Cette page explique comment créer un cluster privé Google Kubernetes Engine (GKE), qui est un type de cluster de VPC natif. Dans un cluster privé, les nœuds ne disposent que d'adresses IP internes, ce qui signifie que les nœuds et les pods sont isolés par défaut d'Internet. Vous pouvez choisir de ne pas disposer d'un accès client, d'un accès limité ou d'un accès illimité au plan de contrôle.
Vous ne pouvez pas convertir un cluster non privé existant en cluster privé. Pour en savoir plus sur le fonctionnement des clusters privés, consultez la section Présentation des clusters privés.
Cette page s'adresse aux spécialistes de la mise en réseau qui planifient et mettent en œuvre la sécurité réseau. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud, consultez la section Rôles utilisateur et tâches courantes de GKE Enterprise.
Restrictions et limitations
Les clusters privés doivent être des clusters de VPC natif. Les clusters de VPC natif ne sont pas compatibles avec les anciens réseaux.
Développez les sections suivantes pour afficher les règles concernant les plages d'adresses IP et le trafic lors de la création d'un cluster privé.
Avant de commencer
Avant de commencer, effectuez les tâches suivantes :
- Activez l'API Google Kubernetes Engine. Activer l'API Google Kubernetes Engine
- Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande
gcloud components update
.
Assurez-vous de disposer des autorisations appropriées pour créer des clusters. Vous devez au minimum disposer du rôle Administrateur de cluster Kubernetes Engine.
Assurez-vous de disposer d'une route vers la passerelle Internet par défaut.
Créer un cluster privé sans accès client au point de terminaison public
Dans cette section, vous allez créer les ressources suivantes :
- Un cluster privé nommé
private-cluster-0
comportant des nœuds privés et n'ayant pas accès au point de terminaison public. - Un réseau nommé
my-net-0
. - Un sous-réseau nommé
my-subnet-0
.
Console
Créer un réseau et un sous-réseau
Accédez à la page Réseaux VPC dans la console Google Cloud.
Cliquez sur add_boxCréer un réseau VPC.
Dans le champ Nom, saisissez
my-net-0
.Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.
Dans la section Nouveau sous-réseau, saisissez la valeur
my-subnet-0
pour le champ Nom.Dans la liste Région, sélectionnez la région de votre choix.
Dans Plage d'adresses IP, saisissez
10.2.204.0/22
.Définissez Accès privé à Google sur Activé.
Cliquez sur OK.
Cliquez sur Créer.
Créer un cluster privé
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Cliquez sur
Créer, puis sur Configurer dans la section Standard ou Autopilot.Dans le champ Nom, spécifiez
private-cluster-0
.Dans le volet de navigation, cliquez sur Mise en réseau.
Dans la liste Réseau, sélectionnez my-net-0.
Dans la liste Sous-réseau de nœud, sélectionnez my-subnet-0.
Sélectionnez la case d'option Cluster privé.
Décochez la case Accéder au plan de contrôle à l'aide de son adresse IP externe.
(Facultatif pour Autopilot) : Définissez la plage d'adresses IP du plan de contrôle sur
172.16.0.32/28
.Cliquez sur Créer.
gcloud
Pour les clusters Autopilot, exécutez la commande suivante :
gcloud container clusters create-auto private-cluster-0 \ --create-subnetwork name=my-subnet-0 \ --enable-master-authorized-networks \ --enable-private-nodes \ --enable-private-endpoint
Pour les clusters Standard, exécutez la commande suivante :
gcloud container clusters create private-cluster-0 \ --create-subnetwork name=my-subnet-0 \ --enable-master-authorized-networks \ --enable-ip-alias \ --enable-private-nodes \ --enable-private-endpoint \ --master-ipv4-cidr 172.16.0.32/28
où :
--create-subnetwork name=my-subnet-0
force GKE à créer automatiquement un sous-réseau nommémy-subnet-0
.--enable-master-authorized-networks
spécifie que l'accès au point de terminaison public est limité aux plages d'adresses IP que vous autorisez.
--enable-ip-alias
rend le cluster VPC natif (non requis pour Autopilot).
--enable-private-nodes
indique que les nœuds du cluster ne possèdent pas d'adresses IP externes.--enable-private-endpoint
indique que le cluster est géré à l'aide de l'adresse IP interne du point de terminaison de l'API du plan de contrôle.
