Como criar um cluster privado

Nesta página, você aprende a criar um cluster particular do Google Kubernetes Engine (GKE), que é um tipo de cluster nativo de VPC. Em um cluster particular, os nós têm apenas endereços IP internos, o que significa que os nós e os pods estão isolados da Internet por padrão. Você pode optar por não ter acesso de cliente, acesso limitado ou acesso irrestrito ao plano de controle.

Restrições e limitações

Clusters particulares precisam ser nativos de VPC. Clusters nativos de VPC não são compatíveis com redes legadas.

Abra as seções a seguir para conferir as regras sobre intervalos de endereços IP e tráfego ao criar um cluster.

Antes de começar

Antes de começar, veja se você realizou as seguintes tarefas:

• Ative a API Google Kubernetes Engine.
Ativar a API Google Kubernetes Engine
• Se você quiser usar a CLI do Google Cloud para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a gcloud CLI anteriormente, instale a versão mais recente executando gcloud components update.

• Verifique se você tem a permissão correta para criar clusters. Você precisa ser, no mínimo, um Administrador de clusters do Kubernetes Engine.

• Verifique se você tem uma rota para o gateway de Internet padrão.

Como criar um cluster privado sem acesso de cliente ao endpoint público

Nesta seção, você criará os recursos a seguir:

• Um cluster particular chamado private-cluster-0 que tem nós particulares e que não tem acesso de cliente ao endpoint público.
• Uma rede chamada my-net-0.
• Uma sub-rede chamada my-subnet-0.

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle são estes:

• O intervalo principal de my-subnet-0
• O intervalo secundário usado para os pods.

Por exemplo, suponha que você tenha criado uma VM no intervalo principal de my-subnet-0. Então, nessa VM, seria possível configurar kubectl para usar o endereço IP interno do plano de controle.

Se você quiser acessar o plano de controle de fora do my-subnet-0, precisará autorizar pelo menos um intervalo de endereços a ter acesso ao endpoint particular.

Suponha que você tenha uma VM na rede padrão, na mesma região que seu cluster, mas não em my-subnet-0.

Por exemplo:

• my-subnet-0: 10.0.0.0/22
• intervalo secundário de pods: 10.52.0.0/14
• endereço da VM: 10.128.0.3

Use o comando a seguir para autorizar a VM a acessar o plano de controle:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Como criar um cluster privado com acesso limitado ao endpoint público

Ao criar um cluster privado usando essa configuração, é possível optar por usar uma sub-rede gerada automaticamente ou uma sub-rede personalizada.

Como usar uma sub-rede gerada automaticamente

Nesta seção, você cria um cluster particular chamado private-cluster-1 em que o GKE gerar automaticamente uma sub-rede para os nós do cluster. Ela já tem o recurso “Acesso privado do Google” ativado. Na sub-rede, o GKE cria automaticamente dois intervalos secundários: um para os pods e outro para os serviços.

É possível usar a Google Cloud CLI ou a API GKE.

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle do cluster são estes:

• O intervalo principal de my-subnet-1
• O intervalo secundário usado para os pods

Imagine que você tem um grupo de máquinas fora da sua rede VPC, com endereços no intervalo 203.0.113.0/29. Digite o comando abaixo para autorizar que essas máquinas acessem o endpoint público:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Agora, estes são os únicos endereços IP que têm acesso ao plano de controle:

• O intervalo principal de my-subnet-1
• O intervalo secundário usado para os pods.
• Os intervalos autorizados, como 203.0.113.0/29

Como usar uma sub-rede personalizada

Nesta seção, você criará os recursos a seguir:

• Um cluster particular chamado private-cluster-2.
• Uma rede chamada my-net-2.
• Uma sub-rede chamada my-subnet-2, com intervalo principal 192.168.0.0/20, para seus nós de cluster. Sua sub-rede tem os seguintes intervalos de endereços secundários:
  • my-pods para os endereços IP de pods.
  • my-services para os endereços IP do Serviço.

gcloud compute networks create my-net-2 \
    --subnet-mode custom

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle são estes:

• O intervalo principal de my-subnet-2
• O intervalo secundário my-pods

Suponha que você tenha um grupo de máquinas fora de my-net-2 que tenham endereços no intervalo 203.0.113.0/29. Digite o comando abaixo para autorizar que essas máquinas acessem o endpoint público:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle são estes:

• O intervalo principal de my-subnet-2
• O intervalo secundário my-pods
• Os intervalos autorizados, como 203.0.113.0/29

Como usar o Cloud Shell para acessar um cluster particular

Se você tiver ativado um endpoint particular, não será possível acessar o plano de controle do GKE com o Cloud Shell.

