering dell'audiodescrizione.

Le route personalizzate nella rete VPC del cluster includono route le destinazioni sono intervalli di indirizzi IP in altre reti, ad esempio un on-premise. Per garantire che queste route diventino efficaci come peering per le route personalizzate nella rete VPC del piano di controllo, consulta Destinazioni supportate dall'altra rete.

Destinazioni supportate dall'altra rete

Gli intervalli di indirizzi che l'altra rete invia ai router Cloud nella rete VPC del cluster deve rispettare le seguenti condizioni:

Anche se il VPC del cluster potrebbe accettare una route predefinita (0.0.0.0/0), la rete VPC del piano di controllo rifiuta sempre route predefinite perché dispone già di una route predefinita locale. Se l'altro invia una route predefinita alla tua rete VPC, l'altra la rete deve anche inviare le destinazioni specifiche dei sistemi che devono connettersi all'endpoint privato del piano di controllo. Per ulteriori dettagli, vedi Ordine di routing.
Se la rete VPC del piano di controllo accetta route sostituire in modo efficace una route predefinita, queste route interrompono la connettività API e servizi Google Cloud, che interrompono il piano di controllo del cluster. A titolo esemplificativo, l'altra rete non deve pubblicizzare route con destinazioni 0.0.0.0/1 e 128.0.0.0/1. Fai riferimento al punto precedente per alternativa.

Monitora i limiti del router Cloud, in particolare il numero massimo di destinazioni univoche per le route apprese.

Protezione di un cluster privato con Controlli di servizio VPC

Per proteggere ulteriormente i tuoi cluster privati GKE, possono proteggerle con i Controlli di servizio VPC.

I Controlli di servizio VPC forniscono maggiore sicurezza per i tuoi Cluster privati di GKE per contribuire a mitigare il rischio dei dati l'esfiltrazione dei dati. Con i Controlli di servizio VPC, puoi aggiungere progetti al servizio che proteggono risorse e servizi da richieste provenienti fuori dal perimetro.

Per saperne di più sui perimetri di servizio, consulta Dettagli e configurazione del perimetro di servizio.

Se utilizzi Artifact Registry con il tuo cluster privato GKE in un perimetro di servizio Controlli di servizio VPC, configurare il routing all'IP virtuale limitato per impedire l'esfiltrazione dei dati.