--master-ipv4-cidr 172.16.0.32/28
spécifie une plage d'adresses IP internes pour le plan de contrôle (facultatif pour Autopilot). Ce paramètre est définitif pour ce cluster et doit être unique au sein du VPC. L'utilisation d'adresses IP internes 1918 non RFC est acceptée.
API
Pour créer un cluster sans plan de contrôle accessible publiquement, spécifiez le champ enablePrivateEndpoint: true
dans la ressource privateClusterConfig
.
À ce stade, les adresses IP ci-dessous sont les seules à avoir accès au plan de contrôle :
- Plage principale de
my-subnet-0
- Plage secondaire utilisée pour les pods
Par exemple, supposons que vous ayez créé une VM dans la plage principale de my-subnet-0
.
Vous pouvez ensuite, sur cette VM, configurer kubectl
pour utiliser l'adresse IP interne du plan de contrôle.
Si vous souhaitez accéder au plan de contrôle depuis l'extérieur de my-subnet-0
, vous devez autoriser au moins une plage d'adresses pour pouvoir accéder au point de terminaison privé.
Supposons que votre VM se trouve dans le réseau par défaut, dans la même région que votre cluster, mais pas dans my-subnet-0
.
Exemple :
my-subnet-0
:10.0.0.0/22
- Plage secondaire du pod :
10.52.0.0/14
- Adresse de la VM :
10.128.0.3
Vous pouvez autoriser la VM à accéder au plan de contrôle à l'aide de la commande suivante :
gcloud container clusters update private-cluster-0 \
--enable-master-authorized-networks \
--master-authorized-networks 10.128.0.3/32
Créer un cluster privé avec accès limité au point de terminaison public
Lorsque vous créez un cluster privé à l'aide de cette configuration, vous pouvez choisir d'utiliser un sous-réseau généré automatiquement ou un sous-réseau personnalisé.
Utiliser un sous-réseau généré automatiquement
Dans cette section, vous allez créer un cluster privé nommé private-cluster-1
, de sorte que GKE génère automatiquement un sous-réseau pour vos nœuds de cluster.
L'accès privé à Google est activé sur le sous-réseau. Dans le sous-réseau, GKE crée automatiquement deux plages secondaires : une pour les pods et une pour les services.
Vous pouvez utiliser Google Cloud CLI ou l'API GKE.
gcloud
Pour les clusters Autopilot, exécutez la commande suivante :
gcloud container clusters create-auto private-cluster-1 \ --create-subnetwork name=my-subnet-1 \ --enable-master-authorized-networks \ --enable-private-nodes
Pour les clusters Standard, exécutez la commande suivante :
gcloud container clusters create private-cluster-1 \ --create-subnetwork name=my-subnet-1 \ --enable-master-authorized-networks \ --enable-ip-alias \ --enable-private-nodes \ --master-ipv4-cidr 172.16.0.0/28
où :
--create-subnetwork name=my-subnet-1
force GKE à créer automatiquement un sous-réseau nommémy-subnet-1
.--enable-master-authorized-networks
spécifie que l'accès au point de terminaison public est limité aux plages d'adresses IP que vous autorisez.
--enable-ip-alias
rend le cluster VPC natif (non requis pour Autopilot).
--enable-private-nodes
indique que les nœuds du cluster ne possèdent pas d'adresses IP externes.
--master-ipv4-cidr 172.16.0.0/28
spécifie une plage d'adresses IP internes pour le plan de contrôle (facultatif pour Autopilot). Ce paramètre est définitif pour ce cluster et doit être unique au sein du VPC. L'utilisation d'adresses IP internes 1918 non RFC est acceptée.
API
Spécifiez le champ privateClusterConfig
dans la ressource API Cluster
:
{
"name": "private-cluster-1",
...
"ipAllocationPolicy": {
"createSubnetwork": true,
},
...
"privateClusterConfig" {
"enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
"enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
"masterIpv4CidrBlock": string # CIDR block for the cluster control plane
"privateEndpoint": string # Output only
"publicEndpoint": string # Output only
}
}
À ce stade, les adresses IP ci-dessous sont les seules à avoir accès au plan de contrôle du cluster :
- Plage principale de
my-subnet-1
- Plage secondaire utilisée pour les pods
Supposons que vous ayez un groupe de machines, en dehors de votre réseau VPC, dont les adresses se situent dans la plage 203.0.113.0/29
. Vous pouvez autoriser ces machines à accéder au point de terminaison public en saisissant la commande suivante :
gcloud container clusters update private-cluster-1 \
--enable-master-authorized-networks \
--master-authorized-networks 203.0.113.0/29
Voici les seules adresses IP ayant accès au plan de contrôle :
- Plage principale de
my-subnet-1
- Plage secondaire utilisée pour les pods
- Les plages d'adresses que vous avez autorisées ; par exemple,
203.0.113.0/29
.
