Private Cluster erstellen

Autopilot Standard

Auf dieser Seite wird erläutert, wie Sie einen privaten GKE-Cluster (Google Kubernetes Engine) erstellen, der eine Art VPC-nativer Cluster ist. In einem privaten Cluster haben Knoten nur interne IP-Adressen. Das heißt, Knoten und Pods sind standardmäßig vom Internet isoliert.

Interne IP-Adressen für Knoten stammen aus dem primären IP-Adressbereich des Subnetzes, das Sie für den Cluster auswählen. Pod-IP-Adressen und Service-IP-Adressen stammen aus zwei sekundären Subnetz-IP-Adressbereichen desselben Subnetzes. Weitere Informationen finden Sie unter IP-Bereiche für VPC-native Cluster.

Die GKE-Versionen ab 1.14.2 unterstützen alle internen IP-Adressbereiche, einschließlich privater Bereiche (RFC 1918 und anderer privater Bereiche) sowie privat verwendeter öffentlicher IP-Adressbereiche. Eine Liste der gültigen internen IP-Adressbereiche finden Sie in der VPC-Dokumentation.

Weitere Informationen zur Funktionsweise von privaten Clustern finden Sie unter Private Cluster.

Hinweis

Machen Sie sich mit den Anforderungen, Beschränkungen und Einschränkungen vertraut, bevor Sie mit dem nächsten Schritt fortfahren.

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Aktivieren Sie die Google Kubernetes Engine API.

Google Kubernetes Engine API aktivieren

Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab.
Hinweis: Legen Sie für vorhandene Installationen der gcloud CLI die compute/region- und compute/zone-Attribute fest. Durch das Festlegen von Standardspeicherorten können Sie in der gcloud CLI Fehler wie One of [--zone, --region] must be supplied: Please specify location vermeiden.

Prüfen Sie, ob Sie die erforderliche Berechtigung zum Erstellen von Clustern haben. Sie sollten mindestens ein Kubernetes Engine-Cluster-Administrator sein.
Achten Sie darauf, dass Sie eine Route zum Standard-Internetgateway haben.

Privaten Cluster ohne Clientzugriff auf den öffentlichen Endpunkt erstellen

In diesem Abschnitt erstellen Sie die folgenden Ressourcen:

Einen privaten Cluster mit dem Namen private-cluster-0, der private Knoten und keinen Clientzugriff auf den öffentlichen Endpunkt hat.
Ein Netzwerk mit dem Namen my-net-0.
Ein Subnetz mit dem Namen my-subnet-0.

Console

Netzwerk und Subnetz erstellen

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name my-net-0 ein.
Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Geben Sie im Feld Neues Subnetz für Name den Wert my-subnet-0 ein.
Wählen Sie in der Liste Region die gewünschte Region aus.
Geben Sie 10.2.204.0/22 als IP-Adressbereich ein.
Setzen Sie Privater Google-Zugriff auf An.
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.

Privaten Cluster erstellen

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie auf Erstellen und dann im Bereich „Standard“ oder „Autopilot“ auf Konfigurieren.
Geben Sie im Feld Name private-cluster-0 ein.
Klicken Sie im Navigationsbereich auf Netzwerk.
Wählen Sie in der Liste Netzwerk die Option my-net-0 aus.
Wählen Sie in der Liste Knotensubnetz die Option my-subnet-0 aus.
Wählen Sie das Optionsfeld Privater Cluster aus.
Entfernen Sie das Häkchen aus dem Kästchen Zugriffssteuerungsebene über die externe IP-Adresse.
(Optional für Autopilot): Setzen Sie IP-Bereich der Steuerungsebene auf 172.16.0.32/28.
Klicken Sie auf Erstellen.

gcloud

Führen Sie für Autopilot-Cluster den folgenden Befehl aus:

gcloud container clusters create-auto private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-private-nodes \
    --enable-private-endpoint

Führen Sie für Standardcluster den folgenden Befehl aus:

gcloud container clusters create private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --enable-private-endpoint \
    --master-ipv4-cidr 172.16.0.32/28

Dabei gilt:

--create-subnetwork name=my-subnet-0 bewirkt, dass GKE automatisch ein Subnetz mit dem Namen my-subnet-0 erstellt.
--enable-master-authorized-networks gibt an, dass der Zugriff auf den öffentlichen Endpunkt auf von Ihnen autorisierte IP-Adressbereiche beschränkt ist.

--enable-ip-alias sorgt dafür, dass der Cluster VPC-nativ ist (nicht für Autopilot erforderlich).

--enable-private-nodes gibt an, dass die Knoten des Clusters keine externen IP-Adressen haben.
--enable-private-endpoint gibt an, dass der Cluster mithilfe der internen IP-Adresse für den API-Endpunkt der Steuerungsebene verwaltet wird.

--master-ipv4-cidr 172.16.0.32/28 gibt einen internen IP-Adressbereich für die Steuerungsebene an (optional für Autopilot). Diese Einstellung ist für diesen Cluster dauerhaft und muss innerhalb der VPC eindeutig sein. Die Verwendung von internen IP-Adressen außerhalb von RFC 1918 wird unterstützt.

API

Zum Erstellen eines Clusters ohne öffentlich erreichbare Steuerungsebene geben Sie in der Ressource privateClusterConfig das Feld enablePrivateEndpoint: true an.

Dies sind derzeit die einzigen IP-Adressen mit Zugriff auf die Steuerungsebene:

Der primäre Bereich von my-subnet-0
Der für Pods verwendete sekundäre Bereich

Angenommen, Sie haben im primären Bereich von my-subnet-0 eine VM erstellt. Dann können Sie für diese VM kubectl so konfigurieren, dass die interne IP-Adresse der Steuerungsebene verwendet wird.

Wenn Sie außerhalb von my-subnet-0 auf die Steuerungsebene zugreifen möchten, gewähren Sie mindestens einem Adressbereich Zugriff auf den privaten Endpunkt.

Angenommen, Sie haben eine VM im Standardnetzwerk in derselben Region wie Ihr Cluster, aber nicht in my-subnet-0.

Beispiel:

my-subnet-0: 10.0.0.0/22
Sekundärer Bereich für Pods: 10.52.0.0/14
VM-Adresse: 10.128.0.3

Sie können der VM mit folgendem Befehl Zugriff auf die Steuerungsebene gewähren:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Privaten Cluster mit beschränktem Zugriff auf den öffentlichen Endpunkt erstellen

Beim Erstellen eines privaten Clusters mit dieser Konfiguration können Sie ein automatisch erzeugtes Subnetz oder ein benutzerdefiniertes Subnetz verwenden.

Automatisch erzeugtes Subnetz verwenden

In diesem Abschnitt erstellen Sie einen privaten Cluster mit dem Namen private-cluster-1, in dem GKE automatisch ein Subnetz für Ihre Clusterknoten erzeugt. Für das Subnetz ist der private Google-Zugriff aktiviert. GKE erstellt im Subnetz automatisch zwei sekundäre Bereiche: einen für Pods und einen für Dienste.

Sie können dazu die Google Cloud CLI oder die GKE API verwenden.

gcloud

Führen Sie für Autopilot-Cluster den folgenden Befehl aus:

gcloud container clusters create-auto private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-private-nodes

Führen Sie für Standardcluster den folgenden Befehl aus:

gcloud container clusters create private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.0/28

Dabei gilt:

--create-subnetwork name=my-subnet-1 bewirkt, dass GKE automatisch ein Subnetz mit dem Namen my-subnet-1 erstellt.
--enable-master-authorized-networks gibt an, dass der Zugriff auf den öffentlichen Endpunkt auf von Ihnen autorisierte IP-Adressbereiche beschränkt ist.

--enable-ip-alias sorgt dafür, dass der Cluster VPC-nativ ist (nicht für Autopilot erforderlich).

--enable-private-nodes gibt an, dass die Knoten des Clusters keine externen IP-Adressen haben.

--master-ipv4-cidr 172.16.0.0/28 gibt einen internen IP-Adressbereich für die Steuerungsebene an (optional für Autopilot). Diese Einstellung ist für diesen Cluster dauerhaft und muss innerhalb der VPC eindeutig sein. Die Verwendung von internen IP-Adressen außerhalb von RFC 1918 wird unterstützt.

