Como criar um cluster particular

Autopilot Padrão

Nesta página, você aprende a criar um cluster particular do Google Kubernetes Engine (GKE), que é um tipo de cluster nativo de VPC. Em um cluster particular, os nós têm apenas endereços IP internos, o que significa que os nós e os pods estão isolados da Internet por padrão. Você pode optar por não ter acesso de cliente, acesso limitado ou acesso irrestrito ao plano de controle.

Não é possível converter um cluster não particular em um cluster particular. Para saber mais sobre como os clusters particulares funcionam, consulte a Visão geral de clusters particulares.

Restrições e limitações

Clusters particulares precisam ser clusters nativos de VPC. Clusters nativos de VPC não são compatíveis com redes legadas.

Expanda as seções a seguir para conferir as regras sobre intervalos de endereços IP e tráfego ao criar um cluster particular.

Plano de controle

Quando você usa 172.17.0.0/16 para seu intervalo de IP do plano de controle, não é possível usar esse intervalo para endereços IP de nós, pods ou serviços.
O tamanho do bloco RFC 1918 do plano de controle do cluster precisa ser /28.
É possível adicionar até 50 redes autorizadas (blocos CIDR permitidos) em um projeto. Para mais informações, consulte Adicionar uma rede autorizada a um cluster.
O GKE é capaz de detectar a sobreposição com o bloco de endereços do plano de controlez, mas não consegue detectar a sobreposição em uma rede VPC compartilhada.

Rede de cluster

Os endereços IP internos para nós vêm do intervalo de endereços IP primário da sub-rede escolhida para o cluster. Os endereços IP do pod e os endereços IP de serviço vêm de dois intervalos de endereços IP secundários da mesma sub-rede. Para mais informações, consulte Intervalos de IP para clusters nativos de VPC.
As versões 1.14.2 e posteriores do GKE são compatíveis com quaisquer intervalos de endereços IP internos, incluindo intervalos particulares (RFC 1918 e outros intervalos particulares) e intervalos particulares de endereços IP externos. Consulte a documentação da VPC para ver uma lista de intervalos de endereços IP internos válidos.
Se você expandir o intervalo de IP principal de uma sub-rede para acomodar nós adicionais, será necessário adicionar o intervalo de endereços IP primário expandido da sub-rede à lista de redes autorizadas do cluster. Caso contrário, as regras de firewall de permissão de entrada relevantes para o plano de controle não são atualizadas, e os novos nós criados no espaço de endereços IP expandido não poderão ser registrados no plano de controle. Isso pode levar a uma interrupção em que novos nós são continuamente excluídos e substituídos. Essa interrupção pode ocorrer ao executar upgrades de pool de nós ou quando os nós são substituídos automaticamente devido a falhas de sondagem de atividade.
Todos os nós em um cluster particular são criados sem um IP externo. Eles têm acesso limitado às APIs e aos serviços do Google Cloud. Para fornecer acesso à Internet de saída para seus nós particulares, use o Cloud NAT.
O acesso privado do Google é ativado automaticamente quando você cria um cluster particular, a menos que esteja usando a VPC compartilhada. Não desative o Acesso privado do Google a menos que esteja usando a NAT para acessar a Internet.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Ativar a API Google Kubernetes Engine.

Ativar a API Google Kubernetes Engine

Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando gcloud components update.
Observação: para instalações atuais da CLI gcloud, defina as propriedades compute/region e compute/zone. Definindo os locais padrão, você evita erros como este na CLI gcloud: One of [--zone, --region] must be supplied: Please specify location.

Verifique se você tem a permissão correta para criar clusters. Você precisa ser, no mínimo, um Administrador de clusters do Kubernetes Engine.
Verifique se você tem uma rota para o gateway de Internet padrão.

Como criar um cluster privado sem acesso de cliente ao endpoint público

Nesta seção, você criará os recursos a seguir:

Um cluster particular chamado private-cluster-0 que tem nós particulares e que não tem acesso de cliente ao endpoint público.
Uma rede chamada my-net-0.
Uma sub-rede chamada my-subnet-0.

Console

Criar uma rede e uma sub-rede

Acesse a página Redes VPC no console do Google Cloud.

