Membuat cluster pribadi

Autopilot Standard

Halaman ini menjelaskan cara membuat cluster Google Kubernetes Engine (GKE) pribadi, yang merupakan jenis cluster VPC native. Dalam cluster pribadi, node hanya memiliki alamat IP internal, yang berarti node dan Pod diisolasi dari internet secara default. Anda dapat memilih untuk tidak memiliki akses klien, akses terbatas, atau akses tidak terbatas ke bidang kontrol.

Anda tidak dapat mengonversi cluster nonpribadi yang ada menjadi cluster pribadi. Untuk mempelajari lebih lanjut cara kerja cluster pribadi, lihat Ringkasan cluster pribadi.

Batas dan pembatasan

Cluster pribadi harus berupa cluster berbasis VPC. Setiap cluster pribadi yang Anda buat sebelum 15 Januari 2020 memiliki batas maksimal 25 cluster pribadi per jaringan (dengan asumsi peering tidak digunakan untuk tujuan lain). Lihat penggunaan kembali peering VPC untuk mengetahui informasi lebih lanjut.

Luaskan bagian berikut untuk melihat aturan seputar rentang alamat IP dan traffic saat membuat cluster pribadi.

Bidang kontrol

Jika menggunakan 172.17.0.0/16 untuk rentang IP bidang kontrol, Anda tidak dapat menggunakan rentang ini untuk alamat IP node, Pod, atau Service.
Ukuran blok RFC 1918 untuk bidang kontrol cluster harus /28.
Anda dapat menambahkan hingga 50 jaringan yang diizinkan (blok CIDR yang diizinkan) dalam sebuah project. Untuk mengetahui informasi selengkapnya, lihat Menambahkan jaringan yang diizinkan ke cluster yang ada.
Meskipun GKE dapat mendeteksi tumpang-tindih dengan blok alamat bidang kontrol, GKE tidak dapat mendeteksi tumpang-tindih dalam jaringan VPC Bersama.

Jaringan cluster

Alamat IP internal untuk node berasal dari rentang alamat IP utama subnet yang Anda pilih untuk cluster. Alamat IP pod dan alamat IP Service berasal dari dua rentang alamat IP sekunder subnet dari subnet yang sama. Untuk mengetahui informasi selengkapnya, lihat Rentang IP untuk cluster VPC native.
GKE versi 1.14.2 dan yang lebih baru mendukung semua rentang alamat IP internal, termasuk rentang pribadi (RFC 1918 dan rentang pribadi lainnya) dan rentang alamat IP eksternal yang digunakan secara pribadi. Baca dokumentasi VPC untuk mengetahui daftar rentang alamat IP internal yang valid.
Jika memperluas rentang IP utama subnet untuk mengakomodasi node tambahan, Anda harus menambahkan rentang alamat IP utama subnet yang diperluas ke daftar jaringan yang diizinkan untuk cluster Anda. Jika tidak, aturan firewall ingress-allow yang relevan dengan bidang kontrol tidak akan diperbarui, dan node baru yang dibuat di ruang alamat IP yang diperluas tidak akan dapat didaftarkan pada bidang kontrol. Hal ini dapat menyebabkan pemadaman layanan ketika node baru terus-menerus dihapus dan diganti. Gangguan tersebut dapat terjadi saat melakukan upgrade kumpulan node atau saat node otomatis diganti karena adanya kegagalan pemeriksaan keaktifan.
Semua node dalam cluster pribadi dibuat tanpa IP eksternal. Node tersebut memiliki akses terbatas ke API dan layanan Google Cloud. Untuk menyediakan akses internet keluar untuk node pribadi, Anda dapat menggunakan Cloud NAT.
Akses Google Pribadi diaktifkan secara otomatis saat Anda membuat cluster pribadi, kecuali jika Anda menggunakan VPC Bersama. Anda tidak boleh menonaktifkan Akses Google Pribadi kecuali jika Anda menggunakan NAT untuk mengakses internet.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

Aktifkan Google Kubernetes Engine API.

Aktifkan Google Kubernetes Engine API

Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu initialize gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan gcloud components update.
Catatan: Untuk penginstalan gcloud CLI yang ada, pastikan untuk menyetel properti compute/region dan compute/zone. Dengan menyetel lokasi default, Anda dapat menghindari error di gcloud CLI yang seperti ini: One of [--zone, --region] must be supplied: Please specify location.