Utiliser un sous-réseau personnalisé
Dans cette section, vous allez créer les ressources suivantes :
- Un cluster privé nommé
private-cluster-2
. - Un réseau nommé
my-net-2
. - Un sous-réseau nommé
my-subnet-2
, avec comme plage principale192.168.0.0/20
, pour vos nœuds de cluster. Le sous-réseau comporte les plages d'adresses secondaires suivantes :my-pods
pour les adresses IP de pod.my-services
pour les adresses IP de service.
Console
Créer un réseau, un sous-réseau et des plages secondaires
Accédez à la page Réseaux VPC dans la console Google Cloud.
Cliquez sur add_boxCréer un réseau VPC.
Dans le champ Nom, saisissez
my-net-2
.Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.
Dans la section Nouveau sous-réseau, saisissez la valeur
my-subnet-2
pour le champ Nom.Dans la liste Région, sélectionnez la région de votre choix.
Dans Plage d'adresses IP, saisissez
192.168.0.0/20
.Cliquez sur Créer une plage d'adresses IP secondaire. Dans Nom de la plage du sous-réseau, saisissez
my-services
, et dans Plage d'adresses IP secondaire, saisissez10.0.32.0/20
.Cliquez sur Ajouter une plage d'adresses IP. Dans Nom de plage du sous-réseau, saisissez
my-pods
, et dans Plage d'adresses IP secondaire, saisissez10.4.0.0/14
.Définissez Accès privé à Google sur Activé.
Cliquez sur OK.
Cliquez sur Créer.
Créer un cluster privé
Créez un cluster privé qui utilise votre sous-réseau :
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Cliquez sur
Créer, puis sur Configurer dans la section Standard ou Autopilot.Dans le champ Nom, saisissez
private-cluster-2
.Dans le volet de navigation, cliquez sur Mise en réseau.
Sélectionnez la case d'option Cluster privé.
Pour que vous puissiez créer un plan de contrôle accessible à partir de plages d'adresses IP externes autorisées, la case Accéder au plan de contrôle à l'aide de son adresse IP externe doit rester cochée.
(Facultatif pour Autopilot) Définissez le paramètre Plage d'adresses IP du plan de contrôle sur
172.16.0.16/28
.Dans la liste Réseau, sélectionnez my-net-2.
Dans la liste Sous-réseau de nœud, sélectionnez my-subnet-2.
Décochez la case Créer automatiquement des plages secondaires.
Dans la liste Plage CIDR secondaire des pods, sélectionnez my-pods.
Dans la liste Plage CIDR secondaire des services, sélectionnez my-services.
Cochez la case Activer les réseaux autorisés pour le plan de contrôle.
Cliquez sur Créer.
gcloud
Créer un réseau
Commencez par créer un réseau pour votre cluster. La commande suivante crée un réseau, my-net-2
:
gcloud compute networks create my-net-2 \
--subnet-mode custom
Créer un sous-réseau et des plages secondaires
Ensuite, créez un sous-réseau, my-subnet-2
, dans le réseau my-net-2
, avec les plages secondaires my-pods
pour les pods et my-services
pour les services :
gcloud compute networks subnets create my-subnet-2 \
--network my-net-2 \
--range 192.168.0.0/20 \
--secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
--enable-private-ip-google-access
Créer un cluster privé
Créez un cluster privé, private-cluster-2
, en utilisant les plages réseau, sous-réseau et secondaire que vous avez créées.