API

Geben Sie das Feld privateClusterConfig in der API-Ressource Cluster an:

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

Dies sind an diesem Punkt die einzigen IP-Adressen mit Zugriff auf die Clustersteuerungsebene:

Der primäre Bereich von my-subnet-1
Der für Pods verwendete sekundäre Bereich

Angenommen, Sie haben außerhalb Ihres VPC-Netzwerks mehrere Maschinen mit Adressen im Bereich 203.0.113.0/29. Diesen Maschinen können Sie mit folgendem Befehl Zugriff auf den öffentlichen Endpunkt gewähren:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Dies sind jetzt die einzigen IP-Adressen mit Zugriff auf die Steuerungsebene:

Der primäre Bereich von my-subnet-1
Der für Pods verwendete sekundäre Bereich
Von Ihnen autorisierte Adressbereiche, beispielsweise 203.0.113.0/29.

Benutzerdefiniertes Subnetz verwenden

In diesem Abschnitt erstellen Sie die folgenden Ressourcen:

Ein privater Cluster mit dem Namen private-cluster-2.
Ein Netzwerk mit dem Namen my-net-2.
Ein Subnetz mit dem Namen my-subnet-2 mit dem primären Bereich 192.168.0.0/20 für Ihre Clusterknoten. Das Subnetz hat die folgenden sekundären Adressbereiche:
- my-pods für die Pod-IP-Adressen.
- my-services für die Service-IP-Adressen.

Console

Netzwerk, Subnetz und sekundäre Bereiche erstellen

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name my-net-2 ein.
Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Geben Sie im Feld Neues Subnetz für Name den Wert my-subnet-2 ein.
Wählen Sie in der Liste Region die gewünschte Region aus.
Geben Sie 192.168.0.0/20 als IP-Adressbereich ein.
Klicken Sie auf Sekundären IP-Bereich erstellen. Geben Sie my-services für Name des Subnetzbereichs und 10.0.32.0/20 für Sekundärer IP-Bereich ein.
Klicken Sie auf IP-Bereich hinzufügen. Geben Sie für Name des Subnetzbereichs my-pods und für Sekundärer IP-Bereich 10.4.0.0/14 ein.
Setzen Sie Privater Google-Zugriff auf An.
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.

Privaten Cluster erstellen

Erstellen Sie einen privaten Cluster, der Ihr Subnetz verwendet:

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie auf Erstellen und dann im Bereich „Standard“ oder „Autopilot“ auf Konfigurieren.
Geben Sie im Feld Name private-cluster-2 ein.
Klicken Sie im Navigationsbereich auf Netzwerk.
Wählen Sie das Optionsfeld Privater Cluster aus.
Wenn Sie eine Steuerungsebene erstellen möchten, auf die von autorisierten externen IP-Bereichen aus zugegriffen werden kann, behalten Sie das Häkchen im Kästchen Zugriffsebene der Steuerungsebene mit externer IP-Adresse bei.
(Optional für Autopilot) Legen Sie den IP-Bereich der Steuerungsebene auf 172.16.0.16/28 fest.
Wählen Sie in der Liste Netzwerk die Option my-net-2 aus.
Wählen Sie in der Liste Knotensubnetz die Option my-subnet-2 aus.
Entfernen Sie das Häkchen aus dem Kästchen Sekundäre Bereiche automatisch erstellen.
Wählen Sie in der Liste Sekundärer Pod-CIDR-Bereich die Option my-pods aus.
Wählen Sie in der Liste Sekundärer CIDR-Dienstbereich die Option my-services aus.
Klicken Sie das Kästchen Autorisierte Steuerungsebenennetzwerke aktivieren an.
Klicken Sie auf Erstellen.

gcloud

Netzwerk erstellen

Erstellen Sie zuerst ein Netzwerk für den Cluster. Mit dem folgenden Befehl wird das Netzwerk my-net-2 erstellt:

gcloud compute networks create my-net-2 \
    --subnet-mode custom

Subnetz und sekundäre Bereiche erstellen

Erstellen Sie dann das Subnetz my-subnet-2 im Netzwerk my-net-2 mit den sekundären Bereichen my-pods für Pods und my-services für Dienste:

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

Privaten Cluster erstellen

Erstellen Sie nun den privaten Cluster private-cluster-2 mit dem Netzwerk, Subnetz und den sekundären Bereichen, die Sie erstellt haben.

Führen Sie für Autopilot-Cluster den folgenden Befehl aus:

gcloud container clusters create-auto private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes

Führen Sie für Standardcluster den folgenden Befehl aus:

gcloud container clusters create private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes \
    --enable-ip-alias \
    --master-ipv4-cidr 172.16.0.16/28 \
    --no-enable-basic-auth \
    --no-issue-client-certificate

Dies sind derzeit die einzigen IP-Adressen mit Zugriff auf die Steuerungsebene:

Der primäre Bereich von my-subnet-2
Der sekundäre Bereich my-pods

Angenommen, Sie haben eine Gruppe von Computern außerhalb von my-net-2 mit Adressen im Bereich 203.0.113.0/29. Diesen Maschinen können Sie mit folgendem Befehl Zugriff auf den öffentlichen Endpunkt gewähren:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Dies sind derzeit die einzigen IP-Adressen mit Zugriff auf die Steuerungsebene:

Der primäre Bereich von my-subnet-2
Der sekundäre Bereich my-pods
Von Ihnen autorisierte Adressbereiche, beispielsweise 203.0.113.0/29.

Mit Cloud Shell auf einen privaten Cluster zugreifen

Der private Cluster private-cluster-1, den Sie im Abschnitt Automatisch erzeugtes Subnetz verwenden erstellt haben, hat einen öffentlichen Endpunkt und aktivierte autorisierte Netzwerke. Wenn Sie mit Cloud Shell auf den Cluster zugreifen möchten, fügen Sie die externe IP-Adresse Ihrer Cloud Shell der Liste der autorisierten Netzwerke des Clusters hinzu.

Vorgehensweise:

Verwenden Sie im Cloud Shell-Befehlszeilenfenster dig, um die externe IP-Adresse Ihrer Cloud Shell zu finden:
```
dig +short myip.opendns.com @resolver1.opendns.com
```
Fügen Sie der Liste autorisierter Netzwerke Ihres Clusters die externe Adresse von Cloud Shell hinzu:
```
gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
```
Ersetzen Sie Folgendes:
- EXISTING_AUTH_NETS: Die IP-Adressen der vorhandenen Liste autorisierter Netzwerke. Sie finden Ihre autorisierten Netzwerke in der Console oder durch Ausführen des folgenden Befehls:
```
gcloud container clusters describe private-cluster-1 --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
```
- SHELL_IP ist die externe IP-Adresse Ihrer Cloud Shell.
Rufen Sie die Anmeldedaten ab, damit Sie kubectl für den Zugriff auf den Cluster verwenden können:
```
gcloud container clusters get-credentials private-cluster-1 \
    --project=PROJECT_ID \
    --internal-ip
```
Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.

Verwenden Sie in Cloud Shell kubectl, um auf Ihren privaten Cluster zuzugreifen:

kubectl get nodes

Die Ausgabe sieht in etwa so aus:

NAME                                               STATUS   ROLES    AGE    VERSION
gke-private-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302

Privaten Cluster mit unbeschränktem Zugriff auf den öffentlichen Endpunkt erstellen

In diesem Abschnitt erstellen Sie einen privaten Cluster, in dem jede IP-Adresse auf die Steuerungsebene zugreifen kann.

Console

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie auf Erstellen und dann im Bereich „Standard“ oder „Autopilot“ auf Konfigurieren.
Geben Sie im Feld Name private-cluster-3 ein.
Klicken Sie im Navigationsbereich auf Netzwerk.
Wählen Sie die Option Privater Cluster aus.
Behalten Sie das Häkchen im Kästchen Zugriffsebene der Steuerungsebene mit externer IP-Adresse bei.
(Optional für Autopilot) Legen Sie den IP-Bereich der Steuerungsebene auf 172.16.0.32/28 fest.
Belassen Sie Netzwerk und Knotensubnetz auf default. GKE generiert dadurch ein Subnetz für den Cluster.
Entfernen Sie das Häkchen aus dem Kästchen Autorisierte Steuerungsebenennetzwerke aktivieren.
Klicken Sie auf Erstellen.

gcloud

Führen Sie für Autopilot-Cluster den folgenden Befehl aus:

gcloud container clusters create-auto private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-private-nodes

Führen Sie für Standardcluster den folgenden Befehl aus:

gcloud container clusters create private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.32/28

Dabei gilt:

--create-subnetwork name=my-subnet-3 bewirkt, dass GKE automatisch ein Subnetz mit dem Namen my-subnet-3 erstellt.
--no-enable-master-authorized-networks deaktiviert autorisierte Netzwerke für den Cluster.