Acessar redes VPC
Clique em Criar rede VPC.
Em Nome, insira my-net-0.
Em Modo de criação da sub-rede, selecione Personalizado.
Na caixa Nova sub-rede, para Nome, digite my-subnet-0.
Na lista Região, selecione a região desejada.
Em Intervalo de endereços IP, insira 10.2.204.0/22.
Defina o Acesso privado do Google como Ativado.
Clique em Concluído.
Clique em Criar.

crie um cluster particular

Acesse a página Google Kubernetes Engine no Console do Google Cloud.

Acessar o Google Kubernetes Engine
Clique em Criar e, na seção Standard ou Autopilot, clique em Configurar.
Em Nome, especifique private-cluster-0.
No painel de navegação, clique em Rede.
Na lista Rede, selecione my-net-0.
Na lista Sub-rede de nós, selecione my-subnet-0.
Selecione o botão de opção Cluster particular.
Desmarque a caixa de seleção Acesso ao plano de controle usando o endereço IP externo.
Opcional para o Autopilot: defina o Intervalo de IP do plano de controle para 172.16.0.32/28.
Clique em Criar.

gcloud

Para clusters do Autopilot, execute o seguinte comando:

gcloud container clusters create-auto private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-private-nodes \
    --enable-private-endpoint

Para clusters padrão, execute o seguinte comando:

gcloud container clusters create private-cluster-0 \
    --create-subnetwork name=my-subnet-0 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --enable-private-endpoint \
    --master-ipv4-cidr 172.16.0.32/28

onde:

--create-subnetwork name=my-subnet-0 faz com que o GKE crie automaticamente uma sub-rede denominada my-subnet-0;
--enable-master-authorized-networks especifica que o acesso ao endpoint público é restrito aos intervalos de endereços IP que você autorizar;

--enable-ip-alias torna o cluster nativo da VPC (não necessário para o Autopilot).

--enable-private-nodes indica que os nós do cluster não têm endereços IP externos.
--enable-private-endpoint indica que o cluster é gerenciado usando o endereço IP interno do endpoint da API do plano de controle.

--master-ipv4-cidr 172.16.0.32/28 especifica um intervalo de endereços IP internos para o plano de controle (opcional para o Autopilot). Essa configuração é permanente para esse cluster e precisa ser exclusiva na VPC. O uso de endereços IP internos não RFC 1918 é compatível.

API

Para criar um cluster sem um plano de controle acessível publicamente, especifique o campo enablePrivateEndpoint: true no recurso privateClusterConfig.

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle são estes:

O intervalo principal de my-subnet-0
O intervalo secundário usado para os pods.

Por exemplo, suponha que você tenha criado uma VM no intervalo principal de my-subnet-0. Então, nessa VM, seria possível configurar kubectl para usar o endereço IP interno do plano de controle.

Se você quiser acessar o plano de controle de fora do my-subnet-0, precisará autorizar pelo menos um intervalo de endereços a ter acesso ao endpoint particular.

Suponha que você tenha uma VM na rede padrão, na mesma região que seu cluster, mas não em my-subnet-0.

Exemplo:

my-subnet-0: 10.0.0.0/22
intervalo secundário de pods: 10.52.0.0/14
endereço da VM: 10.128.0.3

Use o comando a seguir para autorizar a VM a acessar o plano de controle:

gcloud container clusters update private-cluster-0 \
    --enable-master-authorized-networks \
    --master-authorized-networks 10.128.0.3/32

Como criar um cluster privado com acesso limitado ao endpoint público

Ao criar um cluster privado usando essa configuração, é possível optar por usar uma sub-rede gerada automaticamente ou uma sub-rede personalizada.

Como usar uma sub-rede gerada automaticamente

Nesta seção, você cria um cluster particular chamado private-cluster-1 em que o GKE gerar automaticamente uma sub-rede para os nós do cluster. Ela já tem o recurso “Acesso privado do Google” ativado. Na sub-rede, o GKE cria automaticamente dois intervalos secundários: um para os pods e outro para os serviços.

É possível usar a Google Cloud CLI ou a API GKE.

gcloud

Para clusters do Autopilot, execute o seguinte comando:

gcloud container clusters create-auto private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-private-nodes

Para clusters padrão, execute o seguinte comando:

gcloud container clusters create private-cluster-1 \
    --create-subnetwork name=my-subnet-1 \
    --enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.0/28

onde:

--create-subnetwork name=my-subnet-1 faz com que o GKE crie automaticamente uma sub-rede denominada my-subnet-1;
--enable-master-authorized-networks especifica que o acesso ao endpoint público é restrito aos intervalos de endereços IP que você autorizar;

--enable-ip-alias torna o cluster nativo da VPC (não necessário para o Autopilot).