Pour les clusters Autopilot, exécutez la commande suivante :
gcloud container clusters create-auto private-cluster-2 \ --enable-master-authorized-networks \ --network my-net-2 \ --subnetwork my-subnet-2 \ --cluster-secondary-range-name my-pods \ --services-secondary-range-name my-services \ --enable-private-nodes
Pour les clusters Standard, exécutez la commande suivante :
gcloud container clusters create private-cluster-2 \ --enable-master-authorized-networks \ --network my-net-2 \ --subnetwork my-subnet-2 \ --cluster-secondary-range-name my-pods \ --services-secondary-range-name my-services \ --enable-private-nodes \ --enable-ip-alias \ --master-ipv4-cidr 172.16.0.16/28 \ --no-enable-basic-auth \ --no-issue-client-certificate
À ce stade, les adresses IP ci-dessous sont les seules à avoir accès au plan de contrôle :
- Plage principale de
my-subnet-2
- Plage secondaire de
my-pods
Supposons que vous ayez un groupe de machines, en dehors de my-net-2
, dont les adresses sont comprises dans la plage 203.0.113.0/29
. Vous pouvez autoriser ces machines à accéder au point de terminaison public en saisissant la commande suivante :
gcloud container clusters update private-cluster-2 \
--enable-master-authorized-networks \
--master-authorized-networks 203.0.113.0/29
À ce stade, les adresses IP ci-dessous sont les seules à avoir accès au plan de contrôle :
- Plage principale de
my-subnet-2
- Plage secondaire de
my-pods
- Les plages d'adresses que vous avez autorisées ; par exemple,
203.0.113.0/29
.
Accéder à un cluster privé via Cloud Shell
Le cluster privé que vous avez créé dans la section Utiliser un sous-réseau généré automatiquement, private-cluster-1
, possède un point de terminaison public et les réseaux autorisés sont activés. Si vous souhaitez accéder au cluster via Cloud Shell, vous devez ajouter l'adresse IP externe de votre environnement Cloud Shell à la liste des réseaux autorisés du cluster.
Procédez comme suit :
Dans la fenêtre de ligne de commande Cloud Shell, utilisez
dig
pour trouver l'adresse IP externe de votre environnement Cloud Shell :dig +short myip.opendns.com @resolver1.opendns.com
Ajoutez l'adresse externe de votre environnement Cloud Shell à la liste des réseaux autorisés du cluster :
gcloud container clusters update private-cluster-1 \ --enable-master-authorized-networks \ --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
Remplacez les éléments suivants :
EXISTING_AUTH_NETS
: adresses IP de votre liste existante de réseaux autorisés. Les réseaux autorisés sont visibles dans la console ou au moyen de la commande suivante :gcloud container clusters describe private-cluster-1 --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
SHELL_IP
: l'adresse IP externe de votre environnement Cloud Shell.
Obtenez des identifiants afin de pouvoir utiliser
kubectl
pour accéder au cluster :gcloud container clusters get-credentials private-cluster-1 \ --project=PROJECT_ID \ --internal-ip
Remplacez
PROJECT_ID
par l'ID du projet.Utilisez
kubectl
dans Cloud Shell pour accéder à votre cluster privé :kubectl get nodes
Le résultat ressemble à ce qui suit :
NAME STATUS ROLES AGE VERSION gke-private-cluster-1-default-pool-7d914212-18jv Ready <none> 104m v1.21.5-gke.1302 gke-private-cluster-1-default-pool-7d914212-3d9p Ready <none> 104m v1.21.5-gke.1302 gke-private-cluster-1-default-pool-7d914212-wgqf Ready <none> 104m v1.21.5-gke.1302
Créer un cluster privé disposant d'un accès illimité au point de terminaison public
Dans cette section, vous allez créer un cluster privé dans lequel n'importe quelle adresse IP peut accéder au plan de contrôle.
Console
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Cliquez sur
Créer, puis sur Configurer dans la section Standard ou Autopilot.Dans le champ Nom, saisissez
private-cluster-3
.Dans le volet de navigation, cliquez sur Mise en réseau.
Sélectionnez l'option Cluster privé
La case Accéder au plan de contrôle à l'aide de son adresse IP externe doit rester cochée.
(Facultatif pour Autopilot) Définissez le paramètre Plage d'adresses IP du plan de contrôle sur
172.16.0.32/28
.Laissez les paramètres Mise en réseau et Sous-réseau de nœud définis sur
default
. Cela force GKE à générer un sous-réseau pour votre cluster.Décochez la case Activer les réseaux autorisés pour le plan de contrôle.
Cliquez sur Créer.
gcloud
Pour les clusters Autopilot, exécutez la commande suivante :
gcloud container clusters create-auto private-cluster-3 \ --create-subnetwork name=my-subnet-3 \ --no-enable-master-authorized-networks \ --enable-private-nodes
Pour les clusters Standard, exécutez la commande suivante :
gcloud container clusters create private-cluster-3 \ --create-subnetwork name=my-subnet-3 \ --no-enable-master-authorized-networks \ --enable-ip-alias \ --enable-private-nodes \ --master-ipv4-cidr 172.16.0.32/28
où :
--create-subnetwork name=my-subnet-3
force GKE à créer automatiquement un sous-réseau nommémy-subnet-3
.--no-enable-master-authorized-networks
désactive les réseaux autorisés pour le cluster.
