Questa pagina è stata tradotta dall'API Cloud Translation.

Creazione di un cluster privato

Autopilot . . Standard

Questa pagina spiega come creare un cluster Google Kubernetes Engine (GKE) privato, che è un tipo di cluster nativo di VPC. In un cluster privato, nodi hanno solo indirizzi IP interni, il che significa che nodi e pod sono isolati da internet per impostazione predefinita. Puoi scegliere di non hanno accesso client, accesso limitato o accesso illimitato al controllo aereo.

Non puoi convertire un cluster esistente non privato in un cluster privato. A Per ulteriori informazioni sul funzionamento dei cluster privati, consulta Panoramica dei cluster privati cluster.

Restrizioni e limitazioni

I cluster privati devono essere VPC-native cluster. Nativo di VPC cluster non supportano le reti legacy.

Espandi le sezioni seguenti per visualizzare le regole relative agli intervalli di indirizzi IP e durante la creazione di un cluster privato.

Piano di controllo

Quando utilizzi 172.17.0.0/16 per l'intervallo IP del piano di controllo, non puoi e lo useranno per gli indirizzi IP di nodi, pod o servizi.
La dimensione del blocco RFC 1918 per il piano di controllo del cluster deve essere /28.
Puoi aggiungere fino a 50 reti autorizzate (blocchi CIDR consentiti) in un progetto. Per per ulteriori informazioni, consulta la sezione Aggiungere un rete autorizzata a un cluster esistente.
GKE può rilevare la sovrapposizione con il piano di controllo di indirizzi IP esterni, non può rilevare sovrapposizioni all'interno di un VPC condiviso in ogni rete.

Networking per il cluster

Gli indirizzi IP interni per i nodi provengono dall'intervallo di indirizzi IP principali della subnet che scegli per il cluster. Indirizzi IP di pod e IP di servizio gli indirizzi IP provengono da due intervalli di indirizzi IP secondari della subnet una subnet. Per ulteriori informazioni, consulta Intervalli IP per i cluster nativi di VPC.
GKE le versioni 1.14.2 e successive supportano qualsiasi intervallo di indirizzi IP interni, inclusi (RFC 1918 e altri intervalli privati) e utilizzati privatamente da intervalli di indirizzi IP esterni. Consulta la documentazione del VPC per informazioni un elenco di indirizzi IP interni validi più intervalli.
Se espandi il campo principale IP di una subnet per ospitare nodi aggiuntivi, devi aggiungere l'intervallo di indirizzi IP principali della subnet è stato ampliato all'elenco di indirizzi IP autorizzati di rete per il tuo cluster. In caso contrario, utilizza le regole firewall di autorizzazione in entrata. pertinenti al piano di controllo non vengono aggiornati e i nuovi nodi creati lo spazio di indirizzi IP espanso non potrà essere registrato con il piano di controllo. Ciò può causare un'interruzione in cui i nuovi nodi vengono continuamente eliminati e sostituite. Questa interruzione può verificarsi durante l'esecuzione di upgrade del pool di nodi quando i nodi vengono sostituiti automaticamente a causa di errori del probe di attività.
Tutti i nodi in un cluster privato vengono creati senza un IP esterno. loro hanno accesso limitato alle API e ai servizi Google Cloud. Per fornire l'accesso a internet in uscita per i tuoi nodi privati, puoi utilizzare Cloud NAT.
L'accesso privato Google è è abilitato automaticamente quando crei un cluster privato, a meno che non utilizzi VPC condiviso. Non devi disabilitare l'accesso privato Google a meno che utilizzano NAT per accedere a internet.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Attiva l'API Google Kubernetes Engine.

Abilita l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, install e poi inizializzare con gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.
Nota: per gcloud CLI esistente di installazione, assicurati di impostare i compute/region e compute/zone proprietà. Impostando località predefinite, puoi evitare errori in gcloud CLI come i seguenti: One of [--zone, --region] must be supplied: Please specify location.

Assicurati di disporre dell'autorizzazione corretta per creare cluster. Come minimo, dovrebbe essere un amministratore di cluster Kubernetes Engine.
Assicurati di avere una route al gateway internet predefinito.

