Creazione di un cluster privato

Autopilot Standard

Questa pagina spiega come creare un cluster privato di Google Kubernetes Engine (GKE), che è un tipo di cluster nativo di VPC. In un cluster privato, i nodi hanno solo indirizzi IP interni, il che significa che nodi e pod sono isolati da internet per impostazione predefinita. Puoi scegliere di non avere accesso client, accesso limitato o accesso senza restrizioni al piano di controllo.

Non puoi convertire un cluster non privato esistente in un cluster privato. Per scoprire di più su come funzionano i cluster privati, consulta la panoramica dei cluster privati.

Limitazioni e limitazioni

I cluster privati devono essere cluster nativi VPC. I cluster nativi di VPC non supportano le reti legacy.

Espandi le sezioni seguenti per visualizzare le regole relative agli intervalli di indirizzi IP e al traffico durante la creazione di un cluster privato.

Piano di controllo

Se utilizzi 172.17.0.0/16 per l'intervallo IP del piano di controllo, non puoi utilizzare questo intervallo per gli indirizzi IP di nodi, pod o servizi.
Le dimensioni del blocco RFC 1918 per il piano di controllo del cluster devono essere /28.
In un progetto puoi aggiungere fino a 50 reti autorizzate (blocchi CIDR consentiti). Per ulteriori informazioni, consulta Aggiungere una rete autorizzata a un cluster esistente.
Sebbene GKE possa rilevare la sovrapposizione con il blocco di indirizzi del piano di controllo, non può rilevare la sovrapposizione all'interno di una rete VPC condiviso.

Networking per il cluster

Gli indirizzi IP interni per i nodi provengono dall'intervallo di indirizzi IP principali della subnet che scegli per il cluster. Gli indirizzi IP dei pod e gli indirizzi IP dei servizi provengono da due intervalli di indirizzi IP secondari della stessa subnet. Per maggiori informazioni, consulta Intervalli IP per cluster nativi di VPC.
Le versioni 1.14.2 e successive di GKE supportano qualsiasi intervallo di indirizzi IP interni, inclusi intervalli privati (RFC 1918 e altri intervalli privati) e intervalli di indirizzi IP esterni utilizzati privatamente. Consulta la documentazione di VPC per un elenco di intervalli di indirizzi IP interni validi.
Se espandi l'intervallo IP principale di una subnet in modo da contenere altri nodi, devi aggiungere l'intervallo di indirizzi IP principali della subnet espansa all'elenco delle reti autorizzate per il tuo cluster. In caso contrario, le regole firewall di autorizzazione in entrata pertinenti al piano di controllo non vengono aggiornate e i nuovi nodi creati nello spazio di indirizzi IP espanso non potranno essere registrati con il piano di controllo. Ciò può portare a un'interruzione in cui i nuovi nodi vengono continuamente eliminati e sostituiti. Un'interruzione di questo tipo può verificarsi durante l'esecuzione degli upgrade dei pool di nodi o quando i nodi vengono sostituiti automaticamente a causa di errori del probe di attività.
Tutti i nodi in un cluster privato vengono creati senza un IP esterno; hanno accesso limitato alle API e ai servizi Google Cloud. Per fornire l'accesso a internet in uscita per i tuoi nodi privati, puoi utilizzare Cloud NAT.
L'accesso privato Google viene abilitato automaticamente quando crei un cluster privato, a meno che non utilizzi un VPC condiviso. Non devi disabilitare l'accesso privato Google a meno che non utilizzi NAT per accedere a internet.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Abilita l'API Google Kubernetes Engine.

Abilita l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.
Nota: per le installazioni esistenti dell'interfaccia a riga di comando gcloud, assicurati di impostare le proprietà compute/region e compute/zone. Impostando le località predefinite, puoi evitare errori nellgcloud CLI come segue: One of [--zone, --region] must be supplied: Please specify location.

Assicurati di disporre dell'autorizzazione corretta per creare i cluster. Come minimo, dovresti essere un amministratore del cluster Kubernetes Engine.
Assicurati di avere una route per il gateway internet predefinito.