--enable-ip-alias
rend le cluster VPC natif (non requis pour Autopilot).
--enable-private-nodes
indique que les nœuds du cluster ne possèdent pas d'adresses IP externes.
--master-ipv4-cidr 172.16.0.32/28
spécifie une plage d'adresses IP internes pour le plan de contrôle (facultatif pour Autopilot). Ce paramètre est définitif pour ce cluster et doit être unique au sein du VPC. L'utilisation d'adresses IP internes 1918 non RFC est acceptée.
Ajouter des règles de pare-feu pour des cas d'utilisation spécifiques
Cette section explique comment ajouter une règle de pare-feu à un cluster privé. Par défaut, les règles de pare-feu limitent le plan de contrôle de cluster de sorte qu'il ne lance que des connexions TCP vers vos nœuds et pods sur les ports 443
(HTTPS) et 10250
(kubelet).
Pour certaines fonctionnalités Kubernetes, vous devrez peut-être ajouter des règles de pare-feu pour autoriser l'accès sur des ports supplémentaires. Ne créez pas de règles de pare-feu ou de règles de stratégies de pare-feu hiérarchiques ayant une priorité plus élevée que les règles de pare-feu créées automatiquement.
Les fonctionnalités de Kubernetes nécessitant des règles de pare-feu supplémentaires sont les suivantes :
- Webhooks d'admission
- Serveurs d'API agrégés
- Conversion de webhooks
- Configuration de l'audit dynamique
- En règle générale, toutes les API qui possèdent un champ ServiceReference nécessitent des règles de pare-feu supplémentaires.
L'ajout d'une règle de pare-feu autorise le trafic provenant du plan de contrôle de cluster vers tous les éléments suivants :
- Port spécifié de chaque nœud (hostPort)
- Port spécifié de chaque pod exécuté sur ces nœuds
- Port spécifié de chaque service exécuté sur ces nœuds
Pour en savoir plus sur les règles de pare-feu, reportez-vous à la section Règles de pare-feu de la documentation de Cloud Load Balancing.
Pour ajouter une règle de pare-feu dans un cluster privé, vous devez enregistrer le bloc CIDR du plan de contrôle de cluster et la cible utilisée. Une fois l'enregistrement effectué, vous pouvez créer la règle.
Étape 1 : Afficher le bloc CIDR du plan de contrôle
Vous avez besoin du bloc CIDR du plan de contrôle de cluster pour ajouter une règle de pare-feu.
Console
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Dans la liste des clusters, cliquez sur le nom du cluster.
Dans l'onglet Détails, sous Mise en réseau, notez la valeur du champ Plage d'adresses du plan de contrôle.
gcloud
Exécutez la commande suivante :
gcloud container clusters describe CLUSTER_NAME
Remplacez CLUSTER_NAME
par le nom de votre cluster privé.
Dans le résultat de la commande, notez la valeur du champ masterIpv4CidrBlock.
Étape 2 : Afficher les règles de pare-feu existantes
Vous devez spécifier la cible (dans ce cas, les nœuds de destination) utilisée par les règles de pare-feu existantes du cluster.
Console
Accédez à la page Stratégies de pare-feu de la console Google Cloud.
Dans le champ Filtrer le tableau des Règles de pare-feu VPC, saisissez
gke-CLUSTER_NAME
.
Dans les résultats, notez la valeur du champ Cibles.
gcloud
Exécutez la commande suivante :
gcloud compute firewall-rules list \
--filter 'name~^gke-CLUSTER_NAME' \
--format 'table(
name,
network,
direction,
sourceRanges.list():label=SRC_RANGES,
allowed[].map().firewall_rule().list():label=ALLOW,
targetTags.list():label=TARGET_TAGS
)'
Dans le résultat de la commande, notez la valeur du champ Targets.
Étape 3 : Ajouter une règle de pare-feu
Console
Accédez à la page Stratégies de pare-feu de la console Google Cloud.
Cliquez sur add_box Créer une règle de pare-feu.
Dans la section Nom, saisissez le nom pour la règle de pare-feu.
Dans la liste Réseau, sélectionnez le réseau approprié.
Dans la section Sens du trafic, cliquez sur Entrée.