Creazione di un cluster privato senza accesso client all'endpoint pubblico

In questa sezione, creerai le seguenti risorse:

Un cluster privato denominato private-cluster-0 con di nodi privati e che non hanno accesso client all'endpoint pubblico.
Una rete denominata my-net-0.
Una subnet denominata my-subnet-0.

Console

Crea una rete e una subnet

Vai alla pagina Reti VPC nella console Google Cloud.

Vai alle reti VPC
Fai clic su Crea rete VPC.
In Nome, inserisci my-net-0.
In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, in Nome, inserisci my-subnet-0.
Nell'elenco Regione, seleziona la regione che ti interessa.
In Intervallo di indirizzi IP, inserisci 10.2.204.0/22.
Imposta Accesso privato Google su On.
Fai clic su Fine.
Fai clic su Crea.

Creare un cluster privato

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea, quindi nella sezione Standard o Autopilot, fai clic su Configura.
In corrispondenza di Nome, specifica private-cluster-0.
Nel riquadro di navigazione, fai clic su Networking.
Nell'elenco Rete, seleziona my-net-0.
Nell'elenco Subnet nodo, seleziona my-subnet-0.
Seleziona il pulsante di opzione Cluster privato.
Deseleziona la casella di controllo Accedi al piano di controllo utilizzando l'indirizzo IP esterno.
(Facoltativo per Autopilot): imposta Intervallo IP del piano di controllo su 172.16.0.32/28.
Fai clic su Crea.

gcloud

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-private-nodes \
    --enable-private-endpoint

Per i cluster Standard, esegui questo comando:

gcloud container clusters create private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --enable-private-endpoint \
    --master-ipv4-cidr 172.16.0.32/28

dove:

--create-subnetwork name=my-subnet-0 causa GKE per creare automaticamente una subnet denominata my-subnet-0.
--enable-master-authorized-networks specifica che l'accesso al pubblico endpoint è limitato a intervalli di indirizzi IP autorizzati.

--enable-ip-alias rende il cluster nativo di VPC (non richiesta per Autopilot).

--enable-private-nodes indica che i nodi del cluster non hanno e indirizzi IP esterni.
--enable-private-endpoint indica che il cluster è gestito con l'indirizzo IP interno dell'endpoint API del piano di controllo.

--master-ipv4-cidr 172.16.0.32/28 specifica un intervallo di indirizzi IP interni per il piano di controllo (facoltativo per Autopilot). Questa impostazione è permanente per questo cluster e deve essere univoco all'interno del VPC. La Utilizzo di indirizzi IP interni non RFC 1918 è supportato.

API

Per creare un cluster senza un piano di controllo raggiungibile pubblicamente, specifica campo enablePrivateEndpoint: true nella risorsa privateClusterConfig.

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al controllo aereo:

L'intervallo principale di my-subnet-0.
L'intervallo secondario utilizzato per i pod.

Ad esempio, supponi di aver creato una VM nell'intervallo principale my-subnet-0. Su quella VM, potresti configura kubectl in modo che utilizzi l'indirizzo IP interno dal piano di controllo.

Se vuoi accedere al piano di controllo dall'esterno di my-subnet-0, devi autorizza almeno un intervallo di indirizzi ad avere accesso all'endpoint privato.

Supponi di avere una VM nella rete predefinita, che si trova nella stessa regione nel cluster, ma non in my-subnet-0.

Ad esempio:

my-subnet-0: 10.0.0.0/22
Intervallo secondario pod: 10.52.0.0/14
Indirizzo VM: 10.128.0.3

Puoi autorizzare la VM ad accedere al piano di controllo utilizzando questo comando:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Creazione di un cluster privato con accesso limitato all'endpoint pubblico

Quando crei un cluster privato utilizzando questa configurazione, puoi scegliere di una subnet generata automaticamente o personalizzata.