Creazione di un cluster privato senza accesso client all'endpoint pubblico

In questa sezione creerai le seguenti risorse:

Un cluster privato denominato private-cluster-0 che dispone di nodi privati e che non ha accesso client all'endpoint pubblico.
Una rete denominata my-net-0.
Una subnet denominata my-subnet-0.

Console

Crea una rete e una subnet

Vai alla pagina Reti VPC nella console Google Cloud.

Vai a Reti VPC
Fai clic su Crea rete VPC.
In Nome, inserisci my-net-0.
In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, inserisci my-subnet-0 in corrispondenza di Nome.
Nell'elenco Regione, seleziona la regione che ti interessa.
In Intervallo di indirizzi IP, inserisci 10.2.204.0/22.
Imposta Accesso privato Google su On.
Fai clic su Fine.
Fai clic su Crea.

Creare un cluster privato

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea e nella sezione Standard o Autopilot, fai clic su Configura.
Per Nome, specifica private-cluster-0.
Nel riquadro di navigazione, fai clic su Networking.
Nell'elenco Rete, seleziona my-net-0.
Nell'elenco Subnet nodo, seleziona my-subnet-0.
Seleziona il pulsante di opzione Cluster privato.
Deseleziona la casella di controllo Accedi al piano di controllo utilizzando l'indirizzo IP esterno.
(Facoltativo per Autopilot): imposta Intervallo IP del piano di controllo su 172.16.0.32/28.
Fai clic su Crea.

gcloud

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-private-nodes \
    --enable-private-endpoint

Per i cluster standard, esegui questo comando:

gcloud container clusters create private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --enable-private-endpoint \
    --master-ipv4-cidr 172.16.0.32/28

dove:

--create-subnetwork name=my-subnet-0 fa sì che GKE crei automaticamente una subnet denominata my-subnet-0.
--enable-master-authorized-networks specifica che l'accesso all'endpoint pubblico è limitato agli intervalli di indirizzi IP autorizzati da te.

--enable-ip-alias rende il cluster nativo della VPC (non obbligatorio per Autopilot).

--enable-private-nodes indica che i nodi del cluster non hanno indirizzi IP esterni.
--enable-private-endpoint indica che il cluster è gestito utilizzando l'indirizzo IP interno dell'endpoint API del piano di controllo.

--master-ipv4-cidr 172.16.0.32/28 specifica un intervallo di indirizzi IP interni per il piano di controllo (facoltativo per Autopilot). Questa impostazione è permanente per il cluster e deve essere univoca all'interno del VPC. È supportato l'utilizzo di indirizzi IP interni non conformi alla RFC 1918.

API

Per creare un cluster senza un piano di controllo raggiungibile pubblicamente, specifica il campo enablePrivateEndpoint: true nella risorsa privateClusterConfig.

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al piano di controllo:

L'intervallo principale di my-subnet-0.
L'intervallo secondario utilizzato per i pod.

Ad esempio, supponi di aver creato una VM nell'intervallo principale my-subnet-0. Quindi, su quella VM, puoi configurare kubectl in modo che utilizzi l'indirizzo IP interno del piano di controllo.

Se vuoi accedere al piano di controllo dall'esterno di my-subnet-0, devi autorizzare almeno un intervallo di indirizzi per l'accesso all'endpoint privato.

Supponi di avere una VM che si trova nella rete predefinita, nella stessa regione del cluster, ma non in my-subnet-0.

Ad esempio:

my-subnet-0: 10.0.0.0/22
Intervallo secondario del pod: 10.52.0.0/14
Indirizzo VM: 10.128.0.3

Puoi autorizzare la VM ad accedere al piano di controllo utilizzando questo comando:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Creazione di un cluster privato con accesso limitato all'endpoint pubblico

Quando crei un cluster privato utilizzando questa configurazione, puoi scegliere di utilizzare una subnet generata automaticamente o una personalizzata.