Dans Action en cas de correspondance, cliquez sur Autoriser.
Dans la liste Cibles, sélectionnez Tags cibles spécifiés.
Dans le champ Tags cibles, saisissez la valeur cible que vous avez notée précédemment.
Dans la liste Filtre source, sélectionnez Plages IPv4.
Sous Plages d'adresses IPv4 sources, saisissez le bloc CIDR du plan de contrôle du cluster.
Sous Protocoles et ports, cliquez surProtocoles et ports spécifiés, cochez la case correspondant au protocole approprié (tcp ou udp ) puis saisissez le numéro de port dans le champ du protocole.
Cliquez sur Créer.
gcloud
Exécutez la commande ci-dessous.
gcloud compute firewall-rules create FIREWALL_RULE_NAME \
--action ALLOW \
--direction INGRESS \
--source-ranges CONTROL_PLANE_RANGE \
--rules PROTOCOL:PORT \
--target-tags TARGET
Remplacez les éléments suivants :
FIREWALL_RULE_NAME
: nom choisi pour la règle de pare-feu.CONTROL_PLANE_RANGE
: plage d'adresses IP du plan de contrôle du cluster (masterIpv4CidrBlock
) que vous avez collectée précédemment.PROTOCOL:PORT
: port et son protocole,tcp
ouudp
.TARGET
: valeur cible (Targets
) que vous avez collectée précédemment.
Vérifier que les nœuds ne possèdent pas d'adresses IP externes
Après avoir créé un cluster privé, vérifiez que les nœuds du cluster ne possèdent pas d'adresses IP externes.
Console
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Dans la liste des clusters, cliquez sur le nom du cluster.
Pour les clusters Autopilot, dans la section Paramètres de base du cluster, cochez le champ Point de terminaison externe. La valeur est Désactivée.
Pour les clusters standards, procédez comme suit :
- Sur la page Clusters, cliquez sur l'onglet Nœuds.
- Sous Pools de nœuds, cliquez sur le nom du pool de nœuds.
- Sur la page Détails du pool de nœuds, sous Groupes d'instances, cliquez sur le nom de votre groupe d'instances. Exemple : gke-private-cluster-0-default-pool-5c5add1f-grp.
- Dans la liste des instances, vérifiez que les vôtres ne disposent pas d'adresses IP externes.
gcloud
Exécutez la commande suivante :
kubectl get nodes --output wide
La colonne EXTERNAL-IP
du résultat est vide :
STATUS ... VERSION EXTERNAL-IP OS-IMAGE ...
Ready v.8.7-gke.1 Container-Optimized OS
Ready v1.8.7-gke.1 Container-Optimized OS
Ready v1.8.7-gke.1 Container-Optimized OS
Vérifier la réutilisation de l'appairage de VPC dans le cluster
Tous les clusters privés que vous créez après le 15 janvier 2020 réutilisent des connexions d'appairage de réseaux VPC.
Vous pouvez vérifier si votre cluster privé réutilise les connexions d'appairage de réseaux VPC à l'aide de gcloud CLI ou de la console Google Cloud.
Console
Vérifiez la ligne Appairage de VPC sur la page Détails du cluster. Si votre cluster réutilise des connexions d'appairage de VPC, la sortie commence par gke-n
.
Exemple :gke-n34a117b968dee3b2221-93c6-40af-peer
gcloud
gcloud container clusters describe CLUSTER_NAME \
--format="value(privateClusterConfig.peeringName)"
Si votre cluster réutilise des connexions d'appairage de VPC, la sortie commence par gke-n
. Exemple :gke-n34a117b968dee3b2221-93c6-40af-peer
Nettoyer
Une fois les tâches de cette page terminées, procédez comme suit pour supprimer les ressources afin d'éviter que des frais inutiles ne vous soient facturés sur votre compte :
Supprimer les clusters
Console
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Sélectionnez chaque cluster.
Cliquez sur delete Supprimer.
gcloud
gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3
Supprimer le réseau
Console
Accédez à la page Réseaux VPC de Google Cloud Console.
Dans la liste des réseaux, cliquez sur
my-net-0
.Sur la page Détails du réseau VPC, cliquez sur delete Supprimer le réseau VPC.
Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.
gcloud
gcloud compute networks delete my-net-0
Étapes suivantes
- Découvrez les configurations avancées avec des clusters privés.
- Apprenez à créer des clusters de VPC natif.
- En savoir plus sur l'appairage de réseaux VPC.