Utilizzo di una subnet generata automaticamente

In questa sezione creerai un cluster privato denominato private-cluster-1 in cui GKE genera automaticamente una subnet per i nodi del cluster. Nella subnet è abilitato l'accesso privato Google. Nella subnet, GKE crea automaticamente due intervalli secondari: uno per i pod e una per i servizi.

Puoi utilizzare Google Cloud CLI o l'API GKE.

gcloud

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-private-nodes

Per i cluster Standard, esegui questo comando:

gcloud container clusters create private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.0/28

dove:

--create-subnetwork name=my-subnet-1 causa GKE per creare automaticamente una subnet denominata my-subnet-1.
--enable-master-authorized-networks specifica che l'accesso al pubblico endpoint è limitato a intervalli di indirizzi IP autorizzati.

--enable-ip-alias rende il cluster nativo di VPC (non richiesta per Autopilot).

--enable-private-nodes indica che i nodi del cluster non hanno e indirizzi IP esterni.

--master-ipv4-cidr 172.16.0.0/28 specifica un intervallo di indirizzi IP interni per (facoltativo per Autopilot). Questa impostazione è permanente per questo cluster e deve essere univoco all'interno del VPC. La Utilizzo di indirizzi IP interni non RFC 1918 è supportato.

API

Specifica il campo privateClusterConfig nella risorsa API Cluster:

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al cluster di controllo:

L'intervallo principale di my-subnet-1.
L'intervallo secondario utilizzato per i pod.

Supponi di avere un gruppo di macchine, esterno alla tua rete VPC, che hanno indirizzi nell'intervallo 203.0.113.0/29. Puoi autorizzarli di accedere all'endpoint pubblico inserendo questo comando:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Ora questi sono gli unici indirizzi IP che hanno accesso al piano di controllo:

L'intervallo principale di my-subnet-1.
L'intervallo secondario utilizzato per i pod.
Intervalli di indirizzi che hai autorizzato, ad esempio 203.0.113.0/29.

Utilizzo di una subnet personalizzata

In questa sezione, creerai le seguenti risorse:

Un cluster privato denominato private-cluster-2.
Una rete denominata my-net-2.
Una subnet denominata my-subnet-2, con nell'intervallo 192.168.0.0/20 dei nodi del cluster. La tua subnet ha le seguenti di indirizzi secondari:
- my-pods per gli indirizzi IP dei pod.
- my-services per gli indirizzi IP del servizio.

Console

Crea una rete, una subnet e intervalli secondari

Vai alla pagina Reti VPC nella console Google Cloud.

Vai alle reti VPC
Fai clic su Crea rete VPC.
In Nome, inserisci my-net-2.
In Modalità di creazione subnet , seleziona Personalizzata.
Nella sezione Nuova subnet, in Nome, inserisci my-subnet-2.
Nell'elenco Regione, seleziona la regione che ti interessa.
In Intervallo di indirizzi IP, inserisci 192.168.0.0/20.
Fai clic su Crea intervallo IP secondario. Per Nome intervallo di subnet, inserisci my-services e per Intervallo IP secondario, inserisci 10.0.32.0/20.
Fai clic su Aggiungi intervallo IP. Per Nome intervallo di subnet, inserisci my-pods e per Intervallo IP secondario, inserisci 10.4.0.0/14.
Imposta Accesso privato Google su On.
Fai clic su Fine.
Fai clic su Crea.

Creare un cluster privato

Crea un cluster privato che utilizza la tua subnet:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea, quindi nella sezione Standard o Autopilot, fai clic su Configura.
In Nome, inserisci private-cluster-2.
Nel riquadro di navigazione, fai clic su Networking.
Seleziona il pulsante di opzione Cluster privato.
Per creare un piano di controllo accessibile da un IP esterno autorizzato mantieni la casella di controllo Accedi al piano di controllo utilizzando il suo indirizzo IP esterno selezionato.
(Facoltativo per Autopilot) Imposta Intervallo IP del piano di controllo su 172.16.0.16/28.
Nell'elenco Rete, seleziona my-net-2.
Nell'elenco Subnet nodo, seleziona my-subnet-2.
Deseleziona la casella di controllo Crea automaticamente intervalli secondari.
Nell'elenco Intervallo CIDR secondario dei pod, seleziona my-pods.
Nell'elenco Intervallo CIDR secondario dei servizi, seleziona my-services.
Seleziona la casella di controllo Abilita reti autorizzate del piano di controllo.
Fai clic su Crea.