Pastikan Anda memiliki izin yang tepat untuk membuat cluster. Minimal, Anda harus merupakan Admin Cluster Kubernetes Engine.
Pastikan Anda memiliki rute ke Gateway Internet Default.

Membuat cluster pribadi tanpa akses klien ke endpoint publik

Di bagian ini, Anda akan membuat resource berikut:

Cluster pribadi bernama private-cluster-0 yang memiliki node pribadi dan tidak memiliki akses klien ke endpoint publik.
Jaringan bernama my-net-0.
Subnet bernama my-subnet-0.

Konsol

Membuat jaringan dan subnet

Buka halaman jaringan VPC di Google Cloud Console.

Buka jaringan VPC
Klik Buat jaringan VPC.
Untuk Nama, masukkan my-net-0.
Untuk Mode pembuatan subnet, klik Kustom.
Di bagian Subnet baru, untuk Nama, masukkan my-subnet-0.
Dalam daftar Region, pilih wilayah yang Anda inginkan.
Untuk Rentang alamat IP, masukkan 10.2.204.0/22.
Setel Akses Google Pribadi ke On.
Klik Done.
Klik Create.

Membuat cluster pribadi

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Klik Buat lalu di bagian Standar atau Autopilot, klik Konfigurasi.
Untuk Nama, tentukan private-cluster-0.
Di panel navigasi, klik Networking.
Dalam daftar Jaringan, pilih my-net-0.
Dalam daftar Subnet node, pilih my-subnet-0.
Pilih tombol pilihan Cluster pribadi.
Hapus centang pada kotak Akses bidang kontrol menggunakan alamat IP eksternalnya.
(Opsional untuk Autopilot): Setel Rentang IP bidang kontrol ke 172.16.0.32/28.
Klik Create.

gcloud

Untuk cluster Autopilot, jalankan perintah berikut:

gcloud container clusters create-auto private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-private-nodes \
    --enable-private-endpoint

Untuk cluster Standard, jalankan perintah berikut:

gcloud container clusters create private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --enable-private-endpoint \
    --master-ipv4-cidr 172.16.0.32/28

dengan:

--create-subnetwork name=my-subnet-0 menyebabkan GKE membuat subnet bernama my-subnet-0 secara otomatis.
--enable-master-authorized-networks menentukan bahwa akses ke endpoint publik dibatasi untuk rentang alamat IP yang Anda otorisasi.

--enable-ip-alias membuat cluster VPC native (tidak diperlukan untuk Autopilot).

--enable-private-nodes menunjukkan bahwa node cluster tidak memiliki alamat IP eksternal.
--enable-private-endpoint menunjukkan bahwa cluster dikelola menggunakan alamat IP internal endpoint API bidang kontrol.

--master-ipv4-cidr 172.16.0.32/28 menentukan rentang alamat IP internal untuk bidang kontrol (opsional untuk Autopilot). Setelan ini bersifat permanen untuk cluster ini dan harus unik dalam VPC. Penggunaan alamat IP internal non RFC 1918 didukung.

API

Untuk membuat cluster tanpa bidang kontrol yang dapat dijangkau secara publik, tentukan kolom enablePrivateEndpoint: true di resource privateClusterConfig.

Pada tahap ini, berikut adalah satu-satunya alamat IP yang memiliki akses ke bidang kontrol:

Rentang utama my-subnet-0.
Rentang sekunder yang digunakan untuk Pod.

Misalnya, Anda membuat VM dalam rentang utama my-subnet-0. Kemudian di VM tersebut, Anda dapat mengonfigurasi kubectl untuk menggunakan alamat IP internal dari bidang kontrol.

Jika ingin mengakses bidang kontrol dari luar my-subnet-0, Anda harus mengizinkan setidaknya satu rentang alamat agar dapat mengakses endpoint pribadi.

Misalkan Anda memiliki VM yang berada di jaringan default, di region yang sama dengan cluster Anda, tetapi tidak di my-subnet-0.

Contoh:

my-subnet-0: 10.0.0.0/22
Rentang sekunder pod: 10.52.0.0/14
Alamat VM: 10.128.0.3

Anda dapat mengizinkan VM untuk mengakses bidang kontrol menggunakan perintah ini:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Membuat cluster pribadi dengan akses terbatas ke endpoint publik

Saat membuat cluster pribadi menggunakan konfigurasi ini, Anda dapat memilih untuk menggunakan subnet yang dihasilkan secara otomatis atau subnet kustom.