Utilizzo di una subnet generata automaticamente

In questa sezione creerai un cluster privato denominato private-cluster-1, in cui GKE genera automaticamente una subnet per i nodi del cluster. Nella subnet è abilitato l'accesso privato Google. Nella subnet, GKE crea automaticamente due intervalli secondari: uno per i pod e uno per i servizi.

Puoi utilizzare Google Cloud CLI o l'API GKE.

gcloud

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-private-nodes

Per i cluster standard, esegui questo comando:

gcloud container clusters create private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.0/28

dove:

--create-subnetwork name=my-subnet-1 fa sì che GKE crei automaticamente una subnet denominata my-subnet-1.
--enable-master-authorized-networks specifica che l'accesso all'endpoint pubblico è limitato agli intervalli di indirizzi IP autorizzati da te.

--enable-ip-alias rende il cluster nativo della VPC (non obbligatorio per Autopilot).

--enable-private-nodes indica che i nodi del cluster non hanno indirizzi IP esterni.

--master-ipv4-cidr 172.16.0.0/28 specifica un intervallo di indirizzi IP interni per il piano di controllo (facoltativo per Autopilot). Questa impostazione è permanente per questo cluster e deve essere univoca all'interno del VPC. È supportato l'utilizzo di indirizzi IP interni non conformi alla RFC 1918.

API

Specifica il campo privateClusterConfig nella risorsa dell'API Cluster:

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al piano di controllo del cluster:

L'intervallo principale di my-subnet-1.
L'intervallo secondario utilizzato per i pod.

Supponi di avere un gruppo di macchine, al di fuori della tua rete VPC, con indirizzi nell'intervallo 203.0.113.0/29. Puoi autorizzare queste macchine ad accedere all'endpoint pubblico inserendo questo comando:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Ora questi sono gli unici indirizzi IP che hanno accesso al piano di controllo:

L'intervallo principale di my-subnet-1.
L'intervallo secondario utilizzato per i pod.
Gli intervalli di indirizzi che hai autorizzato, ad esempio 203.0.113.0/29.

Utilizzo di una subnet personalizzata

In questa sezione creerai le seguenti risorse:

Un cluster privato denominato private-cluster-2.
Una rete denominata my-net-2.
Una subnet denominata my-subnet-2, con intervallo principale 192.168.0.0/20, per i nodi del cluster. La subnet ha i seguenti intervalli di indirizzi secondari:
- my-pods per gli indirizzi IP dei pod.
- my-services per gli indirizzi IP del servizio.

Console

Crea una rete, una subnet e intervalli secondari

Vai alla pagina Reti VPC nella console Google Cloud.

Vai a Reti VPC
Fai clic su Crea rete VPC.
In Nome, inserisci my-net-2.
In Modalità di creazione subnet , seleziona Personalizzata.
Nella sezione Nuova subnet, inserisci my-subnet-2 in corrispondenza di Nome.
Nell'elenco Regione, seleziona la regione che ti interessa.
In Intervallo di indirizzi IP, inserisci 192.168.0.0/20.
Fai clic su Crea intervallo IP secondario. In Nome intervallo di subnet, inserisci my-services e per Intervallo IP secondario, inserisci 10.0.32.0/20.
Fai clic su Aggiungi intervallo IP. In Nome intervallo di subnet, inserisci my-pods e per Intervallo IP secondario, inserisci 10.4.0.0/14.
Imposta Accesso privato Google su On.
Fai clic su Fine.
Fai clic su Crea.

Creare un cluster privato

Crea un cluster privato che utilizza la tua subnet:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea e nella sezione Standard o Autopilot, fai clic su Configura.
In Nome, inserisci private-cluster-2.
Nel riquadro di navigazione, fai clic su Networking.
Seleziona il pulsante di opzione Cluster privato.
Per creare un piano di controllo accessibile da intervalli IP esterni autorizzati, mantieni selezionata la casella di controllo Accedi al piano di controllo utilizzando il relativo indirizzo IP esterno.
(Facoltativo per Autopilot) Imposta l'Intervallo IP del piano di controllo su 172.16.0.16/28.
Nell'elenco Rete, seleziona my-net-2.
Nell'elenco Subnet nodo, seleziona my-subnet-2.
Deseleziona la casella di controllo Crea automaticamente intervalli secondari.
Nell'elenco Intervallo CIDR secondario pod, seleziona my-pods.
Nell'elenco Intervallo CIDR secondario dei servizi, seleziona my-services.
Seleziona la casella di controllo Abilita reti autorizzate piano di controllo.
Fai clic su Crea.