gcloud

Crea una rete

Innanzitutto, crea una rete per il tuo cluster. Il comando seguente crea un'istanza rete my-net-2:

gcloud compute networks create my-net-2 \
    --subnet-mode custom

Crea una subnet e intervalli secondari

Quindi, crea una subnet, my-subnet-2, nella rete my-net-2, con intervalli secondari my-pods per i pod e my-services per i servizi:

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

Creare un cluster privato

Ora crea un cluster privato, private-cluster-2, utilizzando la rete, nella subnet e agli intervalli secondari che hai creato.

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes

Per i cluster Standard, esegui questo comando:

gcloud container clusters create private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes \
    --enable-ip-alias \
    --master-ipv4-cidr 172.16.0.16/28 \
    --no-enable-basic-auth \
    --no-issue-client-certificate

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al controllo aereo:

L'intervallo principale di my-subnet-2.
L'intervallo secondario my-pods.

Supponi di avere un gruppo di macchine, all'esterno di my-net-2, con indirizzi nell'intervallo 203.0.113.0/29. Puoi autorizzare queste macchine ad accedere inserendo questo comando:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

A questo punto, questi sono gli unici indirizzi IP che hanno accesso al controllo aereo:

L'intervallo principale di my-subnet-2.
L'intervallo secondario my-pods.
Intervalli di indirizzi che hai autorizzato, ad esempio 203.0.113.0/29.

Utilizzo di Cloud Shell per accedere a un cluster privato

Il cluster privato che hai creato Utilizzo di una subnet generata automaticamente, private-cluster-1, dispone di un endpoint pubblico e ha le reti autorizzate abilitate. Se vuoi per usare Cloud Shell, devi aggiungere l'indirizzo IP esterno di Cloud Shell all'elenco delle istanze autorizzate del cluster reti.

Per farlo:

Nella finestra della riga di comando di Cloud Shell, usa dig per trovare l'IP esterno di Cloud Shell:
```
dig +short myip.opendns.com @resolver1.opendns.com
```
Aggiungi l'indirizzo esterno di Cloud Shell all'elenco delle istanze del cluster reti autorizzate:
```
gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
```
Sostituisci quanto segue:
- EXISTING_AUTH_NETS: gli indirizzi IP del tuo elenco esistente di account autorizzati reti. Puoi trovare le reti autorizzate nella console o tramite esegui questo comando:
```
gcloud container clusters describe private-cluster-1 --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
```
- SHELL_IP: l'indirizzo IP esterno del tuo in Cloud Shell.
Richiedi le credenziali per poter utilizzare kubectl per accedere al cluster:
```
gcloud container clusters get-credentials private-cluster-1 \
    --project=PROJECT_ID \
    --internal-ip
```
Sostituisci PROJECT_ID con l'ID progetto.

Usa kubectl, in Cloud Shell, per accedere al tuo cluster privato:

kubectl get nodes

L'output è simile al seguente:

NAME                                               STATUS   ROLES    AGE    VERSION
gke-private-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302

Creazione di un cluster privato con accesso senza restrizioni all'endpoint pubblico

In questa sezione creerai un cluster privato in cui può accedere qualsiasi indirizzo IP il piano di controllo.

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea, quindi nella sezione Standard o Autopilot, fai clic su Configura.
In Nome, inserisci private-cluster-3.
Nel riquadro di navigazione, fai clic su Networking.
Seleziona l'opzione Cluster privato.
Mantieni selezionata la casella di controllo Accedi al piano di controllo utilizzando il relativo indirizzo IP esterno.
(Facoltativo per Autopilot) Imposta Intervallo IP del piano di controllo su 172.16.0.32/28.
Lascia Rete e Subnet nodo impostati su default. Questo causa a GKE di generare una subnet per il tuo cluster.
Deseleziona la casella di controllo Abilita reti autorizzate del piano di controllo.
Fai clic su Crea.

gcloud

Per i cluster Autopilot, esegui questo comando:

gcloud container clusters create-auto private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-private-nodes

Per i cluster Standard, esegui questo comando:

gcloud container clusters create private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.32/28

dove:

--create-subnetwork name=my-subnet-3 causa GKE per creare automaticamente una subnet denominata my-subnet-3.
--no-enable-master-authorized-networks disattiva le autorizzazioni autorizzate reti per il cluster.