Se você quiser usar o Cloud Shell para acessar o cluster, adicione o endereço IP externo do Cloud Shell à lista de redes autorizadas do cluster.

As etapas para fazer isso:

1. Na janela da linha de comando do Cloud Shell, use dig para encontrar o endereço IP externo do seu Cloud Shell:

   dig +short myip.opendns.com @resolver1.opendns.com
   

2. Adicione o endereço externo do seu Cloud Shell à lista de redes autorizadas do cluster:

   gcloud container clusters update CLUSTER_NAME \
       --enable-master-authorized-networks \
       --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
   

   Substitua:

   • CLUSTER_NAME: o nome do cluster.

   • EXISTING_AUTH_NETS: os endereços IP da sua lista atual de redes autorizadas. É possível encontrar suas redes autorizadas no console ou executando o seguinte comando:

     gcloud container clusters describe CLUSTER_NAME --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
     

   • SHELL_IP: é o endereço IP externo do seu Cloud Shell.

3. Receba as credenciais para poder usar a kubectl para acessar o cluster:

   gcloud container clusters get-credentials CLUSTER_NAME \
       --project=PROJECT_ID \
       --internal-ip
   

   Substitua PROJECT_ID pela ID do seu projeto.

4. Use kubectl no Cloud Shell para acessar o cluster:

   kubectl get nodes
   

   O resultado será assim:

   NAME                                               STATUS   ROLES    AGE    VERSION
   gke-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
   gke-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
   gke-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302
   

Como criar um cluster privado com acesso irrestrito ao endpoint público

Nesta seção, você cria um cluster privado em que qualquer endereço IP pode acessar o plano de controle.

Adicionar regras de firewall para casos de uso específicos

Esta seção explica como adicionar uma regra de firewall a um cluster. Por padrão, as regras de firewall restringem o plano de controle do cluster a apenas iniciar conexões TCP com os nós e pods nas portas 443 (HTTPS) e 10250 (kubelet). Para alguns recursos do Kubernetes, talvez seja necessário adicionar regras de firewall para permitir o acesso em outras portas. Não crie regras de firewall ou regras de políticas hierárquicas de firewall que tenham uma prioridade mais alta do que as regras de firewall criadas automaticamente.

Os recursos do Kubernetes que exigem regras de firewall adicionais incluem:

• Webhooks de admissão
• Servidores de API agregados
• Conversão de webhook
• Configuração de auditoria dinâmica
• Geralmente, qualquer API que tenha um campo ServiceReference requer regras de firewall adicionais.

Adicionar uma regra de firewall permite o tráfego do plano de controle do cluster para todos os itens a seguir:

• A porta especificada de cada nó (hostPort).
• a porta especificada de cada pod em execução nesses nós
• A porta especificada de cada Service em execução nesses nós

Para saber mais sobre as regras de firewall, consulte Regras de firewall na documentação do Cloud Load Balancing

Para adicionar uma regra de firewall a um cluster, você precisa registrar o bloco CIDR do plano de controle do cluster e o destino usado. Depois de registrá-la, é possível criar a regra.

Ver o bloco CIDR do plano de controle

Você precisa do bloco CIDR do plano de controle do cluster para adicionar uma regra de firewall.

gcloud container clusters describe CLUSTER_NAME

Ver as regras de firewall atuais

É necessário especificar o destino (neste caso, os nós de destino) que as regras de firewall do cluster usam.

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Adicionar uma regra de firewall

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

--project HOST_PROJECT_ID
--network NETWORK_ID

Verificar se os nós não têm endereços IP externos

Depois de criar um cluster particular, verifique se os nós dele não têm endereços IP externos.

kubectl get nodes --output wide

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Verificar a reutilização do peering de VPC no cluster

Todos os clusters particulares criados após 15 de janeiro de 2020 reutilizam as conexões do peering da rede VPC.

Para verificar se o cluster particular reutiliza as conexões de peering de rede VPC, use a gcloud CLI ou o console do Google Cloud.

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Configurações avançadas de cluster

Esta seção descreve algumas configurações avançadas que podem ser necessárias ao criar um cluster particular.

Como conceder aos nós privados acesso à Internet de saída

Para fornecer acesso de Internet de saída aos seus nós particulares, como para extrair imagens de um registro externo, use o Cloud NAT para criar e configurar um Cloud Router. O Cloud NAT permite que nós particulares estabeleçam conexões de saída pela Internet para enviar e receber pacotes.

O Cloud Router permite que todos os nós da região usem o Cloud NAT para todos os intervalos de IP de alias e principais. Ele também aloca automaticamente os endereços IP externos para o gateway NAT.

Para instruções sobre como criar e configurar um Cloud Router, consulte Criar uma configuração do Cloud NAT usando o Cloud Router na documentação do Cloud NAT.