--enable-private-nodes indica que os nós do cluster não têm endereços IP externos.

--master-ipv4-cidr 172.16.0.0/28 especifica um intervalo de endereços IP internos para o plano de controle (opcional para o Autopilot). Essa configuração é permanente para esse cluster e precisa ser exclusiva na VPC. O uso de endereços IP internos não RFC 1918 é compatível.

API

Especifique o campo privateClusterConfig no recurso da API Cluster:

{
  "name": "private-cluster-1",
  ...
  "ipAllocationPolicy": {
    "createSubnetwork": true,
  },
  ...
    "privateClusterConfig" {
      "enablePrivateNodes": boolean # Creates nodes with internal IP addresses only
      "enablePrivateEndpoint": boolean # false creates a cluster control plane with a publicly-reachable endpoint
      "masterIpv4CidrBlock": string # CIDR block for the cluster control plane
      "privateEndpoint": string # Output only
      "publicEndpoint": string # Output only
  }
}

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle do cluster são estes:

O intervalo principal de my-subnet-1
O intervalo secundário usado para os pods

Imagine que você tem um grupo de máquinas fora da sua rede VPC, com endereços no intervalo 203.0.113.0/29. Digite o comando abaixo para autorizar que essas máquinas acessem o endpoint público:

gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Agora, estes são os únicos endereços IP que têm acesso ao plano de controle:

O intervalo principal de my-subnet-1
O intervalo secundário usado para os pods.
Os intervalos autorizados, como 203.0.113.0/29

Como usar uma sub-rede personalizada

Nesta seção, você criará os recursos a seguir:

Um cluster particular chamado private-cluster-2.
Uma rede chamada my-net-2.
Uma sub-rede chamada my-subnet-2, com intervalo principal 192.168.0.0/20, para seus nós de cluster. Sua sub-rede tem os seguintes intervalos de endereços secundários:
- my-pods para os endereços IP de pods.
- my-services para os endereços IP do Serviço.

Console

Criar uma rede, sub-rede e intervalos secundários

Acesse a página Redes VPC no console do Google Cloud.

Acessar redes VPC
Clique em Criar rede VPC.
Em Nome, insira my-net-2.
Em Modo de criação da sub-rede, selecione Personalizado.
Na caixa Nova sub-rede, para Nome, digite my-subnet-2.
Na lista Região, selecione a região desejada.
Em Intervalo de endereços IP, insira 192.168.0.0/20.
Clique em Criar um intervalo de IP secundário. Digite my-services em Nome do intervalo da sub-rede e 10.0.32.0/20 em Intervalo de IP secundário.
Clique em Adicionar intervalo de IP. Digite my-pods em Nome do intervalo da sub-rede e 10.4.0.0/14 em Intervalo de IP secundário.
Defina o Acesso privado do Google como Ativado.
Clique em Concluído.
Clique em Criar.

crie um cluster particular

Crie um cluster particular que usa a sub-rede:

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Clique em Criar e, na seção Standard ou Autopilot, clique em Configurar.
Em Nome, insira private-cluster-2.
No painel de navegação, clique em Rede.
Selecione o botão de opção Cluster particular.
Para criar um plano de controle que possa ser acessado por intervalos de IP externos autorizados, mantenha marcada a caixa de seleção Acessar ao plano de controle usando o endereço IP externo.
Opcional para o Autopilot: defina o Intervalo de IP do plano de controle para 172.16.0.16/28.
Na lista Rede, selecione my-net-2.
Na lista Sub-rede de nós, selecione my-subnet-2.
Desmarque a caixa de seleção Criar intervalos secundários automaticamente.
Na lista Intervalo CIDR secundário do pod, selecione my-pods.
Na lista Serviços do intervalo CIDR secundário, selecione my-services.
Marque a caixa de seleção Ativar redes autorizadas do plano de controle.
Clique em Criar.

gcloud

Criar uma rede

Primeiro, crie uma rede para o cluster. O comando a seguir cria uma rede, my-net-2:

gcloud compute networks create my-net-2 \
    --subnet-mode custom

Criar uma sub-rede e intervalos secundários

Em seguida, crie uma sub-rede, my-subnet-2, na rede my-net-2, com intervalos secundários my-pods para pods e my-services para Services:

gcloud compute networks subnets create my-subnet-2 \
    --network my-net-2 \
    --range 192.168.0.0/20 \
    --secondary-range my-pods=10.4.0.0/14,my-services=10.0.32.0/20 \
    --enable-private-ip-google-access

crie um cluster particular

Agora, crie um cluster particular, private-cluster-2, usando a rede, a sub-rede e os intervalos secundários criados.

