Criar um cluster privado

Esta página explica como criar um cluster privado do Google Kubernetes Engine (GKE), que é um tipo de cluster nativo da VPC. Num cluster privado, os nós só têm endereços IP internos, o que significa que os nós e os pods estão isolados da Internet por predefinição. Pode optar por não ter acesso de cliente, ter acesso limitado ou ter acesso não restrito ao plano de controlo.

Restrições e limitações

Os clusters privados têm de ser clusters nativos de VPC. Os clusters nativos da VPC não suportam redes antigas.

Intervalos secundários de pods ao nível do node pool: quando cria um cluster do GKE, se especificar um intervalo secundário de pods inferior a /24 por node pool através da IU, pode ocorrer o seguinte erro:

Getting Pod secondary range 'pod' must have a CIDR block larger or equal to /24

O GKE não suporta a especificação de um intervalo inferior a /24 ao nível do conjunto de nós. No entanto, a especificação de um intervalo mais pequeno ao nível do cluster é suportada. Isto pode ser feito através da Google Cloud CLI com o argumento --cluster-ipv4-cidr. Para mais informações, consulte o artigo Criar um cluster com um intervalo CIDR específico.

Expanda as secções seguintes para ver as regras relativas aos intervalos de endereços IP e ao tráfego quando cria um cluster.

Antes de começar

Antes de começar, certifique-se de que realizou as seguintes tarefas:

• Ative a API Google Kubernetes Engine.
Ative a API Google Kubernetes Engine
• Se quiser usar a CLI gcloud para esta tarefa, instale-a e, em seguida, inicialize-a. Se instalou anteriormente a CLI gcloud, execute gcloud components update para obter a versão mais recente.

• Certifique-se de que tem a autorização correta para criar clusters. No mínimo, deve ter a função de administrador do cluster do Kubernetes Engine.

• Certifique-se de que tem um caminho para o gateway da Internet predefinido.

Criar um cluster privado sem acesso de cliente ao ponto final público

Nesta secção, cria os seguintes recursos:

• Um cluster privado denominado private-cluster-0 que tem nós privados e que não tem acesso de cliente ao ponto final público.
• Uma rede chamada my-net-0.
• Uma sub-rede com o nome my-subnet-0.

Neste momento, estes são os únicos endereços IP que têm acesso ao plano de controlo:

• O intervalo principal de my-subnet-0.
• O intervalo secundário usado para agrupamentos.

Por exemplo, suponhamos que criou uma VM no intervalo principal de my-subnet-0. Em seguida, nessa VM, pode configurar kubectl para usar o endereço IP interno do plano de controlo.

Se quiser aceder ao plano de controlo a partir do exterior de my-subnet-0, tem de autorizar, pelo menos, um intervalo de endereços a ter acesso ao ponto final privado.

Suponha que tem uma VM na rede predefinida, na mesma região que o seu cluster, mas não em my-subnet-0.

Por exemplo:

• my-subnet-0: 10.0.0.0/22
• Intervalo secundário do agrupamento: 10.52.0.0/14
• Endereço da VM: 10.128.0.3

Pode autorizar a VM a aceder ao plano de controlo através deste comando:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Criar um cluster privado com acesso limitado ao ponto final público

Quando cria um cluster privado com esta configuração, pode optar por usar uma sub-rede gerada automaticamente ou uma sub-rede personalizada.

Usar uma sub-rede gerada automaticamente

Nesta secção, cria um cluster privado denominado private-cluster-1, em que o GKE gera automaticamente uma sub-rede para os nós do cluster. A sub-rede tem o acesso privado à Google ativado. Na sub-rede, o GKE cria automaticamente dois intervalos secundários: um para pods e outro para serviços.

Pode usar a CLI Google Cloud ou a API GKE.

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

Neste momento, estes são os únicos endereços IP que têm acesso ao plano de controlo do cluster:

• O intervalo principal de my-subnet-1.
• O intervalo secundário usado para agrupamentos.