Como criar um cluster privado em uma rede VPC compartilhada

Para saber como criar um cluster particular em uma rede VPC compartilhada, consulte Como criar um cluster particular em uma VPC compartilhada.

Como implantar um aplicativo de contêiner do Windows Server

Para saber como implantar um aplicativo de contêiner do Windows Server em um cluster com nós particulares, consulte a documentação do pool de nós do Windows.

Como acessar o endpoint privado do plano de controle globalmente

O endpoint particular do plano de controle é implementado por um balanceador de carga de rede interno na rede VPC do plano de controle. Clientes internos ou conectados por meio de túneis do Cloud VPN e anexos da VLAN do Cloud Interconnect podem acessar balanceadores de carga de rede internos.

Por padrão, esses clientes precisam estar localizados na mesma região do balanceador de carga.

Quando você ativa o acesso global do plano de controle, o balanceador de carga de rede interno é acessível globalmente: as VMs cliente e sistemas locais podem se conectar ao endpoint particular do plano de controle, sujeito à configuração de redes autorizadas, em qualquer região.

Para mais informações sobre os balanceadores de carga de rede internos e o acesso global, consulte Balanceadores de carga internos e redes conectadas.

Como ativar o acesso global do endpoint particular do plano de controle

Por padrão, o acesso global não é ativado para o endpoint privado do plano de controle quando você cria um cluster privado. Para ativar o acesso global ao plano de controle, use as seguintes ferramentas com base no modo de cluster:

• Para clusters padrão, use Google Cloud CLI ou o console do Google Cloud.

• Para clusters do Autopilot, use o recurso Terraform google_container_cluster.

gcloud container clusters create CLUSTER_NAME \
    --enable-private-nodes \
    --enable-master-global-access

gcloud container clusters update CLUSTER_NAME \
    --enable-master-global-access

Como verificar o acesso global do endpoint particular do plano de controle

Verifique se o acesso global ao endpoint privado do plano de controle está ativado executando o comando a seguir e observando a saída.

gcloud container clusters describe CLUSTER_NAME

A saída inclui uma seção privateClusterConfig em que vê o status de masterGlobalAccessConfig.

privateClusterConfig:
  enablePrivateNodes: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
  masterGlobalAccessConfig:
    enabled: true

Como acessar o endpoint particular do plano de controle em outras redes

Quando você cria um cluster particular do GKE e desativa o endpoint público do plano de controle, é necessário administrá-lo com ferramentas como kubectl usando o endpoint particular do plano de controle. É possível acessar o endpoint particular do plano de controle do cluster de outra rede, incluindo o seguinte:

• uma rede local conectada à rede VPC do cluster usando túneis do Cloud VPN ou anexos da VLAN do Cloud Interconnect;
• Outra rede VPC conectada à rede VPC do cluster usando túneis do Cloud VPN

O diagrama a seguir mostra um caminho de roteamento entre uma rede no local e os nós do plano de controle do GKE:

Para permitir que sistemas em outra rede se conectem ao endpoint particular do plano de controle de um cluster, atenda aos seguintes requisitos:

1. Identifique e registre informações de rede relevantes para o cluster e o endpoint particular do plano de controle.

   gcloud container clusters describe CLUSTER_NAME \
      --location=COMPUTE_LOCATION \
      --format="yaml(network, privateClusterConfig)"
   

   Substitua:

   • CLUSTER_NAME: o nome do cluster.
   • COMPUTE_LOCATION: a região do Compute Engine para o cluster

   Na saída do comando, identifique e registre as seguintes informações para usar nas próximas etapas:

   • network: o nome ou URI da rede VPC do cluster.
   • privateEndpoint: o endereço IPv4 do endpoint particular do plano de controle ou o intervalo CIDR IPv4 delimitado (masterIpv4CidrBlock).
   • peeringName: o nome da conexão de peering de rede VPC usada para conectar a rede VPC do cluster à rede VPC do plano de controle.

   A saída será assim:

   network: cluster-network
   privateClusterConfig:
     enablePrivateNodes: true
     masterGlobalAccessConfig:
       enabled: true
     masterIpv4CidrBlock: 172.16.1.0/28
     peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
     privateEndpoint: 172.16.1.2
     publicEndpoint: 34.68.128.12
   

2. Considere ativar o acesso global do endpoint particular do plano de controle para permitir que os pacotes entrem em qualquer região na rede VPC do cluster. Ativar o acesso global do endpoint particular do plano de controle permite que você se conecte ao endpoint particular usando túneis do Cloud VPN ou anexos da VLAN do Cloud Interconnect localizados em qualquer região, não apenas na região do cluster.