--enable-ip-alias sorgt dafür, dass der Cluster VPC-nativ ist (nicht für Autopilot erforderlich).

--enable-private-nodes gibt an, dass die Knoten des Clusters keine externen IP-Adressen haben.

--master-ipv4-cidr 172.16.0.32/28 gibt einen internen IP-Adressbereich für die Steuerungsebene an (optional für Autopilot). Diese Einstellung ist für diesen Cluster dauerhaft und muss innerhalb der VPC eindeutig sein. Die Verwendung von internen IP-Adressen außerhalb von RFC 1918 wird unterstützt.

Andere Konfigurationen privater Cluster

Neben den vorherigen Konfigurationen können private Cluster auch mit folgenden Konfigurationen ausgeführt werden.

Privaten Knoten ausgehenden Internetzugriff gewähren

Wenn Sie privaten Knoten ausgehenden Internetzugriff gewähren möchten, z. B. um Images aus einer externen Registry abzurufen, verwenden Sie Cloud NAT, um einen Cloud Router zu erstellen und zu konfigurieren. Mit Cloud NAT können private Cluster ausgehende Verbindungen über das Internet herstellen, um Pakete zu senden und zu empfangen.

Der Cloud Router ermöglicht allen Knoten in der Region, Cloud NAT für alle primären und Alias-IP-Bereiche zu verwenden. Außerdem werden die externen IP-Adressen für das NAT-Gateway automatisch zugeordnet.

Eine Anleitung zum Erstellen und Konfigurieren eines Cloud Routers finden Sie in der Cloud NAT-Dokumentation unter Cloud NAT-Konfiguration mit Cloud Router erstellen.

Privaten Cluster in einem freigegebenen VPC-Netzwerk erstellen

Informationen zum Erstellen eines privaten Clusters in einem freigegebenen VPC-Netzwerk finden Sie unter Private Cluster in einer freigegebenen VPC erstellen.

Windows Server-Containeranwendung in einem privaten Cluster bereitstellen

Informationen zum Bereitstellen einer Windows Server-Containeranwendung in einem privaten Cluster finden Sie in der Dokumentation zu Windows-Knotenpools.

Global auf privaten Endpunkt der Steuerungsebene zugreifen

Der private Endpunkt der Steuerungsebene wird von einem internen Passthrough-Network Load Balancer im VPC-Netzwerk der Steuerungsebene implementiert. Interne oder über Cloud VPN-Tunnel und Cloud Interconnect-VLAN-Anhänge verbundene Clients können auf interne Passthrough-Network Load Balancer zugreifen.

Standardmäßig müssen sich diese Clients in derselben Region wie der Load-Balancer befinden.

Wenn Sie den globalen Zugriff auf die Steuerungsebene aktivieren, ist der interne Passthrough-Network Load Balancer global zugänglich. Client-VMs und lokale Systeme können gemäß der Konfiguration der autorisierten Netzwerke von einer beliebigen Region aus eine Verbindung zum privaten Endpunkt der Steuerungsebene herstellen.

Weitere Informationen zu den internen Passthrough-Network Load Balancern und dem globalen Zugriff finden Sie unter Interne Load Balancer und verbundene Netzwerke.

Globalen Zugriff auf privaten Endpunkt der Steuerungsebene aktivieren

Standardmäßig ist der globale Zugriff nicht für den privaten Endpunkt der Steuerungsebene aktiviert, wenn Sie einen privaten Cluster erstellen. Verwenden Sie die folgenden Tools basierend auf Ihrem Clustermodus, um den globalen Zugriff auf die Steuerungsebene zu aktivieren:

Für Standardcluster können Sie Google Cloud CLI oder die Google Cloud Console verwenden.

Für Autopilot-Cluster können Sie die Terraform-Ressource google_container_cluster verwenden.

Console

Führen Sie die folgenden Schritte aus, um einen neuen privaten Cluster mit aktiviertem globalem Zugriff auf die Steuerungsebene zu erstellen:

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie auf Erstellen und dann im Bereich „Standard“ oder „Autopilot“ auf Konfigurieren.
Geben Sie einen Namen ein.
Klicken Sie im Navigationsbereich auf Netzwerk.
Wählen Sie Privater Cluster aus.
Klicken Sie das Kästchen Globalen Zugriff auf Steuerungsebene aktivieren an.
Konfigurieren Sie gegebenenfalls andere Felder.
Klicken Sie auf Erstellen.

Führen Sie die folgenden Schritte aus, um den globalen Zugriff auf die Steuerungsebene für einen vorhandenen privaten Cluster zu aktivieren:

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie neben dem Cluster, den Sie bearbeiten möchten, auf Aktionen und dann auf Bearbeiten.
Klicken Sie unter Netzwerk neben Globaler Zugriff auf Steuerungsebene auf Bearbeiten.
Klicken Sie im Dialogfeld Globalen Zugriff auf Steuerungsebene bearbeiten das Kästchen Globalen Zugriff auf Steuerungsebene aktivieren an.
Klicken Sie auf Änderungen speichern.

gcloud

Fügen Sie das Flag --enable-master-global-access hinzu, um einen privaten Cluster mit aktiviertem globalem Zugriff auf den privaten Endpunkt der Steuerungsebene zu erstellen:

gcloud container clusters create CLUSTER_NAME \
    --enable-private-nodes \
    --enable-master-global-access

Sie können den globalen Zugriff auf den privaten Endpunkt der Steuerungsebene auch für einen vorhandenen privaten Cluster aktivieren:

gcloud container clusters update CLUSTER_NAME \
    --enable-master-global-access

Globalen Zugriff auf privaten Endpunkt der Steuerungsebene prüfen

Sie können prüfen, ob der globale Zugriff auf den privaten Endpunkt der Steuerungsebene aktiviert ist. Führen Sie dafür den folgenden Befehl aus und sehen Sie sich die Ausgabe an.

gcloud container clusters describe CLUSTER_NAME

Die Ausgabe enthält den Abschnitt privateClusterConfig, in dem Sie den Status von masterGlobalAccessConfig sehen können.

privateClusterConfig:
  enablePrivateNodes: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
  masterGlobalAccessConfig:
    enabled: true

Von anderen Netzwerken auf den privaten Endpunkt der Steuerungsebene zugreifen

Wenn Sie einen privaten GKE-Cluster erstellen und den öffentlichen Endpunkt der Steuerungsebene deaktivieren, müssen Sie den Cluster mit Tools wie kubectl verwalten. Verwenden Sie dazu den privaten Endpunkt der Steuerungsebene. Sie können über ein anderes Netzwerk auf den privaten Endpunkt der Steuerungsebene des Clusters zugreifen. Dazu gehören:

Ein lokales Netzwerk, das über Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge mit dem VPC-Netzwerk des Clusters verbunden ist
Ein anderes VPC-Netzwerk, das über Cloud VPN-Tunnel mit dem VPC-Netzwerk des Clusters verbunden ist

Das folgende Diagramm zeigt einen Routingpfad zwischen einem lokalen Netzwerk und den Knoten der GKE-Steuerungsebene:

Diagramm: Routing zwischen der lokalen VPC und der Steuerungsebene des Clusters

Die folgenden Anforderungen müssen erfüllt sein, damit Systeme in einem anderen Netzwerk eine Verbindung zum privaten Endpunkt der Steuerungsebene eines Clusters herstellen können:

Identifizieren und notieren Sie relevante Netzwerkinformationen für den Cluster und den privaten Endpunkt der Steuerungsebene.
```
gcloud container clusters describe CLUSTER_NAME \
   --location=COMPUTE_LOCATION \
   --format="yaml(network, privateClusterConfig)"
```
Ersetzen Sie Folgendes:
- CLUSTER_NAME: der Name des Clusters.
- COMPUTE_LOCATION: der Compute Engine-Standort des Clusters.
Identifizieren Sie in der Ausgabe des Befehls die folgenden Informationen und notieren Sie sie zur Verwendung in den nächsten Schritten:
- network: der Name oder URI für das VPC-Netzwerk des Clusters.
- privateEndpoint: die IPv4-Adresse des privaten Endpunkts der Steuerungsebene oder der einschließende IPv4-CIDR-Bereich (masterIpv4CidrBlock).
- peeringName: der Name der VPC-Netzwerk-Peering-Verbindung, die zum Herstellen einer Verbindung des VPC-Netzwerks des Clusters zum VPC-Netzwerk der Steuerungsebene verwendet wird.
Die Ausgabe sieht in etwa so aus:
```
network: cluster-network
privateClusterConfig:
  enablePrivateNodes: true
  masterGlobalAccessConfig:
    enabled: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
```
Erwägen Sie, den globalen Zugriff auf den privaten Endpunkt der Steuerungsebene zu aktivieren, damit Pakete aus jeder Region im VPC-Netzwerk des Clusters eingegeben werden können. Wenn Sie den globalen Zugriff auf den privaten Endpunkt der Steuerungsebene aktivieren, können Sie eine Verbindung zum privaten Endpunkt über Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge herstellen, die sich in einer beliebigen Region befinden, nicht nur in der Region des Clusters.
Erstellen Sie eine Route für die IP-Adresse privateEndpoint oder den IP-Adressbereich masterIpv4CidrBlock im anderen Netzwerk. Da die IP-Adresse des privaten Endpunkts der Steuerungsebene immer im IPv4-Adressbereich masterIpv4CidrBlock liegt, wird durch Erstellen einer Route für die IP-Adresse privateEndpoint oder den einschließenden Bereich ein Pfad für Pakete aus einem anderen Netzwerk zum privaten Endpunkt der Steuerungsebene bereitgestellt, wenn Folgendes zutrifft:
- Das andere Netzwerk stellt eine Verbindung zum VPC-Netzwerk des Clusters über Cloud Interconnect-VLAN-Anhänge oder Cloud VPN-Tunnel her, die dynamische (BGP-)Routen verwenden: Verwenden Sie ein benutzerdefiniertes Cloud Router-Route Advertisement. Weitere Informationen finden Sie in der Cloud Router-Dokumentation unter Benutzerdefinierte IP-Bereiche bewerben.
- Das andere Netzwerk stellt über klassische VPN-Tunnel, die keine dynamischen Routen verwenden, eine Verbindung zum VPC-Netzwerk des Clusters her: Sie müssen eine statische Route im anderen Netzwerk konfigurieren.
Wichtig: Wenn Globaler Zugriff auf Steuerungsebene deaktiviert ist, müssen sich die Cloud VPN-Tunnel oder Cloud Interconnect-VLAN-Anhänge, die das VPC-Netzwerk des Clusters mit dem anderen Netzwerk verbinden, in derselben Region befinden wie der Cluster.
Konfigurieren Sie das VPC-Netzwerk des Clusters so, dass die benutzerdefinierten Routen in der Peering-Beziehung in das VPC-Netzwerk der Steuerungsebene exportiert werden. Google Cloud konfiguriert das VPC-Netzwerk der Steuerungsebene immer so, dass benutzerdefinierte Routen aus dem VPC-Netzwerk des Clusters importiert werden. In diesem Schritt wird ein Pfad für Pakete vom privaten Endpunkt der Steuerungsebene zurück zum anderen Netzwerk bereitgestellt.

Verwenden Sie den folgenden Befehl, um den Export benutzerdefinierter Routen aus dem VPC-Netzwerk des Clusters zu aktivieren:
```
gcloud compute networks peerings update PEERING_NAME \
    --network=CLUSTER_VPC_NETWORK \
    --export-custom-routes
```
Ersetzen Sie Folgendes:
- PEERING_NAME: der Name der Peering-Verbindung, über die das VPC-Netzwerk des Clusters mit dem VPC-Netzwerk der Steuerungsebene verbunden wird.
- CLUSTER_VPC_NETWORK: der Name oder URI des VPC-Netzwerks des Clusters
Weitere Informationen zum Aktualisieren des Routenaustauschs für vorhandene VPC-Netzwerk-Peering-Verbindungen finden Sie unter Peering-Verbindung aktualisieren.

Benutzerdefinierte Routen im VPC-Netzwerk des Clusters enthalten Routen, deren Ziele IP-Adressbereiche in anderen Netzwerken sind, z. B. ein lokales Netzwerk. Wie Sie dafür sorgen, dass diese Routen als benutzerdefinierte Peering-Routen im VPC-Netzwerk der Steuerungsebene wirksam werden, erfahren Sie unter Unterstützte Ziele aus dem anderen Netzwerk.

Unterstützte Ziele aus dem anderen Netzwerk

Die Adressbereiche, die das andere Netzwerk an die Cloud Router im VPC-Netzwerk des Clusters sendet, müssen die folgenden Bedingungen erfüllen:

Während die VPC Ihres Clusters eine Standardroute (0.0.0.0/0) akzeptiert, lehnt das VPC-Netzwerk der Steuerungsebene immer Standardrouten ab, da es bereits eine lokale Standardroute hat. Wenn das andere Netzwerk eine Standardroute an Ihr VPC-Netzwerk sendet, muss das andere Netzwerk auch die spezifischen Ziele von Systemen senden, die eine Verbindung zum privaten Endpunkt der Steuerungsebene herstellen müssen. Weitere Informationen finden Sie unter Routingreihenfolge.
Wenn das VPC-Netzwerk der Steuerungsebene Routen akzeptiert, die eine Standardroute effektiv ersetzen, wird die Verbindung zu Google APIs und Google-Diensten getrennt und die Steuerungsebene des Clusters wird dadurch unterbrochen. Ein repräsentatives Beispiel: Das andere Netzwerk darf keine Routen mit den Zielen 0.0.0.0/1 und 128.0.0.0/1 anbieten. Eine Alternative finden Sie im vorherigen Punkt.

Überwachen Sie die Cloud Router-Limits, insbesondere die maximale Anzahl eindeutiger Ziele für erkannte Routen.

Externe IP-Adressen für Knoten ausschließen

Kontrollieren Sie nach dem Erstellen eines privaten Clusters, dass die Knoten des Clusters keine externen IP-Adressen haben.

Console

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie in der Liste der Cluster auf den Clusternamen.
Klicken Sie bei Autopilot-Clustern im Abschnitt Clustergrundlagen auf das Feld Externer Endpunkt. Der Wert ist Deaktiviert.

Führen Sie für Standardcluster die folgenden Schritte aus:

Klicken Sie auf der Seite Cluster auf den Tab Knoten.
Klicken Sie unter Knotenpools auf den Namen des Knotenpools.
Klicken Sie auf der Seite Knotenpooldetails unter Instanzgruppen auf den Namen Ihrer Instanzgruppe. Beispiel: gke-private-cluster-0-default-pool-5c5add1f-grp.
Bestätigen Sie in der Liste der Instanzen, dass Ihre Instanzen keine externen IP-Adressen haben.

gcloud

Führen Sie den folgenden Befehl aus:

kubectl get nodes --output wide

Die Spalte EXTERNAL-IP der Ausgabe ist leer:

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Subnetz und sekundäre Adressbereiche des Clusters ansehen

Nachdem Sie einen privaten Cluster erstellt haben, können Sie die von Ihnen oder GKE für den Cluster bereitgestellten Subnetze und sekundären Adressbereiche anzeigen lassen.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf den Namen des Subnetzes. Beispiel: gke-private-cluster-0-subnet-163e3c97
Unter IP-Adressbereich sehen Sie den primären Adressbereich Ihres Subnetzes. Dies ist der Bereich, der für Knoten verwendet wird.
Unter Sekundäre IP-Bereiche sehen Sie den IP-Adressbereich für Pods und den für Dienste.

gcloud

Alle Subnetze auflisten

Listen Sie die im Netzwerk Ihres Clusters enthaltenen Subnetze mit folgendem Befehl auf:

gcloud compute networks subnets list \
    --network NETWORK_NAME

Ersetzen Sie NETWORK_NAME durch das Netzwerk des privaten Clusters. Wenn Sie den Cluster mit einem automatisch erstellten Subnetz angelegt haben, verwenden Sie default.