Suponhamos que tem um grupo de máquinas, fora da sua rede VPC, com endereços no intervalo 203.0.113.0/29. Pode autorizar essas máquinas a acederem ao ponto final público introduzindo este comando:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Agora, estes são os únicos endereços IP que têm acesso ao plano de controlo:

• O intervalo principal de my-subnet-1.
• O intervalo secundário usado para agrupamentos.
• Intervalos de endereços que autorizou, por exemplo, 203.0.113.0/29.

Usar uma sub-rede personalizada

Nesta secção, cria os seguintes recursos:

• Um cluster privado com o nome private-cluster-2.
• Uma rede chamada my-net-2.
• Uma sub-rede denominada my-subnet-2, com o intervalo principal 192.168.0.0/20, para os nós do cluster. A sua sub-rede tem os seguintes intervalos de endereços secundários:
  • my-pods para os endereços IP do pod.
  • my-services para os endereços IP de serviço.

gcloud compute networks create my-net-2 \
    --subnet-mode custom

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

Neste momento, estes são os únicos endereços IP que têm acesso ao plano de controlo:

• O intervalo principal de my-subnet-2.
• O intervalo secundário my-pods.

Suponhamos que tem um grupo de máquinas, fora do my-net-2, com endereços no intervalo 203.0.113.0/29. Pode autorizar essas máquinas a acederem ao ponto final público introduzindo este comando:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Neste momento, estes são os únicos endereços IP que têm acesso ao plano de controlo:

• O intervalo principal de my-subnet-2.
• O intervalo secundário my-pods.
• Intervalos de endereços que autorizou, por exemplo, 203.0.113.0/29.

Usar o Cloud Shell para aceder a um cluster privado

Se tiver ativado um ponto final privado, não pode aceder ao plano de controlo do GKE com o Cloud Shell.

Se quiser usar o Cloud Shell para aceder ao cluster, tem de adicionar o endereço IP externo do Cloud Shell à lista de redes autorizadas do cluster.

Para o fazer:

1. Na janela de linha de comandos da Cloud Shell, use dig para encontrar o endereço IP externo da Cloud Shell:

   dig +short myip.opendns.com @resolver1.opendns.com
   

2. Adicione o endereço externo do Cloud Shell à lista de redes autorizadas do cluster:

   gcloud container clusters update CLUSTER_NAME \
       --enable-master-authorized-networks \
       --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
   

   Substitua o seguinte:

   • CLUSTER_NAME: o nome do cluster.

   • EXISTING_AUTH_NETS: os endereços IP da sua lista existente de redes autorizadas. Pode encontrar as suas redes autorizadas na consola ou executando o seguinte comando:

     gcloud container clusters describe CLUSTER_NAME --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
     

   • SHELL_IP: o endereço IP externo do seu Cloud Shell.

3. Obtenha credenciais para poder usar o kubectl para aceder ao cluster:

   gcloud container clusters get-credentials CLUSTER_NAME \
       --project=PROJECT_ID \
       --internal-ip
   

   Substitua PROJECT_ID pelo ID do seu projeto.

4. Use kubectl no Cloud Shell para aceder ao seu cluster:

   kubectl get nodes
   

   O resultado é semelhante ao seguinte:

   NAME                                               STATUS   ROLES    AGE    VERSION
   gke-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
   gke-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
   gke-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302
   

Criar um cluster privado com acesso ilimitado ao ponto final público

Nesta secção, cria um cluster privado onde qualquer endereço IP pode aceder ao plano de controlo.

Adicione regras de firewall para exemplos de utilização específicos

Esta secção explica como adicionar uma regra de firewall a um cluster. Por predefinição, as regras de firewall restringem o plano de controlo do cluster para iniciar apenas ligações TCP aos seus nós e pods nas portas 443 (HTTPS) e 10250 (kubelet). Para algumas funcionalidades do Kubernetes, pode ter de adicionar regras de firewall para permitir o acesso em portas adicionais. Não crie regras de firewall nem regras de políticas de firewall hierárquicas que tenham uma prioridade mais elevada do que as regras de firewall criadas automaticamente.