gcloud

Crea una rete

Per prima cosa, crea una rete per il cluster. Il seguente comando crea una rete, my-net-2:

gcloud compute networks create my-net-2 \
    --subnet-mode custom

Crea una subnet e intervalli secondari

Poi, crea una subnet, my-subnet-2, nella rete my-net-2, con intervalli secondari my-pods per i pod e my-services per i servizi:

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

Creare un cluster privato

Ora crea un cluster privato, private-cluster-2, utilizzando la rete, la subnet e gli intervalli secondari che hai creato.

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes

Per i cluster standard, esegui questo comando:

gcloud container clusters create private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes \
    --enable-ip-alias \
    --master-ipv4-cidr 172.16.0.16/28 \
    --no-enable-basic-auth \
    --no-issue-client-certificate

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al piano di controllo:

L'intervallo principale di my-subnet-2.
L'intervallo secondario my-pods.

Supponi di avere un gruppo di macchine, esterne a my-net-2, con indirizzi nell'intervallo 203.0.113.0/29. Puoi autorizzare queste macchine ad accedere all'endpoint pubblico inserendo questo comando:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al piano di controllo:

L'intervallo principale di my-subnet-2.
L'intervallo secondario my-pods.
Gli intervalli di indirizzi che hai autorizzato, ad esempio 203.0.113.0/29.

Utilizzo di Cloud Shell per accedere a un cluster privato

Il cluster privato che hai creato nella sezione Utilizzo di una subnet generata automaticamente, private-cluster-1, ha un endpoint pubblico e ha reti autorizzate abilitate. Se vuoi utilizzare Cloud Shell per accedere al cluster, devi aggiungere l'indirizzo IP esterno di Cloud Shell all'elenco delle reti autorizzate del cluster.

Per farlo:

Nella finestra della riga di comando di Cloud Shell, utilizza dig per trovare l'indirizzo IP esterno di Cloud Shell:
```
dig +short myip.opendns.com @resolver1.opendns.com
```
Aggiungi l'indirizzo esterno di Cloud Shell all'elenco delle reti autorizzate del tuo cluster:
```
gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
```
Sostituisci quanto segue:
- EXISTING_AUTH_NETS: gli indirizzi IP del tuo elenco esistente di reti autorizzate. Puoi trovare le tue reti autorizzate nella console o eseguendo questo comando:
```
gcloud container clusters describe private-cluster-1 --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
```
- SHELL_IP: l'indirizzo IP esterno di Cloud Shell.
Richiedi le credenziali per poter utilizzare kubectl per accedere al cluster:
```
gcloud container clusters get-credentials private-cluster-1 \
    --project=PROJECT_ID \
    --internal-ip
```
Sostituisci PROJECT_ID con l'ID progetto.

Usa kubectl, in Cloud Shell, per accedere al tuo cluster privato:

kubectl get nodes

L'output è simile al seguente:

NAME                                               STATUS   ROLES    AGE    VERSION
gke-private-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302

Creazione di un cluster privato con accesso senza restrizioni all'endpoint pubblico

In questa sezione creerai un cluster privato in cui qualsiasi indirizzo IP può accedere al piano di controllo.

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea e nella sezione Standard o Autopilot, fai clic su Configura.
In Nome, inserisci private-cluster-3.
Nel riquadro di navigazione, fai clic su Networking.
Seleziona l'opzione Cluster privato.
Lascia selezionata la casella di controllo Accedi al piano di controllo utilizzando l'indirizzo IP esterno.
(Facoltativo per Autopilot) Imposta l'Intervallo IP del piano di controllo su 172.16.0.32/28.
Lascia le impostazioni Rete e Subnet nodo su default. In questo modo, GKE genera una subnet per il cluster.
Deseleziona la casella di controllo Abilita reti autorizzate piano di controllo.
Fai clic su Crea.

gcloud

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-private-nodes

Per i cluster standard, esegui questo comando:

gcloud container clusters create private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.32/28

dove:

--create-subnetwork name=my-subnet-3 fa sì che GKE crei automaticamente una subnet denominata my-subnet-3.
--no-enable-master-authorized-networks disabilita le reti autorizzate per il cluster.