Suchen Sie in der Ausgabe des Befehls den Namen des Subnetzes des Clusters.

Subnetz des Clusters ansehen

Rufen Sie Informationen zum automatisch erstellten Subnetz ab:

gcloud compute networks subnets describe SUBNET_NAME

Ersetzen Sie SUBNET_NAME durch den Namen des Subnetzes.

In der Ausgabe werden im ersten Feld ipCidrRange der primäre Adressbereich für Knoten und unter secondaryIpRanges die sekundären Bereiche für Pods und Dienste angezeigt:

...
ipCidrRange: 10.0.0.0/22
kind: compute#subnetwork
name: gke-private-cluster-1-subnet-163e3c97
...
privateIpGoogleAccess: true
...
secondaryIpRanges:
- ipCidrRange: 10.40.0.0/14
  rangeName: gke-private-cluster-1-pods-163e3c97
- ipCidrRange: 10.0.16.0/20
  rangeName: gke-private-cluster-1-services-163e3c97
...

Endpunkte eines privaten Clusters ansehen

Sie können sich die Endpunkte eines privaten Clusters mit der gcloud CLI oder der Google Cloud Console anzeigen lassen.

Console

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie in der Clusterliste auf den Clusternamen.
Suchen Sie dann auf dem Tab Details unter Clustergrundlagen nach dem Feld Endpunkt.

gcloud

Führen Sie den folgenden Befehl aus:

gcloud container clusters describe CLUSTER_NAME

Die Ausgabe zeigt die privaten und öffentlichen Endpunkte:

...
privateClusterConfig:
enablePrivateEndpoint: true
enablePrivateNodes: true
masterIpv4CidrBlock: 172.16.0.32/28
privateEndpoint: 172.16.0.34
publicEndpoint: 35.239.154.67

Container-Images von einer Image-Registry herunterladen

In einem privaten Cluster kann die Containerlaufzeit Container-Images nur von Artifact Registry herunterladen, also von keiner anderen Registry für Container-Images im Internet. Das liegt daran, dass die Knoten in einem privaten Cluster keine externen IP-Adressen haben. Daher können sie standardmäßig nicht mit Diensten außerhalb des Google Cloud-Netzwerks kommunizieren.

Die Knoten in einem privaten Cluster können mit Google Cloud-Diensten wie Artifact Registry kommunizieren, wenn sie sich in einem Subnetz befinden, für das der private Google-Zugriff aktiviert ist.

Mit den folgenden Befehlen erstellen Sie ein Deployment, mit dem ein Beispiel-Image von einem Artifact Registry-Repository heruntergeladen wird.

kubectl run hello-deployment --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

Firewallregeln für bestimmte Anwendungsfälle hinzufügen

In diesem Abschnitt wird erläutert, wie Sie eine Firewallregel zu einem privaten Cluster hinzufügen. Die Steuerungsebene Ihres Clusters wird von Firewallregeln standardmäßig so beschränkt, dass nur TCP-Verbindungen zu den Knoten und Pods auf den Ports 443 (HTTPS) und 10250 (Kubelet) initiiert werden. Bei einigen Kubernetes-Features müssen eventuell Firewallregeln ergänzt werden, um den Zugriff auf zusätzlichen Ports zuzulassen.

Zu den Kubernetes-Features, für die weitere Firewallregeln erforderlich sind, gehören:

Zulassungs-Webhooks
Aggregierte API-Server
Webhook-Umwandlung
Dynamische Audit-Konfiguration
Im Allgemeinen sind für jede API mit einem Feld „ServiceReference“ zusätzliche Firewallregeln erforderlich.

Durch Hinzufügen einer Firewallregel wird Traffic von der Clustersteuerungsebene zu Folgendem ermöglicht:

Zum angegebenen Port jedes Knotens (hostPort)
Zum angegebenen Port jedes Pods, der auf diesen Knoten ausgeführt wird
Zum angegebenen Port jedes Dienstes, der auf diesen Knoten ausgeführt wird

Informationen zu Firewallregeln finden Sie in der Dokumentation zu Cloud Load Balancing unter Firewallregeln.

Wenn Sie eine Firewallregel in einem privaten Cluster hinzufügen möchten, müssen Sie den CIDR-Block der Clustersteuerungsebene und das verwendete Ziel erfassen. Nach dem Erfassen können Sie die Regel erstellen.

Schritt 1: CIDR-Block der Steuerungsebene ansehen

Sie benötigen den CIDR-Block der Clustersteuerungsebene, um eine Firewallregel hinzuzufügen.

Console

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Klicken Sie in der Clusterliste auf den Clusternamen.

Notieren Sie sich vom Tab Details unter Netzwerk den Wert im Feld Adressbereich der Steuerungsebene.

gcloud

Führen Sie den folgenden Befehl aus:

gcloud container clusters describe CLUSTER_NAME

Ersetzen Sie CLUSTER_NAME durch den Namen Ihres privaten Clusters.

Notieren Sie sich in der Befehlsausgabe den Wert im Feld masterIpv4CidrBlock.

Schritt 2: Vorhandene Firewallregeln ansehen

Das von den vorhandenen Firewallregeln des Clusters verwendete Ziel muss angegeben werden. In diesem Fall sind es Zielknoten.

Console

Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

Zu den Firewall-Richtlinien
Geben Sie unter VPC-Firewallregeln bei Tabelle filtern den Wert gke-CLUSTER_NAME ein.

Notieren Sie aus den Ergebnissen den Wert im Feld Ziele.

gcloud

Führen Sie den folgenden Befehl aus:

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Notieren Sie sich aus der Befehlsausgabe den Wert im Feld Ziele.

Hinweis: Wenn Sie Firewallregeln für eine freigegebene VPC aufrufen möchten, fügen Sie dem Befehl das Flag --project HOST_PROJECT_ID hinzu.

Weitere Informationen zur freigegebenen VPC finden Sie unter Cluster mit freigegebener VPC einrichten.

Schritt 3: Firewallregel hinzufügen

Console

Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

Zu den Firewall-Richtlinien
Klicken Sie auf Firewallregel erstellen.
Geben Sie für Name einen Namen für die Firewallregel ein.
Wählen Sie in der Liste Netzwerk das entsprechende Netzwerk aus.
Klicken Sie unter Trafficrichtung auf Eingehend.
Klicken Sie unter Aktion bei Übereinstimmung auf Zulassen.
Wählen Sie in der Liste Ziele Angegebene Ziel-Tags aus.
Geben Sie unter Zieltags den zuvor notierten Zielwert ein.
Wählen Sie in der Liste Quellfilter die Option IPv4-Bereiche aus.
Geben Sie bei Quell-IPv4-Bereiche den CIDR-Block der Clustersteuerungsebene ein.
Klicken Sie unter Protokolle und Ports auf Angegebene Protokolle und Ports, wählen Sie das Kästchen für das entsprechende Protokoll aus (TCP oder udp) und geben Sie die Portnummer in das Protokollfeld ein.
Klicken Sie auf Erstellen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

Ersetzen Sie Folgendes:

FIREWALL_RULE_NAME ist der von Ihnen ausgewählte Name für die Firewallregel.
CONTROL_PLANE_RANGE ist der IP-Adressbereich der Clustersteuerungsebene (masterIpv4CidrBlock), den Sie zuvor erfasst haben.
PROTOCOL:PORT ist der gewünschte Port und das zugehörige Protokoll, tcp oder udp.
TARGET ist der vorher notierte Zielwert (Targets).

Hinweis: Wenn Sie eine Firewallregel für eine freigegebene VPC hinzufügen möchten, fügen Sie dem Befehl die folgenden Flags hinzu:

--project HOST_PROJECT_ID
--network NETWORK_ID

Weitere Informationen zur freigegebenen VPC finden Sie unter Cluster mit freigegebener VPC einrichten.

Private Cluster mit VPC Service Controls schützen

Mit VPC Service Controls können Sie Ihre privaten GKE-Cluster noch besser schützen.

VPC Service Controls bietet zusätzliche Sicherheit für private GKE-Cluster, um das Risiko einer Datenexfiltration zu verringern. Mithilfe von VPC Service Controls können Sie Projekte in Perimeterbereiche einfügen, die Ressourcen und Services vor Anfragen schützen, die ihren Ursprung außerhalb des Perimeters haben.

Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

Wenn Sie Artifact Registry mit Ihrem privaten GKE-Cluster in einem VPC Service Controls-Dienstperimeter verwenden, müssen Sie das Routing zur eingeschränkten virtuellen IP-Adresse konfigurieren, um die Exfiltration von Daten zu verhindern.

VPC-Peering wiederverwenden

Für private Cluster, die nach dem 15. Januar 2020 erstellt werden, können VPC-Netzwerk-Peering-Verbindungen wiederverwendet werden.

Alle privaten Cluster, die Sie vor dem 15. Januar 2020 erstellt haben, verwenden eine einmalige VPC-Netzwerk-Peering-Verbindung. Jedes VPC-Netzwerk kann ein Peering mit bis zu 25 anderen VPC-Netzwerken ausführen. Für diese Cluster besteht also ein Limit von maximal 25 privaten Clustern pro Netzwerk. Dabei wird davon ausgegangen, dass Peerings nicht für andere Zwecke verwendet werden.

Dieses Feature wird nicht zu früheren Releases zurückportiert. Für die Wiederverwendung des VPC-Netzwerk-Peerings durch ältere private Cluster können Sie Cluster löschen und neu erstellen. Das Upgrade eines Clusters ermöglicht keine Wiederverwendung einer vorhandenen VPC-Netzwerk-Peering-Verbindung.

Jeder Standort kann maximal 75 private Cluster unterstützen, wenn für die Cluster die Wiederverwendung von VPC-Netzwerk-Peering aktiviert ist. Zonen und Regionen werden als separate Standorte behandelt.

So lassen sich z. B. bis zu 75 private zonale Cluster in us-east1-a und weitere 75 private regionale Cluster in us-east1 erstellen. Dies gilt auch, wenn Sie private Cluster in einem freigegebenen VPC-Netzwerk verwenden. Es sind maximal 25 Verbindungen zu einem einzelnen VPC-Netzwerk möglich. Dies bedeutet, dass Sie nur private Cluster mit 25 separaten Standorten erstellen können.

Die Wiederverwendung des VPC-Netzwerk-Peerings gilt nur für Cluster am selben Standort, z. B. regionale Cluster in derselben Region oder zonale Cluster in derselben Zone. Es sind maximal vier VPC-Netzwerk-Peerings pro Region möglich, wenn Sie sowohl regionale Cluster als auch zonale Cluster in allen Zonen dieser Region erstellen.

Mit der gcloud CLI oder der Google Cloud Console können Sie prüfen, ob Ihr privater Cluster VPC-Netzwerk-Peering-Verbindungen wiederverwendet.

Console

Prüfen Sie die Zeile für das VPC-Peering auf der Seite Clusterdetails. Wenn Ihr Cluster VPC-Peering-Verbindungen wiederverwendet, beginnt die Ausgabe mit gke-n. Beispiel: gke-n34a117b968dee3b2221-93c6-40af-peer

gcloud

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Wenn Ihr Cluster VPC-Peering-Verbindungen wiederverwendet, beginnt die Ausgabe mit gke-n. Beispiel: gke-n34a117b968dee3b2221-93c6-40af-peer.

Bereinigen

Wenn Sie mit den Aufgaben auf dieser Seite fertig sind, entfernen Sie die Ressourcen anhand der folgenden Schritte, sodass keine unerwünschten Kosten für Ihr Konto entstehen:

Cluster löschen

Console

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.

Zur Seite "Google Kubernetes Engine"
Wählen Sie jeden Cluster aus.
Klicken Sie auf Löschen.

gcloud

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Netzwerk löschen

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie in der Liste der Netzwerke auf my-net-0.
Klicken Sie auf der Seite VPC-Netzwerkdetails auf VPC-Netzwerk löschen.
Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

gcloud

gcloud compute networks delete my-net-0

Anforderungen, Beschränkungen und Einschränkungen

Für private Cluster gelten folgende Anforderungen:

Private Cluster müssen VPC-native Cluster sein. VPC-native Cluster unterstützen keine Legacy-Netzwerke.

Für private Cluster gelten folgende Beschränkungen:

Bestehende nicht private Cluster können nicht in private Cluster konvertiert werden.
Wenn Sie 172.17.0.0/16 für den IP-Bereich der Steuerungsebene verwenden, können Sie diesen Bereich nicht für Knoten-, Pod- oder Service-IP-Adressen verwenden.
Ein privater Cluster funktioniert nicht mehr, wenn das VPC-Peering zwischen der Clustersteuerungsebene und den Clusterknoten gelöscht wird, wenn die Firewallregeln, die eingehenden Traffic von der Clustersteuerungsebene zu Knoten auf Port 10250 zulassen, gelöscht werden, und wenn die Standardroute zum Standard-Internetgateway gelöscht wird. Wenn Sie die Standardroute löschen, müssen Sie dafür sorgen, dass der Traffic an die erforderlichen Google Cloud-Dienste weitergeleitet wird. Weitere Informationen finden Sie unter Benutzerdefiniertes Routing.
Wenn der Export benutzerdefinierter Routen für die VPC aktiviert ist, kann das Erstellen von Routen, die sich mit IP-Bereichen von Google Cloud überschneiden, den Cluster beeinträchtigen.
Einem Projekt können bis zu 50 autorisierte Netzwerke (zugelassene CIDR-Blöcke) hinzugefügt werden. Weitere Informationen finden Sie unter Einem vorhandenen Cluster ein autorisiertes Netzwerk hinzufügen.

Für private Cluster gelten folgende Beschränkungen:

Der RFC 1918-Block für die Clustersteuerungsebene muss eine Größe von /28 haben.
GKE kann Überschneidungen mit dem Adressblock der Clustersteuerungsebene erkennen. Dies ist in einem freigegebenen VPC-Netzwerk jedoch nicht möglich.
Alle Knoten in einem privaten Cluster werden ohne öffentliche IP-Adresse erstellt. Sie haben eingeschränkten Zugriff auf Google Cloud APIs und Google-Dienste Mit Cloud NAT können Sie Ihren privaten Knoten ausgehenden Internetzugriff gewähren.
Der private Google-Zugriff wird automatisch aktiviert, wenn Sie einen privaten Cluster erstellen, es sei denn, Sie verwenden eine freigegebene VPC. Sie dürfen den privaten Google-Zugriff nur deaktivieren, wenn Sie NAT für den Zugriff auf das Internet verwenden.
Private Cluster, die vor dem 15. Januar 2020 erstellt wurden, können maximal 25 private Cluster pro Netzwerk haben. Dabei wird davon ausgegangen, dass Peerings nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter VPC-Peering wiederverwenden.
Jeder private Cluster erfordert eine Peering-Route zwischen VPCs. Es ist jedoch jeweils immer nur ein Peering-Vorgang möglich. Wenn Sie versuchen, mehrere private Cluster gleichzeitig zu erstellen, kann es zu einer Zeitüberschreitung bei der Clustererstellung kommen. Wenn Sie dies vermeiden möchten, erstellen Sie seriell neue private Cluster, damit die VPC-Peering-Routen für jeden nachfolgenden privaten Cluster bereits vorhanden sind. Beim Versuch, einen einzelnen privaten Cluster zu erstellen, kann es zu einer Zeitüberschreitung kommen, wenn Vorgänge in Ihrer VPC ausgeführt werden.
Wenn Sie den primären IP-Bereich eines Subnetzes erweitern, um weitere Knoten hinzuzufügen, müssen Sie den primären IP-Adressbereich des erweiterten Subnetzes der Liste autorisierter Netzwerke für Ihren Cluster hinzufügen. Andernfalls werden Firewallregeln, die eingehenden Traffic zulassen und für die Steuerungsebene relevant sind, nicht aktualisiert. Neue Knoten, die im erweiterten IP-Adressbereich erstellt wurden, können sich nicht bei der Steuerungsebene registrieren. Dies kann zu einem Ausfall führen, bei dem neue Knoten kontinuierlich gelöscht und ersetzt werden. Ein solcher Ausfall kann auftreten, wenn Upgrades von Knotenpools durchgeführt werden oder wenn Knoten aufgrund von Aktivitätsprüfungen automatisch ersetzt werden.
Erstellen Sie keine Firewallregeln oder hierarchischen Firewallregeln, die eine höhere Priorität als die Automatisch erstellte Firewallregeln haben.

