Implante cargas de trabalho de terceiros no Config Controller

Esta página explica como implantar suas cargas de trabalho em clusters do Config Controller.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

1. Configure o Config Controller.
2. Se o cluster do Config Controller estiver em uma versão do GKE anterior à versão 1.27, faça upgrade do cluster para a versão 1.27 ou posterior.

Ative o provisionamento automático de nós em clusters padrão

Você precisa ativar o provisionamento automático de nós para implantar suas cargas de trabalho em clusters do Config Controller. Isso permite a separação da carga de trabalho entre suas cargas de trabalho e as cargas de trabalho gerenciadas pelo Google instaladas por padrão nos clusters do Config Controller.

Se você usa clusters do Autopilot, não é necessário ativar o provisionamento automático de nós porque o GKE gerencia automaticamente o escalonamento e o provisionamento de nós.

gcloud container clusters update CLUSTER_NAME \
    --enable-autoprovisioning \
    --min-cpu MINIMUM_CPU \
    --min-memory MIMIMUM_MEMORY \
    --max-cpu MAXIMUM_CPU \
    --max-memory MAXIMUM_MEMORY \
    --autoprovisioning-scopes=https://www.googleapis.com/auth/logging.write,https://www.googleapis.com/auth/monitoring,https://www.googleapis.com/auth/devstorage.read_only

Para saber como configurar o provisionamento automático de nós e como definir padrões, consulte Configurar o provisionamento automático de nós.

Implante a carga de trabalho

Ao implantar as cargas de trabalho, o Config Controller permite automaticamente que o GKE Sandbox forneça uma camada extra de segurança para evitar que códigos não confiáveis afetem o kernel do host nos nós do cluster. Para mais informações, acesse Sobre o GKE Sandbox.

Você pode implementar uma carga de trabalho gravando um arquivo de manifesto de carga de trabalho e executando o seguinte comando:

kubectl apply -f WORKLOAD_FILE

Substitua WORKLOAD_FILE pelo arquivo de manifesto, como my-app.yaml.

Confirme se a carga de trabalho está em execução nos nós provisionados automaticamente:

1. Acesse a lista de nós criados para a carga de trabalho:

   kubectl get nodes

2. Inspecione um nó específico:

   kubectl get nodes NODE_NAME -o yaml

   Substitua NODE_NAME pelo nome do nó que você quer inspecionar.

Limitações

• GKE Sandbox: o GKE Sandbox funciona bem com muitos aplicativos, mas não com todos. Para mais informações, consulte Limitações do GKE Sandbox.
• Segurança do plano de controle: ao conceder permissão para as cargas de trabalho, use o princípio de privilégio mínimo para conceder apenas as permissões necessárias. Se a carga de trabalho for comprometida, ela poderá usar permissões excessivamente permissivas para alterar ou excluir recursos do Kubernetes.
• Disponibilidade do plano de controle: se as cargas de trabalho causarem um aumento de tráfego em um curto espaço de tempo, o plano de controle do cluster poderá ficar indisponível até que o tráfego diminua.
• Redimensionamento do plano de controle: o GKE redimensiona automaticamente o plano de controle conforme necessário. Se a carga de trabalho causar um grande aumento de carga (por exemplo, a instalação de milhares de objetos CRD), o redimensionamento automático do GKE poderá não acompanhar o aumento de carga.
• Cotas: ao implantar cargas de trabalho, você deve estar ciente das cotas e limites do GKE e não ultrapassá-los.
• Acesso de rede ao plano de controle e aos nós: o Config Controller usa nós privados com redes mestre autorizadas habilitadas, endpoint privado habilitado e acesso público desabilitado. Para mais informações, consulte Segurança de rede do GKE.

A seguir

• Saiba mais sobre as práticas recomendadas do Config Controller: escalonabilidade do Config Controller, fragmentação do Config Controller e como configurar o Config Controller para alta disponibilidade
• Resolver problemas do Config Controller
• Monitorar o Config Controller