Esta página explica como implantar suas cargas de trabalho em clusters do Config Controller.
Antes de começar
Antes de começar, verifique se você realizou as tarefas a seguir:
- Configure o Config Controller.
- Se o cluster do Config Controller estiver em uma versão do GKE anterior à versão 1.27, faça upgrade do cluster para a versão 1.27 ou posterior.
Ative o provisionamento automático de nós em clusters padrão
Você precisa ativar o provisionamento automático de nós para implantar suas cargas de trabalho em clusters do Config Controller. Isso permite a separação da carga de trabalho entre suas cargas de trabalho e as cargas de trabalho gerenciadas pelo Google instaladas por padrão nos clusters do Config Controller.
Se você usa clusters do Autopilot, não é necessário ativar o provisionamento automático de nós porque o GKE gerencia automaticamente o escalonamento e o provisionamento de nós.
gcloud
Para ativar o provisionamento automático de nós, execute o seguinte comando:
gcloud container clusters update CLUSTER_NAME \ --enable-autoprovisioning \ --min-cpu MINIMUM_CPU \ --min-memory MIMIMUM_MEMORY \ --max-cpu MAXIMUM_CPU \ --max-memory MAXIMUM_MEMORY \ --autoprovisioning-scopes=https://www.googleapis.com/auth/logging.write,https://www.googleapis.com/auth/monitoring,https://www.googleapis.com/auth/devstorage.read_only
Substitua:
CLUSTER_NAME
: o nome do cluster do Config Controller.MINIMUM_CPU
: o número mínimo de núcleos no cluster.MINIMUM_MEMORY
: o número mínimo de gigabytes de memória no cluster.MAXIMUM_CPU
: o número máximo de núcleos no cluster.MAXIMUM_MEMORY
: o número máximo de gigabytes de memória no cluster.
Console
Para ativar o provisionamento automático de nós, execute as seguintes etapas:
Acesse a página do Google Kubernetes Engine no Console do Google Cloud.
Clique no nome do cluster.
Na seção Automação, para provisionamento automático de nós, clique em
Editar.Marque a caixa de seleção Ativar provisionamento automático de nós.
Defina o uso mínimo e máximo de CPU e memória do cluster.
Clique em Salvar.
Para saber como configurar o provisionamento automático de nós e como definir padrões, consulte Configurar o provisionamento automático de nós.
Implante a carga de trabalho
Ao implantar as cargas de trabalho, o Config Controller permite automaticamente que o GKE Sandbox forneça uma camada extra de segurança para evitar que códigos não confiáveis afetem o kernel do host nos nós do cluster. Para mais informações, acesse Sobre o GKE Sandbox.
Você pode implementar uma carga de trabalho gravando um arquivo de manifesto de carga de trabalho e executando o seguinte comando:
kubectl apply -f WORKLOAD_FILE
Substitua WORKLOAD_FILE
pelo arquivo de manifesto, como my-app.yaml
.
Confirme se a carga de trabalho está em execução nos nós provisionados automaticamente:
Acesse a lista de nós criados para a carga de trabalho:
kubectl get nodes
Inspecione um nó específico:
kubectl get nodes
NODE_NAME
-o yamlSubstitua
NODE_NAME
pelo nome do nó que você quer inspecionar.
Limitações
- GKE Sandbox: o GKE Sandbox funciona bem com muitos aplicativos, mas não com todos. Para mais informações, consulte Limitações do GKE Sandbox.
- Segurança do plano de controle: ao conceder permissão para as cargas de trabalho, use o princípio de privilégio mínimo para conceder apenas as permissões necessárias. Se a carga de trabalho for comprometida, ela poderá usar permissões excessivamente permissivas para alterar ou excluir recursos do Kubernetes.
- Disponibilidade do plano de controle: se as cargas de trabalho causarem um aumento de tráfego em um curto espaço de tempo, o plano de controle do cluster poderá ficar indisponível até que o tráfego diminua.
- Redimensionamento do plano de controle: o GKE redimensiona automaticamente o plano de controle conforme necessário. Se a carga de trabalho causar um grande aumento de carga (por exemplo, a instalação de milhares de objetos CRD), o redimensionamento automático do GKE poderá não acompanhar o aumento de carga.
- Cotas: ao implantar cargas de trabalho, você deve estar ciente das cotas e limites do GKE e não ultrapassá-los.
- Acesso de rede ao plano de controle e aos nós: o Config Controller usa nós privados com redes mestre autorizadas habilitadas, endpoint privado habilitado e acesso público desabilitado. Para mais informações, consulte Segurança de rede do GKE.
A seguir
- Saiba mais sobre as práticas recomendadas do Config Controller: escalonabilidade do Config Controller, fragmentação do Config Controller e como configurar o Config Controller para alta disponibilidade
- Resolver problemas do Config Controller
- Monitorar o Config Controller