Diese Seite wurde von der Cloud Translation API übersetzt.

IP-Adresse der Steuerungsebene rotieren

Autopilot Standard

Auf dieser Seite wird erläutert, wie Sie eine IP-Rotation für die Steuerungsebene in Google Kubernetes Engine-Clustern (GKE) durchführen.

Machen Sie sich vor dem Lesen dieser Seite mit der Anmeldedatenrotation vertraut. Wir empfehlen, eine Rotation der Anmeldedaten durchzuführen, die auch eine IP-Rotation umfasst. Möglicherweise müssen Sie jedoch eine eigenständige IP-Rotation durchführen, wenn Sie keine vollständige Rotation der Anmeldedaten vornehmen können.

Diese Seite richtet sich an Sicherheitsexperten, die den Clusterlebenszyklus in GKE verwalten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und ‑Aufgaben.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Aktivieren Sie die Google Kubernetes Engine API.

Google Kubernetes Engine API aktivieren

Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab.
Hinweis:Legen Sie für vorhandene Installationen der gcloud CLI das compute/region-Attribut fest. Wenn Sie hauptsächlich zonale Cluster verwenden, legen Sie stattdessen compute/zone fest. Durch das Festlegen eines Standardspeicherorts können Sie in der gcloud CLI Fehler wie One of [--zone, --region] must be supplied: Please specify location vermeiden. Bei bestimmten Befehlen müssen Sie möglicherweise den Speicherort angeben, wenn er sich von dem von Ihnen festgelegten Standard unterscheidet.

IP-Rotation durchführen

Eine IP-Rotation ist ein Vorgang, der aus mehreren Schritten besteht.

Wenn Sie eine IP-Rotation einleiten, verwendet Ihre Steuerungsebene neben der ursprünglichen IP-Adresse noch eine neue IP-Adresse.
GKE erstellt Ihre Knotenpools neu, damit die neue IP-Adresse verwendet wird. Dabei wird die Verfügbarkeit von Wartungsfenstern berücksichtigt. Sie können Ihre Knotenpools auch manuell neu erstellen, indem Sie ein Knotenpool-Versionsupgrade auf dieselbe GKE-Version durchführen, die auf den Knoten bereits ausgeführt wird.
Nachdem Sie eine Rotation eingeleitet haben, müssen Sie die API-Clients Ihres Clusters aktualisieren (z. B. Entwicklungsmaschinen mit der kubectl-Befehlszeile), um mit der Steuerungsebene über die neue IP-Adresse kommunizieren zu können.
Nach Abschluss der Rotation beendet die Steuerungsebene die Bereitstellung von Traffic über die vorherige IP-Adresse.

Wenn Sie eine IP-Adressrotation starten, erstellt GKE Ihre Knoten neu und berücksichtigt dabei die Verfügbarkeit von Wartungsarbeiten. Bei wichtigen Ereignissen wieGoogle Cloud Next pausiert GKE möglicherweise die automatische Neuerstellung von Knoten, um Unterbrechungen zu vermeiden. Weitere Informationen dazu, wie sich die Wartungsverfügbarkeit auf die IP-Rotation auswirkt und welche Art von Unterbrechung in Ihrem Cluster während der einzelnen Schritte einer Rotation auftritt, finden Sie in der Zeile für die IP-Rotation in der Tabelle Manuelle Änderungen, bei denen die Knoten mit einer Knotenupgrade-Strategie neu erstellt werden und die Wartungsrichtlinien berücksichtigt werden. GKE ist für das Aktualisieren der Knoten auf die Ressourcenverfügbarkeit angewiesen. Weitere Informationen zu Knotenupdates finden Sie unter Unterbrechungen durch Knotenupdates planen.

Wenn Sie eine IP-Adressrotation nicht innerhalb von sieben Tagen nach Beginn durchführen, versucht GKE, die Rotation für Sie abzuschließen. Wenn auf einem Knoten in Ihrem Cluster noch die vorherige IP-Adresse verwendet wird, schlägt der automatische Abschlussvorgang fehl. GKE versucht jedoch weiterhin, den Vorgang abzuschließen, bis die Knoten neu erstellt werden und der Vorgang abgeschlossen werden kann.

Sie sollten die Rotation von IP-Adressen nach Beginn der Rotation manuell verfolgen und abschließen. Sie können die Wartungsverfügbarkeit jederzeit überschreiben und bestimmte Schritte manuell auslösen, damit die Anmeldedatenrotation abgeschlossen werden kann. Verlassen Sie sich nicht auf die automatische Vervollständigung, da diese nur auf Best-Effort-Basis erfolgt.

Rotation starten

Führen Sie den folgenden Befehl aus, um eine IP-Rotation zu starten:

gcloud container clusters update CLUSTER_NAME \
    --start-ip-rotation

Ersetzen Sie CLUSTER_NAME durch den Namen des Clusters.

Die entsprechende Ausgabe sieht etwa so aus:

This will start an IP Rotation on cluster CLUSTER_NAME.
The master will be updated to serve on a new IP address in addition to
the current IP address. Google Kubernetes Engine will then schedule recreation of all nodes
to point to the new IP address.  If maintenance window is
used, nodes are not recreated until a maintenance window occurs. See
documentation on how to manually update nodes. This operation is
long-running and will block other operations on the cluster (including
delete) until it has run to completion.
Do you want to continue (Y/n)?

Mit diesem Befehl wird die Steuerungsebene so konfiguriert, dass sie zwei IP-Adressen verwendet, die ursprüngliche Adresse und eine neue Adresse.

