Rotazione dell'IP del piano di controllo

Autopilot Standard

Questa pagina spiega come eseguire una rotazione IP per il piano di controllo nei cluster Google Kubernetes Engine (GKE) che eseguono la versione 1.16.10-gke.8 e successive.

Panoramica

Puoi eseguire una rotazione IP per modificare l'indirizzo IP utilizzato dal piano di controllo per gestire le richieste dall'API Kubernetes. L'indirizzo IP del piano di controllo è statico e non cambia, a meno che non esegui una rotazione IP.

La rotazione IP modifica il certificato SSL e l'autorità di certificazione (CA) del cluster, limitando la possibilità di connettere l'indirizzo precedente a quello nuovo.

La rotazione IP avviene anche nell'ambito della rotazione delle credenziali.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Abilita l'API Google Kubernetes Engine.

Abilita l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.
Nota: per le installazioni esistenti dell'interfaccia a riga di comando gcloud, assicurati di impostare le proprietà compute/region e compute/zone. Impostando le località predefinite, puoi evitare errori nellgcloud CLI come segue: One of [--zone, --region] must be supplied: Please specify location.

Eseguire una rotazione IP

La rotazione IP è un processo in più fasi:

Quando avvii una rotazione IP, il piano di controllo inizia a essere pubblicato sul nuovo indirizzo IP oltre che sull'indirizzo IP originale.
GKE ricrea i tuoi pool di nodi per utilizzare il nuovo indirizzo IP.
Dopo aver avviato una rotazione, devi aggiornare i client API del cluster (ad esempio macchine di sviluppo che utilizzano l'interfaccia a riga di comando kubectl) per iniziare a comunicare con il piano di controllo sul nuovo indirizzo IP.
Una volta completata la rotazione, il piano di controllo cessa di gestire il traffico sull'indirizzo IP precedente.

Avvia la rotazione

Per avviare una rotazione IP, esegui questo comando:

gcloud container clusters update CLUSTER_NAME \
    --start-ip-rotation

Sostituisci CLUSTER_NAME con il nome del cluster.

L'output è simile al seguente:

This will start an IP Rotation on cluster CLUSTER_NAME.
The master will be updated to serve on a new IP address in addition to
the current IP address. Google Kubernetes Engine will then schedule recreation of all nodes
to point to the new IP address.  If maintenance window is
used, nodes are not recreated until a maintenance window occurs. See
documentation on how to manually update nodes. This operation is
long-running and will block other operations on the cluster (including
delete) until it has run to completion.
Do you want to continue (Y/n)?

Questo comando configura il piano di controllo in modo che venga utilizzato su due indirizzi IP: l'indirizzo originale e un nuovo indirizzo.

Conferma la rotazione e lascia la shell aperta per il completamento dell'operazione.

Ricrea i nodi

Dopo aver riconfigurato il server API in modo che utilizzi un nuovo indirizzo IP, GKE aggiorna automaticamente i nodi in modo che utilizzino il nuovo indirizzo IP. GKE esegue l'upgrade di tutti i nodi alla versione più vicina supportata, che ricrea i nodi. Per ulteriori informazioni, consulta Upgrade dei pool di nodi.

Per impostazione predefinita, GKE completa automaticamente le rotazioni degli indirizzi IP sette giorni dopo l'avvio dell'operazione. Se un periodo di manutenzione attivo o un'esclusione nel cluster impedisce a GKE di ricreare alcuni nodi durante questo periodo di sette giorni, la rotazione degli indirizzi IP non verrà completata.

Se utilizzi esclusioni per la manutenzione o periodi di manutenzione che potrebbero comportare una rotazione non riuscita, esegui l'upgrade manuale del cluster per forzare la nuova creazione dei nodi:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --location=LOCATION \
    --cluster-version=VERSION
```
Sostituisci VERSION con la stessa versione di GKE che utilizza già il cluster.

Per maggiori informazioni, consulta Avvertenze per i periodi di manutenzione.

Controlla l'avanzamento della ricreazione del pool di nodi

Per monitorare l'operazione di rotazione, esegui questo comando:
```
gcloud container operations list \
    --filter="operationType=UPGRADE_NODES AND status=RUNNING" \
    --format="value(name)"
```
Questo comando restituisce l'ID operazione dell'operazione di upgrade del nodo.
Per eseguire il polling dell'operazione, passa l'ID operazione al comando seguente:
```
gcloud container operations wait OPERATION_ID
```

I pool di nodi vengono ricreati uno alla volta e ognuno ha la propria operazione. Se hai più pool di nodi, utilizza queste istruzioni per eseguire il polling di ogni operazione.

Aggiorna client API

Dopo aver avviato la rotazione IP, devi aggiornare tutti i client API all'esterno del cluster (ad esempio kubectl sui computer degli sviluppatori) in modo che puntino al nuovo indirizzo IP.

Per aggiornare i client API, esegui questo comando per ciascun client:

gcloud container clusters get-credentials CLUSTER_NAME

Aggiorna indirizzi IP e regole firewall impostati come hardcoded

Se hai impostato come hardcoded l'indirizzo IP del piano di controllo nel tuo ambiente o se sono presenti regole firewall che hanno come target l'indirizzo IP del piano di controllo, aggiorna gli indirizzi al nuovo indirizzo IP. Se completi la rotazione senza aggiornare gli indirizzi IP nelle applicazioni e nelle regole firewall, queste risorse potrebbero subire interruzioni all'interruzione della pubblicazione di GKE sull'indirizzo IP del piano di controllo precedente.

Completa la rotazione

Dopo aver aggiornato i client API all'esterno del cluster, completa la rotazione per configurare il piano di controllo in modo che agisca solo sul nuovo indirizzo IP.

Per completare la rotazione, esegui questo comando:

gcloud container clusters update CLUSTER_NAME \
    --complete-ip-rotation