--enable-ip-alias rende il cluster nativo della VPC (non obbligatorio per Autopilot).

--enable-private-nodes indica che i nodi del cluster non hanno indirizzi IP esterni.

--master-ipv4-cidr 172.16.0.32/28 specifica un intervallo di indirizzi IP interni per il piano di controllo (facoltativo per Autopilot). Questa impostazione è permanente per questo cluster e deve essere univoca all'interno del VPC. È supportato l'utilizzo di indirizzi IP interni non conformi alla RFC 1918.

Aggiunta di regole firewall per casi d'uso specifici

Questa sezione spiega come aggiungere una regola firewall a un cluster privato. Per impostazione predefinita, le regole firewall limitano il piano di controllo del cluster all'avvio solo di connessioni TCP con i tuoi nodi e pod sulle porte 443 (HTTPS) e 10250 (kubelet). Per alcune funzionalità di Kubernetes, potrebbe essere necessario aggiungere regole firewall per consentire l'accesso su porte aggiuntive. Non creare regole firewall o regole firewall gerarchiche con una priorità più elevata rispetto alle regole firewall create automaticamente.

Le funzionalità di Kubernetes che richiedono regole firewall aggiuntive includono:

Webhook di ammissione
Server API aggregati
Conversione webhook
Configurazione dell'audit dinamico
In genere, qualsiasi API che dispone di un campo ServiceReference richiede regole firewall aggiuntive.

L'aggiunta di una regola firewall consente il traffico dal piano di controllo del cluster a:

La porta specificata di ciascun nodo (hostPort).
La porta specificata di ogni pod in esecuzione su questi nodi.
La porta specificata di ogni servizio in esecuzione su questi nodi.

Per informazioni sulle regole firewall, consulta Regole firewall nella documentazione di Cloud Load Balancing.

Per aggiungere una regola firewall in un cluster privato, devi registrare il blocco CIDR del piano di controllo del cluster e il target utilizzato. Dopo averlo registrato, puoi creare la regola.

Passaggio 1: Visualizza il blocco CIDR del piano di controllo

Per aggiungere una regola firewall, è necessario il blocco CIDR del piano di controllo del cluster.

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Nell'elenco dei cluster, fai clic sul nome del cluster.

Nella scheda Dettagli, in Networking, prendi nota del valore nel campo Intervallo di indirizzi del piano di controllo.

gcloud

Esegui questo comando:

gcloud container clusters describe CLUSTER_NAME

Sostituisci CLUSTER_NAME con il nome del tuo cluster privato.

Nell'output comando, prendi nota del valore nel campo masterIpv4CidrBlock.

Passaggio 2: Visualizza le regole firewall esistenti

Devi specificare il target (in questo caso, i nodi di destinazione) utilizzato dalle regole firewall esistenti del cluster.

Console

Vai alla pagina Criteri firewall nella console Google Cloud.

Vai a Criteri firewall
In Filtra tabella per Regole firewall VPC, inserisci gke-CLUSTER_NAME.

Nei risultati, prendi nota del valore nel campo Target.

gcloud

Esegui questo comando:

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Nell'output comando, prendi nota del valore nel campo Destinazioni.

Nota: per visualizzare le regole firewall per un VPC condiviso, aggiungi il flag --project HOST_PROJECT_ID al comando.

Per maggiori informazioni sul VPC condiviso, consulta Configurazione dei cluster con un VPC condiviso.

Passaggio 3: Aggiungi una regola firewall

Console

Vai alla pagina Criteri firewall nella console Google Cloud.