As funcionalidades do Kubernetes que requerem regras de firewall adicionais incluem:

• Webhooks de admissão
• Servidores de API agregados
• Conversão de webhook
• Configuração de auditoria dinâmica
• Geralmente, qualquer API que tenha um campo ServiceReference requer regras de firewall adicionais.

A adição de uma regra de firewall permite o tráfego do plano de controlo do cluster para todos os seguintes elementos:

• A porta especificada de cada nó (hostPort).
• A porta especificada de cada Pod em execução nestes nós.
• A porta especificada de cada serviço em execução nestes nós.

Para saber mais sobre as regras de firewall, consulte o artigo Regras de firewall na documentação do Cloud Load Balancing.

Para adicionar uma regra de firewall num cluster, tem de registar o bloco CIDR do plano de controlo do cluster e o destino usado. Depois de registar esta informação, pode criar a regra.

Veja o bloco CIDR do plano de controlo

Precisa do bloco CIDR do plano de controlo do cluster para adicionar uma regra de firewall.

gcloud container clusters describe CLUSTER_NAME

Veja as regras de firewall existentes

Tem de especificar o destino (neste caso, os nós de destino) que as regras de firewall existentes do cluster usam.

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Adicione uma regra de firewall

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

--project HOST_PROJECT_ID
--network NETWORK_ID

Verifique se os nós não têm endereços IP externos

Depois de criar um cluster privado, verifique se os nós do cluster não têm endereços IP externos.

kubectl get nodes --output wide

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Valide a reutilização do intercâmbio de VPC no cluster

Todos os clusters privados que criar após 15 de janeiro de 2020 usam ligações de interligação de redes VPC.

Pode verificar se o seu cluster privado reutiliza ligações de interligação de redes VPC através da CLI gcloud ou da Google Cloud consola.

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Configurações avançadas de clusters

Esta secção descreve algumas configurações avançadas que pode querer quando criar um cluster privado.

Conceder acesso à Internet de saída a nós privados

Para fornecer acesso à Internet de saída para os seus nós privados, como extrair imagens de um registo externo, use o Cloud NAT para criar e configurar um Cloud Router. O Cloud NAT permite que os nós privados estabeleçam ligações de saída através da Internet para enviar e receber pacotes.

O Cloud Router permite que todos os seus nós na região usem o Cloud NAT para todos os intervalos de IP de alias primários. Também aloca automaticamente os endereços IP externos para o gateway NAT.

Para obter instruções sobre como criar e configurar um Cloud Router, consulte o artigo Crie uma configuração do Cloud NAT com o Cloud Router na documentação do Cloud NAT.

Criar um cluster privado numa rede de VPC partilhada

Para saber como criar um cluster privado numa rede de VPC partilhada, consulte o artigo Criar um cluster privado numa VPC partilhada.

Implementar uma aplicação de contentor do Windows Server

Para saber como implementar uma aplicação de contentor do Windows Server num cluster com nós privados, consulte a documentação do conjunto de nós do Windows.

Aceder ao ponto final privado do plano de controlo globalmente

O ponto final privado do plano de controlo é implementado por um balanceador de carga de rede de passagem interno na rede VPC do plano de controlo. Os clientes internos ou ligados através de anexos de VLAN do Cloud Interconnect e túneis do Cloud VPN podem aceder a balanceadores de carga de rede de passagem internos.

Por predefinição, estes clientes têm de estar localizados na mesma região que o equilibrador de carga.

Quando ativa o acesso global do plano de controlo, o balanceador de carga de passagem interno fica acessível a nível global: as VMs de cliente e os sistemas no local podem ligar-se ao ponto final privado do plano de controlo, sujeitos à configuração de redes autorizadas, a partir de qualquer região.

Para mais informações sobre os balanceadores de carga de encaminhamento interno e o acesso global, consulte o artigo Balanceadores de carga internos e redes ligadas.