Menggunakan subnet yang dihasilkan secara otomatis

Di bagian ini, Anda akan membuat cluster pribadi bernama private-cluster-1 tempat GKE otomatis menghasilkan subnet untuk node cluster Anda. Subnet mengaktifkan Akses Google Pribadi. Di subnet, GKE otomatis membuat dua rentang sekunder: satu untuk Pod dan satu untuk Service.

Anda dapat menggunakan Google Cloud CLI atau GKE API.

gcloud

Untuk cluster Autopilot, jalankan perintah berikut:

gcloud container clusters create-auto private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-private-nodes

Untuk cluster Standard, jalankan perintah berikut:

gcloud container clusters create private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.0/28

dengan:

--create-subnetwork name=my-subnet-1 menyebabkan GKE membuat subnet bernama my-subnet-1 secara otomatis.
--enable-master-authorized-networks menentukan bahwa akses ke endpoint publik dibatasi untuk rentang alamat IP yang Anda otorisasi.

--enable-ip-alias membuat cluster VPC native (tidak diperlukan untuk Autopilot).

--enable-private-nodes menunjukkan bahwa node cluster tidak memiliki alamat IP eksternal.

--master-ipv4-cidr 172.16.0.0/28 menentukan rentang alamat IP internal untuk bidang kontrol (opsional untuk Autopilot). Setelan ini bersifat permanen untuk cluster ini dan harus unik dalam VPC. Penggunaan alamat IP internal non RFC 1918 didukung.

API

Tentukan kolom privateClusterConfig di resource Cluster API:

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

Pada tahap ini, berikut adalah satu-satunya alamat IP yang memiliki akses ke bidang kontrol cluster:

Rentang utama my-subnet-1.
Rentang sekunder yang digunakan untuk Pod.

Misalkan Anda memiliki sekelompok komputer, di luar jaringan VPC, yang memiliki alamat dalam rentang 203.0.113.0/29. Anda dapat mengizinkan mesin tersebut untuk mengakses endpoint publik dengan memasukkan perintah ini:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Sekarang, berikut adalah satu-satunya alamat IP yang memiliki akses ke bidang kontrol:

Rentang utama my-subnet-1.
Rentang sekunder yang digunakan untuk Pod.
Rentang alamat yang telah Anda otorisasi, misalnya, 203.0.113.0/29.

Menggunakan subnet kustom

Di bagian ini, Anda akan membuat resource berikut:

Cluster pribadi bernama private-cluster-2.
Jaringan bernama my-net-2.
Subnet bernama my-subnet-2, dengan rentang utama 192.168.0.0/20, untuk node cluster Anda. Subnet Anda memiliki rentang alamat sekunder berikut:
- my-pods untuk alamat IP Pod.
- my-services untuk alamat IP Service.

Konsol

Membuat jaringan, subnet, dan rentang sekunder

Buka halaman jaringan VPC di Google Cloud Console.

Buka jaringan VPC
Klik Buat jaringan VPC.
Untuk Nama, masukkan my-net-2.
Untuk Mode pembuatan subnet, klik Kustom.
Di bagian Subnet baru, untuk Nama, masukkan my-subnet-2.
Dalam daftar Region, pilih wilayah yang Anda inginkan.
Untuk Rentang alamat IP, masukkan 192.168.0.0/20.
Klik Buat rentang IP sekunder. Untuk Nama rentang subnet, masukkan my-services, dan untuk Rentang IP sekunder, masukkan 10.0.32.0/20.
Klik Tambahkan rentang IP. Untuk Nama rentang subnet, masukkan my-pods, dan untuk Rentang IP sekunder, masukkan 10.4.0.0/14.
Setel Akses Google Pribadi ke On.
Klik Done.
Klik Create.

Membuat cluster pribadi

Buat cluster pribadi yang menggunakan subnet Anda:

Buka halaman Google Kubernetes Engine di Konsol Google Cloud.