3. Crie uma rota para o endereço IP privateEndpoint ou o intervalo de endereços IP masterIpv4CidrBlock da outra rede. Como o endereço IP particular do plano de controle sempre se encaixa no masterIpv4CidrBlock intervalo de endereços IPv4, criando uma rota para o privateEndpoint o endereço IP ou o intervalo incluído fornece um caminho para pacotes da outra rede para o endpoint particular do plano de controle se:

   • A outra rede se conecta à rede VPC do cluster usando anexos da VLAN do Cloud Interconnect ou túneis do Cloud VPN que usam rotas dinâmicas (BGP): use uma rota personalizada divulgada do Cloud Router. Para mais informações, consulte Divulgar intervalos de endereços personalizados na documentação do Cloud Router.

   • A outra rede se conecta à rede VPC do cluster usando túneis da VPN clássica que não usam rotas dinâmicas: é preciso configurar uma rota estática na outra rede do Google Analytics.

4. Configure a rede VPC do cluster para exportar as rotas personalizadas na relação de peering com a rede VPC do plano de controle. Google Cloud sempre configura a rede VPC do plano de controle para importar rotas personalizadas da rede VPC do cluster. Essa etapa fornece um caminho para os pacotes do endpoint particular do plano de controle de volta para a outra rede.

   Para ativar a exportação de rota personalizada a partir da rede VPC do cluster, use o seguinte comando:

   gcloud compute networks peerings update PEERING_NAME \
       --network=CLUSTER_VPC_NETWORK \
       --export-custom-routes
   

   Substitua:

   • PEERING_NAME: o nome do peering que conecta a rede VPC do cluster à rede VPC do plano de controle.
   • CLUSTER_VPC_NETWORK: o nome ou URI da rede VPC do cluster;

   Quando a exportação de rota personalizada é ativada para a VPC, criar rotas que se sobrepõem aos Google Cloud intervalos de IP pode interromper o cluster.

   Para mais detalhes sobre como atualizar a troca de rotas para conexões de peering de rede VPC existentes, consulte Atualizar a conexão de peering.

   As rotas personalizadas na rede VPC do cluster incluem rotas com destinos que são intervalos de endereços IP em outras redes, por exemplo, uma rede local. Para garantir que essas rotas se tornem efetivas como peering de rotas na rede VPC do plano de controle, consulte Destinos compatíveis com a outra rede.

Destinos compatíveis da outra rede

Os intervalos de endereços que a outra rede envia para os Cloud Routers na rede VPC do cluster precisam aderir às seguintes condições:

• Embora a VPC do cluster possa aceitar uma rota padrão (0.0.0.0/0), a rede VPC do plano de controle sempre rejeita rotas padrão porque já tem uma rota padrão local. Se a outra rede enviar uma rota padrão para sua rede VPC, a outra rede também precisará enviar os destinos específicos dos sistemas que precisam se conectar ao endpoint particular do plano de controle. Para mais detalhes, consulte Ordem de roteamento.

• Se a rede VPC do plano de controle aceitar rotas que substituem efetivamente uma rota padrão, essas rotas quebrarão a conectividade com as APIs e os serviços doGoogle Cloud , interrompendo o plano de controle do cluster. Como exemplo representativo, a outra rede não pode divulgar rotas com destinos 0.0.0.0/1 e 128.0.0.0/1. Consulte o ponto anterior para obter uma alternativa.

Monitore os limites do Cloud Router, especialmente o número máximo de destinos exclusivos para rotas aprendidas.

Como proteger um cluster particular com o VPC Service Controls

Para proteger ainda mais os clusters privados do GKE, use o VPC Service Controls.

O VPC Service Controls protege ainda mais os clusters privados do GKE para reduzir o risco de exportação de dados. Ao usá-lo, é possível adicionar projetos a perímetros de serviço. Isso protege recursos e serviços contra solicitações que vêm de fora desses perímetros.

Para saber mais sobre perímetros de serviço, consulte Detalhes e configuração do perímetro de serviço.

Se você usar o Artifact Registry com seu cluster particular do GKE em um perímetro de serviço do VPC Service Controls, precisará configurar o roteamento para o IP virtual restrito para evitar a exfiltração de dados.

Limpar

Depois de concluir as tarefas nesta página, siga estas etapas para remover os recursos e evitar cobranças indesejadas na conta:

Excluir os clusters

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Excluir a rede

gcloud compute networks delete my-net-0

A seguir

• Conheça configurações avançadas com clusters particulares.
• Aprenda a criar clusters nativos de VPC.
• Saiba mais sobre o peering de rede VPC.

• Siga o tutorial sobre como acessar clusters particulares do GKE com pools particulares do Cloud Build.