Para clusters do Autopilot, execute o seguinte comando:

gcloud container clusters create-auto private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes

Para clusters padrão, execute o seguinte comando:

gcloud container clusters create private-cluster-2 \
    --enable-master-authorized-networks \
    --network my-net-2 \
    --subnetwork my-subnet-2 \
    --cluster-secondary-range-name my-pods \
    --services-secondary-range-name my-services \
    --enable-private-nodes \
    --enable-ip-alias \
    --master-ipv4-cidr 172.16.0.16/28 \
    --no-enable-basic-auth \
    --no-issue-client-certificate

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle são estes:

O intervalo principal de my-subnet-2
O intervalo secundário my-pods

Suponha que você tenha um grupo de máquinas fora de my-net-2 que tenham endereços no intervalo 203.0.113.0/29. Digite o comando abaixo para autorizar que essas máquinas acessem o endpoint público:

gcloud container clusters update private-cluster-2 \
    --enable-master-authorized-networks \
    --master-authorized-networks 203.0.113.0/29

Nesse momento, os únicos endereços IP que têm acesso ao plano de controle são estes:

O intervalo principal de my-subnet-2
O intervalo secundário my-pods
Os intervalos autorizados, como 203.0.113.0/29

Como usar o Cloud Shell para acessar um cluster particular

O cluster particular que você criou na seção Como usar uma sub-rede gerada automaticamente, private-cluster-1, tem um endpoint público e tem redes autorizadas ativadas. Se você quiser usar o Cloud Shell para acessar o cluster, adicione o endereço IP externo do Cloud Shell à lista de redes autorizadas do cluster.

Para isso, siga estas etapas:

Na janela da linha de comando do Cloud Shell, use dig para encontrar o endereço IP externo do seu Cloud Shell:
```
dig +short myip.opendns.com @resolver1.opendns.com
```
Adicione o endereço externo do seu Cloud Shell à lista de redes autorizadas do cluster:
```
gcloud container clusters update private-cluster-1 \
    --enable-master-authorized-networks \
    --master-authorized-networks EXISTING_AUTH_NETS,SHELL_IP/32
```
Substitua:
- EXISTING_AUTH_NETS: os endereços IP da sua lista atual de redes autorizadas. É possível encontrar suas redes autorizadas no console ou executando o seguinte comando:
```
gcloud container clusters describe private-cluster-1 --format "flattened(masterAuthorizedNetworksConfig.cidrBlocks[])"
```
- SHELL_IP: é o endereço IP externo do seu Cloud Shell.
Receba as credenciais para poder usar a kubectl para acessar o cluster:
```
gcloud container clusters get-credentials private-cluster-1 \
    --project=PROJECT_ID \
    --internal-ip
```
Substitua PROJECT_ID pela ID do seu projeto.

Use kubectl, no Cloud Shell, para acessar seu cluster particular:

kubectl get nodes

A saída será assim:

NAME                                               STATUS   ROLES    AGE    VERSION
gke-private-cluster-1-default-pool-7d914212-18jv   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-3d9p   Ready    <none>   104m   v1.21.5-gke.1302
gke-private-cluster-1-default-pool-7d914212-wgqf   Ready    <none>   104m   v1.21.5-gke.1302

Como criar um cluster privado com acesso irrestrito ao endpoint público

Nesta seção, você cria um cluster privado em que qualquer endereço IP pode acessar o plano de controle.