Buka Google Kubernetes Engine
Klik Buat lalu di bagian Standar atau Autopilot, klik Konfigurasi.
Untuk Name, masukkan private-cluster-2.
Dari panel navigasi, klik Networking.
Pilih tombol pilihan Cluster pribadi.
Untuk membuat bidang kontrol yang dapat diakses dari rentang IP eksternal yang diizinkan, pastikan kotak Akses bidang kontrol menggunakan alamat IP eksternalnya dicentang.
(Opsional untuk Autopilot) Setel Rentang IP bidang kontrol ke 172.16.0.16/28.
Dalam daftar Jaringan, pilih my-net-2.
Dalam daftar Subnet node, pilih my-subnet-2.
Hapus centang pada kotak Buat rentang sekunder secara otomatis.
Dalam daftar Rentang CIDR sekunder Pod, pilih my-pods.
Dalam daftar Rentang CIDR sekunder Service, pilih my-services.
Centang kotak Aktifkan jaringan yang diizinkan bidang kontrol.
Klik Create.

gcloud

Membuat jaringan

Pertama, buat jaringan untuk cluster Anda. Perintah berikut akan membuat jaringan, my-net-2:

gcloud compute networks create my-net-2 \
    --subnet-mode custom

Membuat subnet dan rentang sekunder

Selanjutnya, buat subnet, my-subnet-2, di jaringan my-net-2, dengan rentang sekunder my-pods untuk Pod dan my-services untuk Service:

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

Membuat cluster pribadi

Sekarang, buat cluster pribadi, private-cluster-2, menggunakan jaringan, subnet, dan rentang sekunder yang Anda buat.

Untuk cluster Autopilot, jalankan perintah berikut:

gcloud container clusters create-auto private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes

Untuk cluster Standard, jalankan perintah berikut:

gcloud container clusters create private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes \
    --enable-ip-alias \
    --master-ipv4-cidr 172.16.0.16/28 \
    --no-enable-basic-auth \
    --no-issue-client-certificate

Pada tahap ini, berikut adalah satu-satunya alamat IP yang memiliki akses ke bidang kontrol:

Rentang utama my-subnet-2.
Rentang sekunder my-pods.

Misalkan Anda memiliki grup mesin, di luar my-net-2, yang memiliki alamat dalam rentang 203.0.113.0/29. Anda dapat mengizinkan mesin tersebut untuk mengakses endpoint publik dengan memasukkan perintah ini:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Pada tahap ini, berikut adalah satu-satunya alamat IP yang memiliki akses ke bidang kontrol:

Rentang utama my-subnet-2.
Rentang sekunder my-pods.
Rentang alamat yang telah Anda otorisasi, misalnya, 203.0.113.0/29.

Menggunakan Cloud Shell untuk mengakses cluster pribadi

Cluster pribadi yang Anda buat di bagian Menggunakan subnet yang dihasilkan secara otomatis, private-cluster-1, memiliki endpoint publik dan mengaktifkan jaringan yang diizinkan. Jika ingin menggunakan Cloud Shell untuk mengakses cluster, Anda harus menambahkan alamat IP eksternal Cloud Shell ke daftar jaringan yang diizinkan cluster tersebut.

Untuk melakukan ini:

Di jendela command line Cloud Shell, gunakan dig untuk menemukan alamat IP eksternal Cloud Shell Anda:
```
dig +short myip.opendns.com @resolver1.opendns.com
```
Tambahkan alamat eksternal Cloud Shell ke daftar jaringan yang diizinkan pada cluster Anda:
```
gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
```
Ganti kode berikut:
- EXISTING_AUTH_NETS: alamat IP dari daftar jaringan resmi yang ada. Anda dapat menemukan jaringan yang diizinkan di konsol atau dengan menjalankan perintah berikut:
```
gcloud container clusters describe private-cluster-1 --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
```
- SHELL_IP: alamat IP eksternal Cloud Shell Anda.
Dapatkan kredensial agar Anda dapat menggunakan kubectl untuk mengakses cluster:
```
gcloud container clusters get-credentials private-cluster-1 \
    --project=PROJECT_ID \
    --internal-ip
```
Ganti PROJECT_ID dengan project ID Anda.

Gunakan kubectl, di Cloud Shell, untuk mengakses cluster pribadi Anda:

kubectl get nodes

Outputnya mirip dengan hal berikut ini:

NAME                                               STATUS   ROLES    AGE    VERSION
gke-private-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302

Membuat cluster pribadi dengan akses tidak terbatas ke endpoint publik

Di bagian ini, Anda akan membuat cluster pribadi tempat alamat IP apa pun dapat mengakses bidang kontrol.