Fehlerbehebung

In den folgenden Abschnitten wird beschrieben, wie Sie häufige Probleme im Zusammenhang mit privaten Clustern beheben können.

VPC-Netzwerk-Peering-Verbindung im privaten Cluster wurde versehentlich gelöscht

Symptome

Wenn Sie versehentlich eine VPC-Netzwerk-Peering-Verbindung löschen, wechselt der Cluster in den Reparaturstatus und alle Knoten zeigen den Status UNKNOWN an. Sie können keinen Vorgang auf dem Cluster ausführen, da die Erreichbarkeit zur Steuerungsebene getrennt ist. Wenn Sie die Steuerungsebene prüfen, wird in den Logs ein Fehler wie der folgende angezeigt:

error checking if node NODE_NAME is shutdown: unimplemented

Mögliche Ursachen

Sie haben die VPC-Netzwerk-Peering-Verbindung versehentlich gelöscht.

Lösung

Gehen Sie so vor:

Erstellen Sie einen neuen temporären VPC-Netzwerk-Peering-Cluster. Die Clustererstellung führt dazu, dass VPC-Netzwerk-Peering neu erstellt und der alte Cluster wiederhergestellt wird.
Löschen Sie den vorübergehend erstellten VPC-Netzwerk-Peering-Cluster, nachdem der alte Cluster wiederhergestellt wurde.

Cluster überschneidet sich mit aktivem Peer

Symptome

Bei dem Versuch, einen privaten Cluster zu erstellen, wird ein Fehler wie der folgende zurückgegeben:

Google Compute Engine: An IP range in the peer network overlaps with an IP
range in an active peer of the local network.

Mögliche Ursachen

Sie haben ein überlappendes CIDR der Steuerungsebene ausgewählt.

Lösung

Löschen Sie den Cluster und erstellen Sie ihn noch einmal mit einem anderen CIDR der Steuerungsebene.

Steuerungsebene eines privaten Clusters kann nicht erreicht werden

Erhöhen Sie die Wahrscheinlichkeit, dass Ihre Cluster-Steuerungsebene erreichbar ist. Implementieren Sie dazu eine der Konfigurationen für den Zugang zu den Clusterendpunkten. Weitere Informationen finden Sie unter Zugriff auf Clusterendpunkte.

Symptome

Nach dem Erstellen eines privaten Clusters wird bei dem Versuch, kubectl-Befehle für den Cluster auszuführen, ein Fehler wie einer der folgenden zurückgegeben:

Unable to connect to the server: dial tcp [IP_ADDRESS]: connect: connection
timed out.

Unable to connect to the server: dial tcp [IP_ADDRESS]: i/o timeout.

Mögliche Ursachen

kubectl kann nicht mit der Clustersteuerungsebene kommunizieren.

Lösung

Prüfen Sie, ob die Anmeldedaten für den Cluster für kubeconfig generiert wurden oder der richtige Kontext aktiviert ist. Weitere Informationen zum Festlegen der Clusteranmeldedaten finden Sie unter kubeconfig-Eintrag generieren.

Prüfen Sie, ob der Zugriff auf die Steuerungsebene mithilfe ihrer externen IP-Adresse zulässig ist. Wenn Sie den externen Zugriff auf die Clustersteuerungsebene deaktivieren, wird der Cluster vom Internet isoliert. Diese Konfiguration ist nach der Clustererstellung unveränderlich. Bei dieser Konfiguration haben nur autorisierte interne CIDR-Bereiche oder reservierte Netzwerke Zugriff auf die Steuerungsebene.

Prüfen Sie, ob die ursprüngliche IP-Adresse berechtigt ist, die Steuerungsebene zu erreichen:
```
  gcloud container clusters describe CLUSTER_NAME \
      --format="value(masterAuthorizedNetworksConfig)"\
      --location=COMPUTE_LOCATION
```
Ersetzen Sie Folgendes:
- CLUSTER_NAME: Der Name Ihres Clusters.
- COMPUTE_LOCATION: der Compute Engine-Standort für den Cluster.
Wenn die ursprüngliche IP-Adresse nicht autorisiert ist, kann die Ausgabe ein leeres Ergebnis (nur geschweifte Klammern) oder CIDR-Bereiche zurückgeben, die nicht die ursprüngliche IP-Adresse enthalten.
```
cidrBlocks:
  cidrBlock: 10.XXX.X.XX/32
  displayName: jumphost
  cidrBlock: 35.XXX.XXX.XX/32
  displayName: cloud shell
enabled: true
```
Fügen Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene hinzu.

Wenn Sie den Befehl kubectl in einer lokalen Umgebung oder in einer anderen Region als der Standort des Clusters ausführen, muss der private Endpunkt der Steuerungsebene für den globalen Zugriff aktiviert sein. Weitere Informationen finden Sie unter Global auf privaten Endpunkt der Steuerungsebene zugreifen.

Beschreiben Sie den Cluster, um die Antwort der Zugriffskontrollkonfiguration zu sehen:
```
gcloud container clusters describe CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --flatten "privateClusterConfig.masterGlobalAccessConfig"
```
Ersetzen Sie Folgendes:
- CLUSTER_NAME: Der Name Ihres Clusters.
- COMPUTE_LOCATION: der Compute Engine-Standort für den Cluster.
Eine erfolgreiche Ausgabe sieht etwa so aus:
```
  enabled: true
```
Wenn null zurückgegeben wird, aktivieren Sie den globalen Zugriff auf die Steuerungsebene.

Cluster kann aufgrund von überschneidendem IPv4-CIDR-Block nicht erstellt werden

Symptome

gcloud container clusters create gibt einen Fehler ähnlich wie diesen zurück:

The given master_ipv4_cidr 10.128.0.0/28 overlaps with an existing network
10.128.0.0/20.

Mögliche Ursachen

Sie haben einen CIDR-Block der Steuerungsebene angegeben, der sich mit einem vorhandenen Subnetz in Ihrer VPC überschneidet.

Lösung

Geben Sie einen CIDR-Block für --master-ipv4-cidr an, der sich nicht mit einem vorhandenen Subnetz überschneidet.

Cluster kann aufgrund von Dienstbereich, der bereits von einem anderen Cluster verwendet wird, nicht erstellt werden

Symptome

Bei dem Versuch, einen privaten Cluster zu erstellen, wird ein Fehler wie der folgende zurückgegeben:

Services range [ALIAS_IP_RANGE] in network [VPC_NETWORK], subnetwork
[SUBNET_NAME] is already used by another cluster.

Mögliche Ursachen

Eine der folgenden:

Sie haben einen Dienstbereich ausgewählt, der noch von einem anderen Cluster verwendet wird, oder der Cluster wurde nicht gelöscht.
Es wurde ein Cluster mit diesem Dienstbereich verwendet, der gelöscht wurde, aber die Metadaten der sekundären Bereiche wurden nicht ordnungsgemäß bereinigt. Sekundäre Bereiche für einen GKE-Cluster werden in den Compute Engine-Metadaten gespeichert und sollten entfernt werden, sobald der Cluster gelöscht wurde. Selbst wenn der Cluster erfolgreich gelöscht wurde, wurden die Metadaten möglicherweise nicht entfernt.

Lösung

Gehen Sie so vor:

Prüfen, ob der Dienstbereich von einem vorhandenen Cluster verwendet wird Sie können den Befehl gcloud container clusters list mit dem Flag filter verwenden, um nach dem Cluster zu suchen. Wenn ein Cluster den Dienstbereich verwendet, müssen Sie diesen Cluster löschen oder einen neuen Dienstbereich erstellen.
Wenn der Dienstbereich nicht von einem vorhandenen Cluster verwendet wird, entfernen Sie den Metadateneintrag manuell, der dem Dienstbereich entspricht, den Sie verwenden möchten.

Subnetz kann nicht erstellt werden

Symptome

Wenn Sie einen privaten Cluster mit einem automatischen Subnetz oder ein benutzerdefiniertes Subnetz erstellen, wird möglicherweise der folgende Fehler zurückgegeben:

An IP range in the peer network overlaps
with an IP range in one of the active peers of the local network.