Console

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Clique em Criar e, na seção Standard ou Autopilot, clique em Configurar.
Em Nome, insira private-cluster-3.
No painel de navegação, clique em Rede.
Selecione a opção Cluster privado.
Mantenha a caixa de seleção Acessar plano de controle usando o endereço IP externo marcada.
Opcional para o Autopilot: defina o Intervalo de IP do plano de controle para 172.16.0.32/28.
Deixe Rede e sub-rede do nó definidas como default. Dessa forma, o GKE gera uma sub-rede para o cluster.
Desmarque a caixa de seleção Ativar redes autorizadas do plano de controle.
Clique em Criar.

gcloud

Para clusters do Autopilot, execute o seguinte comando:

gcloud container clusters create-auto private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-private-nodes

Para clusters padrão, execute o seguinte comando:

gcloud container clusters create private-cluster-3 \
    --create-subnetwork name=my-subnet-3 \
    --no-enable-master-authorized-networks \
    --enable-ip-alias \
    --enable-private-nodes \
    --master-ipv4-cidr 172.16.0.32/28

onde:

--create-subnetwork name=my-subnet-3 faz com que o GKE crie automaticamente uma sub-rede denominada my-subnet-3;
--no-enable-master-authorized-networks desativa redes autorizadas para o cluster;

--enable-ip-alias torna o cluster nativo da VPC (não necessário para o Autopilot).

--enable-private-nodes indica que os nós do cluster não têm endereços IP externos.

--master-ipv4-cidr 172.16.0.32/28 especifica um intervalo de endereços IP internos para o plano de controle (opcional para o Autopilot). Essa configuração é permanente para esse cluster e precisa ser exclusiva na VPC. O uso de endereços IP internos não RFC 1918 é compatível.

Como adicionar regras de firewall para casos de uso específicos

Esta seção explica como adicionar uma regra de firewall a um cluster privado. Por padrão, as regras de firewall restringem o plano de controle do cluster a apenas iniciar conexões TCP com os nós e pods nas portas 443 (HTTPS) e 10250 (kubelet). Para alguns recursos do Kubernetes, talvez seja necessário adicionar regras de firewall para permitir o acesso em outras portas. Não crie regras de firewall ou regras de políticas hierárquicas de firewall que tenham uma prioridade mais alta do que as regras de firewall criadas automaticamente.

Os recursos do Kubernetes que exigem regras de firewall adicionais incluem:

Webhooks de admissão
Servidores de API agregados
Conversão de webhook
Configuração de auditoria dinâmica
Geralmente, qualquer API que tenha um campo ServiceReference requer regras de firewall adicionais.

Adicionar uma regra de firewall permite o tráfego do plano de controle do cluster para todos os itens a seguir:

A porta especificada de cada nó (hostPort).
a porta especificada de cada pod em execução nesses nós
A porta especificada de cada Service em execução nesses nós

Para saber mais sobre as regras de firewall, consulte Regras de firewall na documentação do Cloud Load Balancing

Para adicionar uma regra de firewall a um cluster privado, você precisa registrar o bloco CIDR do plano de controle do cluster e o destino usado. Depois de registrá-la, é possível criar a regra.

Etapa 1: Ver o bloco CIDR do plano de controle

Você precisa do bloco CIDR do plano de controle do cluster para adicionar uma regra de firewall.

Console

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Na lista de clusters, clique no nome do cluster.

Na guia Detalhes, em Rede, anote o valor do campo Intervalo de endereços do plano de controle.

gcloud

Execute este comando:

gcloud container clusters describe CLUSTER_NAME

Substitua CLUSTER_NAME pelo nome do cluster privado.

Na saída do comando, anote o valor no campo masterIpv4CidrBlock.

Etapa 2. Ver as regras de firewall atuais

É necessário especificar o destino (neste caso, os nós de destino) que as regras de firewall do cluster usam.

Console

Acesse a página de políticas de firewall no console do Google Cloud.

Acessar as políticas de firewall
Em Filtrar tabela para regras de firewall da VPC, insira gke-CLUSTER_NAME.

Nos resultados, anote o valor no campo Destinos.

gcloud

Execute este comando:

gcloud compute firewall-rules list \
    --filter 'name~^gke-CLUSTER_NAME' \
    --format 'table(
        name,
        network,
        direction,
        sourceRanges.list():label=SRC_RANGES,
        allowed[].map().firewall_rule().list():label=ALLOW,
        targetTags.list():label=TARGET_TAGS
    )'

Na saída do comando, anote o valor no campo Destinos.

Observação: para ver as regras de firewall de uma VPC compartilhada, adicione a sinalização --project HOST_PROJECT_ID ao comando.

Para mais informações sobre a VPC compartilhada, consulte Como configurar clusters com a VPC compartilhada.

Etapa 3. Adicionar uma regra de firewall

Console

Acesse a página de políticas de firewall no console do Google Cloud.