Konsol

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Klik Buat lalu di bagian Standar atau Autopilot, klik Konfigurasi.
Untuk Name, masukkan private-cluster-3.
Di panel navigasi, klik Networking.
Pilih opsi Cluster pribadi.
Pastikan kotak Akses bidang kontrol menggunakan alamat IP eksternalnya tetap dicentang.
(Opsional untuk Autopilot) Setel Rentang IP bidang kontrol ke 172.16.0.32/28.
Biarkan Jaringan dan Node subnet disetel ke default. Hal ini menyebabkan GKE menghasilkan subnet untuk cluster Anda.
Hapus centang pada kotak Aktifkan jaringan yang diizinkan bidang kontrol.
Klik Create.

gcloud

Untuk cluster Autopilot, jalankan perintah berikut:

gcloud container clusters create-auto private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-private-nodes

Untuk cluster Standard, jalankan perintah berikut:

gcloud container clusters create private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.32/28

dengan:

--create-subnetwork name=my-subnet-3 menyebabkan GKE membuat subnet bernama my-subnet-3 secara otomatis.
--no-enable-master-authorized-networks menonaktifkan jaringan yang diizinkan untuk cluster.

--enable-ip-alias membuat cluster VPC native (tidak diperlukan untuk Autopilot).

--enable-private-nodes menunjukkan bahwa node cluster tidak memiliki alamat IP eksternal.

--master-ipv4-cidr 172.16.0.32/28 menentukan rentang alamat IP internal untuk bidang kontrol (opsional untuk Autopilot). Setelan ini bersifat permanen untuk cluster ini dan harus unik dalam VPC. Penggunaan alamat IP internal non RFC 1918 didukung.

Menambahkan aturan firewall untuk kasus penggunaan tertentu

Bagian ini menjelaskan cara menambahkan aturan firewall ke cluster pribadi. Secara default, aturan firewall membatasi bidang kontrol cluster Anda untuk hanya memulai koneksi TCP ke node dan Pod Anda di port 443 (HTTPS) dan 10250 (kubelet). Untuk beberapa fitur Kubernetes, Anda mungkin perlu menambahkan aturan firewall untuk mengizinkan akses pada port tambahan. Jangan membuat aturan firewall atau aturan kebijakan firewall hierarkis yang memiliki prioritas lebih tinggi daripada aturan firewall yang dibuat secara otomatis.

Fitur Kubernetes yang memerlukan aturan firewall tambahan meliputi:

Webhook akses
Server API gabungan
Konversi webhook
Konfigurasi audit dinamis
Umumnya, setiap API yang memiliki kolom ServiceReference memerlukan aturan firewall tambahan.

Menambahkan aturan firewall akan mengizinkan traffic dari bidang kontrol cluster ke semua hal berikut:

Port yang ditentukan dari setiap node (hostPort).
Port yang ditentukan dari setiap Pod yang berjalan di node ini.
Port yang ditentukan dari setiap Service yang berjalan di node ini.

Untuk mempelajari aturan firewall, lihat Aturan firewall dalam dokumentasi Cloud Load Balancing.

Untuk menambahkan aturan firewall di cluster pribadi, Anda harus merekam blok CIDR bidang kontrol cluster dan target yang digunakan. Setelah mencatat hal ini, Anda dapat membuat aturan.

Langkah 1. Lihat blok CIDR bidang kontrol

Anda memerlukan blok CIDR bidang kontrol cluster untuk menambahkan aturan firewall.

Konsol

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Klik nama cluster di daftar cluster.

Di tab Detail, di bagian Networking, catat nilai ini di kolom Rentang alamat bidang kontrol.

gcloud

Jalankan perintah berikut:

gcloud container clusters describe CLUSTER_NAME

Ganti CLUSTER_NAME dengan nama cluster pribadi Anda.

Dalam output perintah, catat nilai di kolom masterIpv4CidrBlock.

Langkah 2. Lihat aturan firewall yang ada

Anda perlu menentukan target (dalam hal ini, node tujuan) yang digunakan oleh aturan firewall yang ada di cluster.

Konsol

Buka halaman Firewall policies di Konsol Google Cloud.

Buka Kebijakan firewall
Pada Tabel filter untuk Aturan firewall VPC, masukkan gke-CLUSTER_NAME.

Pada hasilnya, catat nilai di kolom Target.

gcloud

Jalankan perintah berikut:

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Dalam output perintah, catat nilai di kolom Target.

Catatan: Guna melihat aturan firewall untuk VPC Bersama, tambahkan flag --project HOST_PROJECT_ID ke perintah.

Untuk informasi selengkapnya tentang VPC Bersama, lihat Menyiapkan cluster dengan VPC Bersama.