Ativar o acesso global do ponto final privado do plano de controlo

Por predefinição, o acesso global não está ativado para o ponto final privado do painel de controlo quando cria um cluster privado. Para ativar o acesso global do plano de controlo, use as seguintes ferramentas com base no modo do cluster:

• Para clusters padrão, pode usar Google Cloud CLI ou a consola Google Cloud .
• Para clusters do Autopilot, pode usar o recurso do google_container_cluster Terraform.

gcloud container clusters create CLUSTER_NAME \
    --enable-private-nodes \
    --enable-master-global-access

gcloud container clusters update CLUSTER_NAME \
    --enable-master-global-access

Validar o acesso global do ponto final privado do plano de controlo

Pode verificar se o acesso global ao ponto final privado do plano de controlo está ativado executando o seguinte comando e analisando a respetiva saída.

gcloud container clusters describe CLUSTER_NAME

O resultado inclui uma secção privateClusterConfig onde pode ver o estado de masterGlobalAccessConfig.

privateClusterConfig:
  enablePrivateNodes: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
  masterGlobalAccessConfig:
    enabled: true

Aceder ao ponto final privado do plano de controlo a partir de outras redes

Quando cria um cluster privado do GKE e desativa o ponto final público do plano de controlo, tem de administrar o cluster com ferramentas como kubectl através do ponto final privado do respetivo plano de controlo. Pode aceder ao ponto final privado do painel de controlo do cluster a partir de outra rede, incluindo o seguinte:

• Uma rede no local ligada à rede VPC do cluster através de túneis de VPN na nuvem ou anexos de VLAN do Cloud Interconnect
• Outra rede VPC que está ligada à rede VPC do cluster através de túneis do Cloud VPN

O diagrama seguinte mostra um caminho de encaminhamento entre uma rede no local e os nós do plano de controlo do GKE:

Para permitir que os sistemas noutra rede se liguem ao ponto final privado do plano de controlo de um cluster, cumpra os seguintes requisitos:

1. Identificar e registar informações de rede relevantes para o cluster e o ponto final privado do respetivo plano de controlo.

   gcloud container clusters describe CLUSTER_NAME \
      --location=COMPUTE_LOCATION \
      --format="yaml(network, privateClusterConfig)"
   

   Substitua o seguinte:

   • CLUSTER_NAME: o nome do cluster.
   • COMPUTE_LOCATION: a localização do Compute Engine do cluster

   A partir do resultado do comando, identifique e registe as seguintes informações para usar nos passos seguintes:

   • network: o nome ou o URI da rede VPC do cluster.
   • privateEndpoint: O endereço IPv4 do ponto final privado do plano de controlo ou o intervalo CIDR IPv4 delimitador (masterIpv4CidrBlock).
   • peeringName: o nome da ligação de intercâmbio da rede da VPC usada para ligar a rede da VPC do cluster à rede da VPC do plano de controlo.

   O resultado é semelhante ao seguinte:

   network: cluster-network
   privateClusterConfig:
     enablePrivateNodes: true
     masterGlobalAccessConfig:
       enabled: true
     masterIpv4CidrBlock: 172.16.1.0/28
     peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
     privateEndpoint: 172.16.1.2
     publicEndpoint: 34.68.128.12
   

2. Considere ativar o acesso global do ponto final privado do plano de controlo para permitir que os pacotes entrem a partir de qualquer região na rede VPC do cluster. A ativação do acesso global ao ponto final privado do plano de controlo permite-lhe estabelecer ligação ao ponto final privado através de túneis da Cloud VPN ou anexos de VLAN do Cloud Interconnect localizados em qualquer região e não apenas na região do cluster.

3. Crie uma rota para o endereço IP privateEndpoint ou o intervalo de endereços IP masterIpv4CidrBlock na outra rede. Uma vez que o endereço IP do ponto final privado do plano de controlo se enquadra sempre no intervalo de endereços IPv4, a criação de uma rota para o endereço IP ou o respetivo intervalo envolvente fornece um caminho para os pacotes da outra rede para o ponto final privado do plano de controlo se:masterIpv4CidrBlockprivateEndpoint

   • A outra rede liga-se à rede VPC do cluster através de anexos de VLAN do Cloud Interconnect ou túneis do Cloud VPN que usam rotas dinâmicas (BGP): use uma rota anunciada personalizada do Cloud Router. Para mais informações, consulte o artigo Anuncie intervalos de endereços personalizados na documentação do Cloud Router.