Vai a Criteri firewall
Fai clic su Crea regola firewall.
In Nome, inserisci il nome della regola firewall.
Nell'elenco Rete, seleziona la rete pertinente.
Nella sezione Direzione del traffico, fai clic su In entrata.
In Azione in caso di corrispondenza, fai clic su Consenti.
Nell'elenco Destinazioni, seleziona Tag di destinazione specificati.
Per Tag di destinazione, inserisci il valore target annotato in precedenza.
Nell'elenco Filtro di origine, seleziona Intervalli IPv4.
In Intervalli IPv4 di origine, inserisci il blocco CIDR del piano di controllo del cluster.
In Protocolli e porte, fai clic su Protocolli e porte specificati, seleziona la casella di controllo relativa al protocollo pertinente (tcp o udp) e inserisci il numero di porta nel campo del protocollo.
Fai clic su Crea.

gcloud

Esegui questo comando:

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

Sostituisci quanto segue:

FIREWALL_RULE_NAME: il nome scelto per la regola firewall.
CONTROL_PLANE_RANGE: l'intervallo di indirizzi IP (masterIpv4CidrBlock) del piano di controllo del cluster che hai raccolto in precedenza.
PROTOCOL:PORT: la porta e il relativo protocollo, tcp o udp.
TARGET: il valore target (Targets) raccolto in precedenza.

Nota: per aggiungere una regola firewall per un VPC condiviso, aggiungi i seguenti flag al comando:

--project HOST_PROJECT_ID
--network NETWORK_ID

Per maggiori informazioni sul VPC condiviso, consulta Configurazione dei cluster con un VPC condiviso.

Verifica che i nodi non abbiano indirizzi IP esterni

Dopo aver creato un cluster privato, verifica che i nodi del cluster non abbiano indirizzi IP esterni.

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Nell'elenco dei cluster, fai clic sul nome del cluster.
Per i cluster Autopilot, nella sezione Impostazioni di base del cluster, seleziona il campo Endpoint esterno. Il valore è Disabled (Disattivato).

Per i cluster standard, segui questi passaggi:

Nella pagina Cluster, fai clic sulla scheda Nodi.
In Pool di nodi, fai clic sul nome del pool di nodi.
Nella pagina Dettagli del pool di nodi, in Gruppi di istanze, fai clic sul nome del gruppo di istanze. Ad esempio, gke-private-cluster-0-default-pool-5c5add1f-grp`.
Nell'elenco delle istanze, verifica che le istanze non abbiano indirizzi IP esterni.

gcloud

Esegui questo comando:

kubectl get nodes --output wide

La colonna EXTERNAL-IP dell'output è vuota:

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Verifica il riutilizzo del peering VPC nel cluster

Tutti i cluster privati creati dopo il 15 gennaio 2020 riutilizzano le connessioni di peering di rete VPC.

Puoi verificare se il tuo cluster privato riutilizza le connessioni di peering di rete VPC utilizzando gcloud CLI o la console Google Cloud.

Console

Controlla la riga Peering VPC nella pagina Dettagli del cluster. Se il cluster utilizza connessioni di peering VPC, l'output inizia con gke-n. Ad esempio: gke-n34a117b968dee3b2221-93c6-40af-peer.

gcloud

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Se il cluster riutilizza connessioni di peering VPC, l'output inizia con gke-n. Ad esempio, gke-n34a117b968dee3b2221-93c6-40af-peer.

esegui la pulizia

Dopo aver completato le attività in questa pagina, segui questi passaggi per rimuovere le risorse ed evitare addebiti indesiderati sul tuo account:

Elimina i cluster

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Seleziona ciascun cluster.
Fai clic su Elimina.

gcloud

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Elimina la rete

Console

Vai alla pagina Reti VPC nella console Google Cloud.

Vai a Reti VPC
Nell'elenco delle reti, fai clic su my-net-0.
Nella pagina Dettagli rete VPC, fai clic su Elimina rete VPC.
Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

gcloud

gcloud compute networks delete my-net-0

Passaggi successivi

Segui il tutorial sull'accesso ai cluster GKE privati con i pool privati di Cloud Build.