Langkah 3. Tambahkan aturan firewall

Konsol

Buka halaman Firewall policies di Konsol Google Cloud.

Buka Kebijakan firewall
Klik Buat Aturan Firewall.
Untuk Nama, masukkan nama aturan firewall.
Dalam daftar Jaringan, pilih jaringan yang relevan.
Di bagian Arah traffic, klik Ingress.
Di bagian Tindakan jika ada kecocokan, klik Izinkan.
Dalam daftar Target, pilih Tag target yang ditentukan.
Untuk Tag target, masukkan nilai target yang Anda catat sebelumnya.
Dalam daftar Filter sumber, pilih Rentang IPv4.
Untuk Rentang IPv4 sumber, masukkan blok CIDR bidang kontrol cluster.
Di bagian Protokol dan port, klikProtokol dan port yang ditentukan, centang kotak untuk protokol yang relevan (tcp atau udp), dan masukkan nomor port di bidang protokol.
Klik Create.

gcloud

Jalankan perintah berikut:

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

Ganti kode berikut:

FIREWALL_RULE_NAME: nama yang Anda pilih untuk aturan firewall.
CONTROL_PLANE_RANGE: rentang alamat IP bidang kontrol cluster (masterIpv4CidrBlock) yang Anda kumpulkan sebelumnya.
PROTOCOL:PORT: port dan protokolnya, tcp atau udp.
TARGET: nilai target (Targets) yang Anda kumpulkan sebelumnya.

Catatan: Guna menambahkan aturan firewall untuk VPC Bersama, tambahkan flag berikut ke perintah:

--project HOST_PROJECT_ID
--network NETWORK_ID

Untuk informasi selengkapnya tentang VPC Bersama, lihat Menyiapkan cluster dengan VPC Bersama.

Memastikan node tidak memiliki alamat IP eksternal

Setelah membuat cluster pribadi, pastikan node cluster tidak memiliki alamat IP eksternal.

Konsol

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Pada daftar cluster, klik nama cluster.
Untuk cluster Autopilot, di bagian Dasar-dasar cluster, centang kolom External endpoint. Nilainya adalah Disabled.

Untuk cluster Standard, lakukan hal berikut:

Di halaman Cluster, klik tab Node.
Di bagian Node Pool, klik nama node pool.
Di halaman Detail node pool, di bagian Grup instance, klik nama grup instance Anda. Misalnya, gke-private-cluster-0-default-pool-5c5add1f-grp`.
Dalam daftar instance, pastikan instance Anda tidak memiliki alamat IP eksternal.

gcloud

Jalankan perintah berikut:

kubectl get nodes --output wide

Kolom EXTERNAL-IP output kosong:

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Memverifikasi penggunaan ulang peering VPC di cluster

Setiap cluster pribadi yang Anda buat setelah 15 Januari 2020 akan menggunakan kembali koneksi Peering Jaringan VPC.

Anda dapat memeriksa apakah cluster pribadi Anda menggunakan ulang koneksi Peering Jaringan VPC menggunakan gcloud CLI atau konsol Google Cloud.

Konsol

Periksa baris peering VPC di halaman Detail cluster. Jika cluster Anda menggunakan ulang koneksi peering VPC, outputnya akan dimulai dengan gke-n. Contohnya, gke-n34a117b968dee3b2221-93c6-40af-peer

gcloud

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Jika cluster Anda menggunakan ulang koneksi peering VPC, outputnya akan dimulai dengan gke-n. Contoh, gke-n34a117b968dee3b2221-93c6-40af-peer.

Pembersihan

Setelah menyelesaikan tugas di halaman ini, ikuti langkah-langkah berikut untuk menghapus resource guna mencegah timbulnya biaya yang tidak diinginkan pada akun Anda:

Menghapus cluster

Konsol

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Pilih setiap cluster.
Klik Delete.

gcloud

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Menghapus jaringan

Konsol

Buka halaman VPC networks di Konsol Google Cloud.

Buka jaringan VPC
Dalam daftar jaringan, klik my-net-0.
Di halaman Detail jaringan VPC, klik Hapus Jaringan VPC.
Pada dialog Hapus jaringan, klik Hapus.

gcloud

gcloud compute networks delete my-net-0

Langkah selanjutnya

Ikuti tutorial tentang cara mengakses cluster GKE pribadi dengan kumpulan pribadi Cloud Build.