--enable-ip-alias rende il cluster nativo di VPC (non richiesta per Autopilot).

--enable-private-nodes indica che i nodi del cluster non hanno e indirizzi IP esterni.

--master-ipv4-cidr 172.16.0.32/28 specifica un intervallo di indirizzi IP interni per (facoltativo per Autopilot). Questa impostazione è permanente per questo cluster e deve essere univoco all'interno del VPC. La Utilizzo di indirizzi IP interni non RFC 1918 è supportato.

Aggiunta di regole firewall per casi d'uso specifici

Questa sezione spiega come aggiungere una regola firewall a un cluster privato. Di per impostazione predefinita, le regole firewall limitano il piano di controllo del cluster ad avviare solo TCP a nodi e pod sulle porte 443 (HTTPS) e 10250 (kubelet). Per alcune funzionalità di Kubernetes, potresti dover aggiungere delle regole firewall per consentire l'accesso su porte aggiuntive. Non creare regole firewall o criterio firewall regole che hanno un valore principale rispetto alla firewall creato automaticamente di addestramento.

Le funzionalità di Kubernetes che richiedono regole firewall aggiuntive includono:

Webhook di ammissione
Server API aggregati
Conversione webhook
Configurazione dei controlli dinamici
In genere, qualsiasi API che abbia un campo ServiceReference richiede regole firewall aggiuntive.

L'aggiunta di una regola firewall consente il traffico dal piano di controllo del cluster a tutti gli elementi seguenti:

La porta specificata di ciascun nodo (hostPort).
La porta specificata di ogni pod in esecuzione su questi nodi.
La porta specificata di ogni servizio in esecuzione su questi nodi.

Per saperne di più sulle regole firewall, consulta Regole firewall nella documentazione di Cloud Load Balancing.

Per aggiungere una regola firewall in un cluster privato, devi registrare il cluster il blocco CIDR del piano di controllo e la destinazione utilizzata. Dopo la registrazione, puoi per creare la regola.

Passaggio 1: Visualizza il blocco CIDR del piano di controllo

Per aggiungere una regola firewall è necessario il blocco CIDR del piano di controllo del cluster.

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Nell'elenco dei cluster, fai clic sul nome del cluster.

Nella scheda Dettagli, in Networking, prendi nota del valore nel Intervallo di indirizzi del piano di controllo.

gcloud

Esegui questo comando:

gcloud container clusters describe CLUSTER_NAME

Sostituisci CLUSTER_NAME con il nome del tuo privato in un cluster Kubernetes.

Nell'output comando, prendi nota del valore nel campo masterIpv4CidrBlock .

Passaggio 2: Visualizza le regole firewall esistenti

Devi specificare il target (in questo caso, i nodi di destinazione) in cui le regole firewall esistenti nel cluster per gli utilizzi odierni.

Console

Vai alla pagina Criteri firewall nella console Google Cloud.

Vai a Criteri firewall
In Filtra tabella per Regole firewall VPC, inserisci gke-CLUSTER_NAME.

Nei risultati, prendi nota del valore nel campo Target.

gcloud

Esegui questo comando:

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Nell'output comando, prendi nota del valore nel campo Destinazioni.

Nota: per visualizzare le regole firewall per un VPC condiviso, aggiungi il --project HOST_PROJECT_ID al comando.

Per ulteriori informazioni sul VPC condiviso, consulta Configurazione di cluster con VPC condiviso

Passaggio 3: Aggiungi una regola firewall

Console

Vai alla pagina Criteri firewall nella console Google Cloud.