Acessar as políticas de firewall
Clique em Criar regra de firewall.
Em Nome, insira o nome desejado para a regra de firewall.
Na lista Rede, selecione a rede relevante.
Em Direção de tráfego, clique em Entrada.
Em Ação se houver correspondência, clique em Permitir.
Na lista Destinos, selecione Tags de destino especificadas.
Em Tags de destino, insira o valor de destino que você anotou anteriormente.
Na lista Filtro de origem, selecione Intervalos IPv4.
Em Intervalos de IPv4 de origem, insira o bloco CIDR do plano de controle do cluster.
Em Protocolos e portas, clique em Protocolos e portas especificados e marque a caixa de seleção do protocolo relevante (tcp ou udp) e insira o número da porta no campo do protocolo.
Clique em Criar.

gcloud

Execute este comando:

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --action ALLOW \
    --direction INGRESS \
    --source-ranges CONTROL_PLANE_RANGE \
    --rules PROTOCOL:PORT \
    --target-tags TARGET

Substitua:

FIREWALL_RULE_NAME: o nome escolhido para a regra de firewall.
CONTROL_PLANE_RANGE: o intervalo de endereços IP do plano de controle de cluster (masterIpv4CidrBlock) coletado anteriormente.
PROTOCOL:PORT: é a porta desejada e o protocolo dela, tcp ou udp.
TARGET: é o valor de destino (Targets) coletado anteriormente.

Observação: para adicionar uma regra de firewall para uma VPC compartilhada, adicione as seguintes sinalizações ao comando:

--project HOST_PROJECT_ID
--network NETWORK_ID

Para mais informações sobre a VPC compartilhada, consulte Como configurar clusters com a VPC compartilhada.

Verificar se os nós não têm endereços IP externos

Depois de criar um cluster particular, verifique se os nós dele não têm endereços IP externos.

Console

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Na lista de clusters, clique no nome do cluster.
Para clusters do Autopilot, na seção Noções básicas sobre clusters, verifique o campo Endpoint externo. O valor é Desativado.

Para clusters padrão, faça o seguinte:

Na página Clusters, clique na guia Nós.
Em Pools de nós, clique no nome do pool.
Na página Detalhes do pool de nós, em Grupos de instâncias, clique no nome do grupo. Por exemplo, gke-private-cluster-0-default-pool-5c5add1f-grp`.
Na lista de instâncias, confirme se elas não têm endereços IP externos.

gcloud

Execute este comando:

kubectl get nodes --output wide

A coluna EXTERNAL-IP da resposta está vazia:

STATUS ... VERSION        EXTERNAL-IP  OS-IMAGE ...
Ready      v.8.7-gke.1                 Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS
Ready      v1.8.7-gke.1                Container-Optimized OS

Verificar a reutilização do peering de VPC no cluster

Todos os clusters particulares criados após 15 de janeiro de 2020 reutilizam as conexões do peering da rede VPC.

Para verificar se o cluster particular reutiliza as conexões de peering de rede VPC, use a gcloud CLI ou o console do Google Cloud.

Console

Verifique a linha de Peering de VPC na página de detalhes do cluster. Se o cluster estiver usando novamente as conexões de peering de VPC, a resposta começará com gke-n. Por exemplo, gke-n34a117b968dee3b2221-93c6-40af-peer.

gcloud

gcloud container clusters describe CLUSTER_NAME \
    --format="value(privateClusterConfig.peeringName)"

Se o cluster estiver usando novamente as conexões de peering de VPC, a resposta começará com gke-n. Por exemplo, gke-n34a117b968dee3b2221-93c6-40af-peer.

Limpar

Depois de concluir as tarefas nesta página, siga estas etapas para remover os recursos e evitar cobranças indesejadas na conta:

Excluir os clusters

Console

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Selecione cada cluster.
Clique em Excluir.

gcloud

gcloud container clusters delete -q private-cluster-0 private-cluster-1 private-cluster-2 private-cluster-3

Excluir a rede

Console

Acesse a página Redes VPC no Console do Google Cloud.

Acessar redes VPC
Na lista de redes, clique em my-net-0.
Na página Detalhes da rede, clique em Excluir rede VPC.
Na caixa de diálogo Excluir uma rede, clique em Excluir.

gcloud

gcloud compute networks delete my-net-0

A seguir

Siga o tutorial sobre como acessar clusters particulares do GKE com pools particulares do Cloud Build.