Mögliche Ursachen

Der von Ihnen angegebene CIDR-Bereich der Steuerungsebene überschneidet sich mit einem anderen IP-Bereich im Cluster. Dieser Fehler kann auch auftreten, wenn Sie kürzlich einen privaten Cluster gelöscht haben und versuchen, einen neuen privaten Cluster mit demselben CIDR-Bereich der Steuerungsebene zu erstellen.

Lösung

Probieren Sie einen anderen CIDR-Bereich aus.

Image kann nicht von öffentlichem Docker Hub heruntergeladen werden

Symptome

Ein Pod, der in Ihrem Cluster ausgeführt wird, zeigt in kubectl describe eine Warnung an:

Failed to pull image: rpc error: code = Unknown desc = Error response
from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled
while waiting for connection (Client.Timeout exceeded while awaiting
headers)

Mögliche Ursachen

Knoten in einem privaten Cluster haben keine externen IP-Adressen. Daher erfüllen sie nicht die Anforderungen für den Internetzugriff. Die Knoten können jedoch auf Google Cloud APIs und Google-Dienste, einschließlich Artifact Registry, zugreifen, wenn Sie privaten Google-Zugriff aktiviert haben und die Netzwerkanforderungen erfüllen.

Lösung

Verwenden Sie eine der folgenden Lösungen:

Kopieren Sie die Images in Ihrem privaten Cluster von Docker Hub nach Container Registry. Weitere Informationen finden Sie unter Container aus einer Drittanbieter-Registry migrieren.
GKE prüft mirror.gcr.io automatisch auf zwischengespeicherte Kopien von häufig aufgerufenen Docker Hub-Images.
Wenn Sie Images aus Docker Hub oder einem anderen öffentlichen Repository abrufen müssen, verwenden Sie Cloud NAT oder einen instanzbasierten Proxy, der das Ziel für eine statische 0.0.0.0/0-Route ist.

API-Anfrage, bei der Zeitüberschreitung für Zulassungs-Webhook ausgelöst wird

Symptome

Bei einer API-Anfrage, die einen Zulassungs-Webhook auslöst, der für die Verwendung eines Dienstes mit einem anderen targetPort als 443 konfiguriert ist, tritt eine Zeitüberschreitung ein, wodurch die Anfrage fehlschlägt:

Error from server (Timeout): request did not complete within requested timeout 30s

Mögliche Ursachen

Standardmäßig lässt die Firewall keine TCP-Verbindungen zu Knoten zu, mit Ausnahme an den Ports 443 (HTTPS) und 10250 (kubelet). Ein Zulassungs-Webhook, der versucht, mit einem Pod über einen anderen Port als 443 zu kommunizieren, schlägt fehl, wenn keine benutzerdefinierte Firewallregel vorhanden ist, die den Traffic erlaubt.

Lösung

Fügen Sie für Ihren Anwendungsfall eine Firewallregel hinzu.

Cluster kann aufgrund von Fehlern bei der Systemdiagnose nicht erstellt werden

Symptome

Nachdem ein privater Cluster erstellt wurde, bleibt der Schritt bei der Systemdiagnose hängen und meldet einen Fehler wie einen der folgenden:

All cluster resources were brought up, but only 0 of 2 have registered.

All cluster resources were brought up, but: 3 nodes out of 4 are unhealthy

Mögliche Ursachen

Eine der folgenden:

Clusterknoten können die erforderlichen Binärdateien nicht von der Cloud Storage API (storage.googleapis.com) herunterladen.
Firewallregeln schränken den ausgehenden Traffic ein.
IAM-Berechtigungen für die freigegebene VPC sind falsch.
Für den privaten Google-Zugriff müssen Sie das DNS für *.gcr.io konfigurieren.

Lösung

Verwenden Sie eine der folgenden Lösungen:

Aktivieren Sie Privater Google-Zugriff im Subnetz für den Netzwerkzugriff des Knotens auf storage.googleapis.com oder aktivieren Sie Cloud NAT, damit die Knoten mit storage.googleapis.com-Endpunkten kommunizieren können. Weitere Informationen finden Sie unter Fehlerbehebung bei der Erstellung von privaten GKE-Clustern.
Bestätigen Sie für den Knoten-Lesezugriff auf storage.googleapis.com, dass das dem Clusterknoten zugewiesene Dienstkonto Speicherlesezugriff hat.
Verwenden Sie entweder eine Google Cloud-Firewallregel, um den gesamten ausgehenden Traffic zuzulassen, oderkonfigurieren Sie eine Firewallregel, um ausgehenden Traffic für Knoten zur Clustersteuerungsebene und zu *.googleapis.com zuzulassen.
Erstellen Sie die DNS-Konfiguration für *.gcr.io.
Wenn Sie eine nicht standardmäßige Firewall- oder Routeneinrichtung verwenden, konfigurieren Sie den privaten Google-Zugriff.
Wenn Sie VPC Service Controls verwenden, richten Sie Container Registry oder Artifact Registry für private GKE-Cluster ein.
Achten Sie darauf, dass die automatisch erstellten Firewallregeln für eingehenden Traffic nicht gelöscht oder geändert wurden.
Wenn Sie eine freigegebene VPC verwenden, müssen Sie die erforderlichen IAM-Berechtigungen konfigurieren.

Kubelet konnte keine Pod-Sandbox erstellen

Symptome

Nachdem Sie einen privaten Cluster erstellt haben, wird ein Fehler wie einer der folgenden angezeigt:

Warning  FailedCreatePodSandBox  12s (x9 over 4m)      kubelet  Failed to create pod sandbox: rpc error: code = Unknown desc = Error response from daemon: Get https://registry.k8s.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

NetworkReady=false reason:NetworkPluginNotReady message:docker: network plugin is not ready: cni config uninitialized

Mögliche Ursachen

Der Pod calico-node oder netd kann *.gcr.io nicht erreichen.

Lösung

Verwenden Sie eine der folgenden Lösungen:

Prüfen Sie, ob Sie die erforderliche Einrichtung für Container Registry oder Artifact Registry abgeschlossen haben.

Private Clusterknoten wurden erstellt, aber nicht dem Cluster hinzugefügt

Bei der Verwendung von benutzerdefiniertem Routing und Netzwerk-Appliances von Drittanbietern in der VPC, die Ihr privater Cluster verwendet, wird die Standardroute (0.0.0.0/0) an die Appliance weitergeleitet anstatt an das Standard-Internetgateway. Zusätzlich zur Verbindung der Steuerungsebene müssen Sie dafür sorgen, dass die folgenden Ziele erreichbar sind:

*.googleapis.com
*.gcr.io
gcr.io

Konfigurieren Sie den privaten Google-Zugriff für alle drei Domains. Diese Best Practice ermöglicht es Ihnen, die neuen Knoten zu starten und dem Cluster beizutreten, während der ausgehende Internettraffic eingeschränkt bleibt.

Arbeitslasten auf privaten GKE-Clustern können nicht auf das Internet zugreifen

Pods in privaten GKE-Clustern können nicht auf das Internet zugreifen. Wenn Sie beispielsweise den Befehl apt update aus dem Pod exec shell ausführen, wird ein Fehler ähnlich dem folgenden gemeldet:

0% [Connecting to deb.debian.org (199.232.98.132)] [Connecting to security.debian.org (151.101.130.132)]

Wenn der sekundäre IP-Adressbereich des Subnetzes, der für Pods im Cluster verwendet wird, nicht auf dem Cloud-NAT-Gateway konfiguriert ist, können die Pods keine Verbindung zum Internet herstellen, da sie keine für das Cloud-NAT-Gateway konfigurierte externe IP-Adresse haben.

Konfigurieren Sie das Cloud NAT-Gateway so, dass es mindestens die folgenden Subnetz-IP-Adressbereiche für das Subnetz anwendet, das Ihr Cluster verwendet:

Primärer IP-Adressbereich des Subnetzes (von Knoten verwendet)
Sekundärer IP-Adressbereich des Subnetzes, der für Pods im Cluster verwendet wird
Sekundärer IP-Adressbereich des Subnetzes, der für Dienste im Cluster verwendet wird

Weitere Informationen finden Sie unter Sekundärer Subnetz-IP-Bereich hinzufügen, der für Pods verwendet wird.

Nächste Schritte

Anleitung zum Zugriff auf private GKE-Cluster mit privaten Cloud Build-Pools