Vai a Criteri firewall
Fai clic su Crea regola firewall.
In Nome, inserisci il nome della regola firewall.
Nell'elenco Rete, seleziona la rete pertinente.
In Direzione del traffico, fai clic su In entrata.
In Azione in caso di corrispondenza, fai clic su Consenti.
Nell'elenco Target, seleziona Tag di destinazione specificati.
In Tag di destinazione, inserisci il valore target annotato in precedenza.
Nell'elenco Filtro di origine, seleziona Intervalli IPv4.
Per Intervalli IPv4 di origine, inserisci il blocco CIDR del piano di controllo del cluster.
In Protocolli e porte, fai clic su Protocolli e porte specificati. seleziona la casella di controllo relativa al protocollo pertinente (tcp o udp). inserisci il numero di porta nel campo protocollo.
Fai clic su Crea.

gcloud

Esegui questo comando:

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

Sostituisci quanto segue:

FIREWALL_RULE_NAME: il nome che scegli per il firewall personalizzata.
CONTROL_PLANE_RANGE: il controllo del cluster l'intervallo di indirizzi IP del piano (masterIpv4CidrBlock) che hai raccolto in precedenza.
PROTOCOL:PORT: la porta e i relativi tcp o udp.
TARGET: il valore target (Targets) che hai raccolto in precedenza.

Nota: per aggiungere una regola firewall per un VPC condiviso, aggiungi i seguenti flag al comando:

--project HOST_PROJECT_ID
--network NETWORK_ID

Per ulteriori informazioni sul VPC condiviso, consulta Configurazione di cluster con VPC condiviso

Verifica che i nodi non abbiano indirizzi IP esterni

Dopo aver creato un cluster privato, verifica che i nodi del cluster non hanno indirizzi IP esterni.

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Nell'elenco dei cluster, fai clic sul nome del cluster.
Per i cluster Autopilot, nella sezione Impostazioni di base del cluster, controlla Campo Endpoint esterno. Il valore è Disabled (Disabilitata).

Per i cluster Standard, segui questi passaggi:

Nella pagina Cluster, fai clic sulla scheda Nodi.
In Pool di nodi, fai clic sul nome del pool di nodi.
Nella pagina Dettagli del pool di nodi, in Gruppi di istanze, fai clic su il nome del gruppo di istanze. Ad esempio: gke-private-cluster-0-default-pool-5c5add1f-grp`.
Nell'elenco delle istanze, verifica che non siano presenti e indirizzi IP esterni.

gcloud

Esegui questo comando:

kubectl get nodes --output wide

La colonna EXTERNAL-IP dell'output è vuota:

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Verifica il riutilizzo del peering VPC nel cluster

Tutti i cluster privati creati dopo il 15 gennaio 2020 riutilizzare le connessioni di peering di rete VPC.

Puoi verificare se il tuo cluster privato riutilizza le connessioni di peering di rete VPC utilizzando gcloud CLI o la console Google Cloud.

Console

Controlla la riga Peering VPC nella pagina Dettagli cluster. Se il tuo cluster è riutilizzando le connessioni in peering VPC, l'output inizia con gke-n. Ad esempio: gke-n34a117b968dee3b2221-93c6-40af-peer.

gcloud

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Se il cluster riutilizza le connessioni in peering VPC, l'output inizia con gke-n. Ad esempio, gke-n34a117b968dee3b2221-93c6-40af-peer.

esegui la pulizia

Dopo aver completato le attività in questa pagina, segui questi passaggi per rimuovere per evitare addebiti indesiderati sul tuo account:

Elimina i cluster

Console

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Seleziona ciascun cluster.
Fai clic su Elimina.

gcloud

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Eliminare la rete

Console

Vai alla pagina Reti VPC nella console Google Cloud.

Vai alle reti VPC
Nell'elenco delle reti, fai clic su my-net-0.
Nella pagina Dettagli rete VPC, fai clic su Elimina rete VPC.
Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

gcloud

gcloud compute networks delete my-net-0

Passaggi successivi

Segui il tutorial sull'accesso ai cluster GKE privati con i pool privati di Cloud Build.