   • A outra rede liga-se à rede VPC do cluster através de túneis de VPN clássica que não usam rotas dinâmicas: tem de configurar uma rota estática na outra rede.

4. Configure a rede VPC do cluster para exportar as respetivas rotas personalizadas na relação de peering para a rede VPC do painel de controlo.O Google Cloud configura sempre a rede VPC do painel de controlo para importar rotas personalizadas da rede VPC do cluster. Este passo fornece um caminho para os pacotes do ponto final privado do plano de controlo de volta para a outra rede.

   Para ativar a exportação de rotas personalizadas da rede VPC do cluster, use o seguinte comando:

   gcloud compute networks peerings update PEERING_NAME \
       --network=CLUSTER_VPC_NETWORK \
       --export-custom-routes
   

   Substitua o seguinte:

   • PEERING_NAME: o nome do intercâmbio que liga a rede VPC do cluster à rede VPC do plano de controlo
   • CLUSTER_VPC_NETWORK: o nome ou o URI da rede VPC do cluster

   Quando a exportação de rotas personalizadas está ativada para a VPC, a criação de rotas que se sobreponham aos intervalos de IP pode danificar o cluster.Google Cloud

   Para mais detalhes sobre como atualizar a troca de rotas para associações de intercâmbio de rede VPC existentes, consulte o artigo Atualize a associação.

   As rotas personalizadas na rede VPC do cluster incluem rotas cujos destinos são intervalos de endereços IP noutras redes, por exemplo, uma rede no local. Para garantir que estas rotas entram em vigor como rotas personalizadas de interligação na rede VPC do plano de controlo, consulte Destinos suportados da outra rede.

Destinos suportados da outra rede

Os intervalos de endereços que a outra rede envia para os Cloud Routers na rede VPC do cluster têm de cumprir as seguintes condições:

• Embora a VPC do cluster possa aceitar um trajeto predefinido (0.0.0.0/0), a rede VPC do plano de controlo rejeita sempre os trajetos predefinidos porque já tem um trajeto predefinido local. Se a outra rede enviar uma rota predefinida para a sua rede VPC, a outra rede também tem de enviar os destinos específicos dos sistemas que precisam de se ligar ao ponto final privado do plano de controlo. Para mais detalhes, consulte o artigo Ordem de encaminhamento.

• Se a rede VPC do plano de controlo aceitar rotas que substituam efetivamente uma rota predefinida, essas rotas interrompem a conetividade com as APIs e os serviçosGoogle Cloud , interrompendo o plano de controlo do cluster. Como exemplo representativo, a outra rede não pode anunciar trajetos com destinos 0.0.0.0/1 e 128.0.0.0/1. Consulte o ponto anterior para ver uma alternativa.

Monitorize os limites do Cloud Router, especialmente o número máximo de destinos únicos para rotas aprendidas.

Proteger um cluster privado com os VPC Service Controls

Para proteger ainda mais os seus clusters privados do GKE, pode protegê-los através do VPC Service Controls.

O VPC Service Controls oferece segurança adicional para os seus clusters privados do GKE para ajudar a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar projetos a perímetros de serviço que protegem recursos e serviços de pedidos originados fora do perímetro.

Para saber mais acerca dos perímetros de serviço, consulte o artigo Detalhes e configuração do perímetro de serviço.

Se usar o Artifact Registry com o seu cluster privado do GKE num perímetro de serviço dos VPC Service Controls, tem de configurar o encaminhamento para o IP virtual restrito para evitar a exfiltração de dados.

Limpar

Depois de concluir as tarefas nesta página, siga estes passos para remover os recursos e evitar a incorrência de encargos indesejados na sua conta:

Elimine os clusters

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Elimine a rede

gcloud compute networks delete my-net-0

O que se segue?

• Saiba mais sobre as configurações avançadas com clusters privados.
• Saiba como criar clusters nativos da VPC.
• Saiba mais acerca do intercâmbio da rede da VPC.
• Siga o tutorial sobre como aceder a clusters privados do GKE com pools privadas do Cloud Build.