Bestätigen Sie die Rotation und lassen Sie die Shell geöffnet, um den Vorgang abzuschließen.

Knoten neu erstellen

Nach der Neukonfiguration des API-Servers für die Bereitstellung einer neuen IP-Adresse aktualisiert GKE automatisch Ihre Knoten auf die neue IP-Adresse. GKE aktualisiert alle Ihre Knoten auf die nächste unterstützte Knotenversion, wodurch die Knoten neu erstellt werden. Weitere Informationen finden Sie unter Knotenpool-Upgrades.

Standardmäßig schließt GKE die Rotation von IP-Adressen sieben Tage nach dem Start automatisch ab. Wenn ein aktives Wartungsfenster oder ein aktiver Ausschluss in Ihrem Cluster verhindert, dass GKE während dieses Zeitraums bestimmte Knoten neu erstellt, kann die IP-Adressen-Rotation zunächst nicht abgeschlossen werden. GKE versucht jedoch weiterhin, die Knoten neu zu erstellen und die Rotation abzuschließen, bis GKE aufgrund der Wartungsverfügbarkeit fortfahren kann.

Wenn Sie Wartungsausschlüsse oder Wartungsfenster verwenden, die zu einem Fehlschlagen der Rotation führen können, führen Sie ein manuelles Upgrade des Clusters durch, um die Neuerstellung des Knotens zu erzwingen:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --location=CONTROL_PLANE_LOCATION \
    --cluster-version=VERSION
```
Ersetzen Sie VERSION durch die GKE-Version, die der Cluster bereits verwendet.

Weitere Informationen finden Sie unter Automatische Wartung unter Einhaltung der GKE-Wartungsrichtlinien.

Fortschritt der Neuerstellung des Knotenpools prüfen

Führen Sie zur Überwachung des Rotationsvorgangs den folgenden Befehl aus:

gcloud container operations list \
    --filter="operationType=UPGRADE_NODES AND status=RUNNING" \
    --format="value(name)"

Dieser Befehl gibt die Vorgangs-ID des Knotenupgrades zurück.

Um den Vorgang abzufragen, übergeben Sie die Vorgangs-ID an den folgenden Befehl:
```
gcloud container operations wait OPERATION_ID
```

Knotenpools werden jeweils einzeln neu erstellt und jeder Knotenpool hat einen eigenen Vorgang. Wenn Sie mehrere Knotenpools nutzen, verwenden Sie diese Anweisungen, um alle einzelnen Vorgänge abzufragen.

API-Clients aktualisieren

Nachdem Sie die IP-Rotation eingeleitet haben, müssen Sie alle API-Clients außerhalb des Clusters (z. B. kubectl auf Entwicklermaschinen) so aktualisieren, dass sie auf die neue IP-Adresse verweisen.

Führen Sie den folgenden Befehl für jeden API-Client aus, um Ihre API-Clients zu aktualisieren:

gcloud container clusters get-credentials CLUSTER_NAME

Hinweis:

Fest codierte IP-Adressen und Firewallregeln aktualisieren

Wenn Sie die IP-Adresse der Steuerungsebene in Ihrer Umgebung fest codiert haben oder Firewallregeln vorhanden sind, die auf die IP-Adresse der Steuerungsebene ausgerichtet sind, aktualisieren Sie die Adressen auf die neue IP-Adresse. Wenn Sie die Rotation abschließen, ohne die IP-Adressen in Anwendungen und Firewallregeln zu aktualisieren, kann es bei diesen Ressourcen zu Unterbrechungen kommen, wenn GKE die Bereitstellung über die vorherige IP-Adresse der Steuerungsebene einstellt.

Rotation abschließen

Nachdem Sie API-Clients außerhalb des Clusters aktualisiert haben, schließen Sie die Rotation ab, um die Steuerungsebene so zu konfigurieren, dass sie nur die neue IP-Adresse verwendet.

Führen Sie den folgenden Befehl aus, um die Rotation abzuschließen:

gcloud container clusters update CLUSTER_NAME \
    --complete-ip-rotation

Die Ausgabe sieht in etwa so aus:

This will complete the in-progress IP Rotation on cluster CLUSTER_NAME.
The master will be updated to stop serving on the old IP address and only
serve on the new IP address. Make sure all API clients have been updated
to communicate with the new IP address (e.g. by running `gcloud container
clusters get-credentials --project PROJECT_ID --region COMPUTE_REGION
CLUSTER_NAME`). This operation is long-running and will
block other operations on the cluster (including delete) until it has
run to completion.

Wenn die Rotation der IP-Adresse nicht abgeschlossen wird und eine Fehlermeldung ähnlich der folgenden zurückgegeben wird, lesen Sie den Hilfeartikel Fehler 400: Knotenpool muss neu erstellt werden:

ERROR: (gcloud.container.clusters.update) ResponseError: code=400, message=Node pool "test-pool-1" requires recreation.

Wenn Sie eine IP-Adressrotation nicht innerhalb von sieben Tagen nach Beginn durchführen, versucht GKE, die Rotation für Sie abzuschließen. Wenn auf einigen Knoten in Ihrem Cluster noch die vorherige IP-Adresse verwendet wird – möglicherweise, weil die Wartungsverfügbarkeit und zugehörige Einschränkungen verhindern, dass die Knoten neu erstellt werden –, schlägt die automatische Vervollständigung fehl. GKE versucht jedoch weiterhin, die Vervollständigung durchzuführen, bis die Knoten neu erstellt werden und der Vorgang abgeschlossen werden kann.