Implante cargas de trabalho de terceiros no Config Controller

Esta página explica como implantar suas cargas de trabalho em clusters do Config Controller.

Esta página é destinada a administradores de TI e operadores que gerenciam o ciclo de vida de infraestruturas tecnológicas e os planos de capacidade, além de implantar apps e serviços em produção. Para saber mais sobre papéis comuns e tarefas de exemplo referenciados no conteúdo do Google Cloud, consulte Tarefas e papéis de usuário comuns do GKE Enterprise.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Configure o Config Controller.
Se o cluster do Config Controller estiver em uma versão do GKE anterior à versão 1.27, faça upgrade do cluster para a versão 1.27 ou posterior.

Ative o provisionamento automático de nós em clusters padrão

Você precisa ativar o provisionamento automático de nós para implantar suas cargas de trabalho em clusters do Config Controller. Isso permite a separação da carga de trabalho entre suas cargas de trabalho e as cargas de trabalho gerenciadas pelo Google instaladas por padrão nos clusters do Config Controller.

Se você usa clusters do Autopilot, não é necessário ativar o provisionamento automático de nós porque o GKE gerencia automaticamente o escalonamento e o provisionamento de nós.

gcloud

Para ativar o provisionamento automático de nós, execute o seguinte comando:

gcloud container clusters update CLUSTER_NAME \
    --enable-autoprovisioning \
    --min-cpu MINIMUM_CPU \
    --min-memory MIMIMUM_MEMORY \
    --max-cpu MAXIMUM_CPU \
    --max-memory MAXIMUM_MEMORY \
    --autoprovisioning-scopes=https://www.googleapis.com/auth/logging.write,https://www.googleapis.com/auth/monitoring,https://www.googleapis.com/auth/devstorage.read_only

Substitua:

CLUSTER_NAME: o nome do cluster do Config Controller.
MINIMUM_CPU: o número mínimo de núcleos no cluster.
MINIMUM_MEMORY: o número mínimo de gigabytes de memória no cluster.
MAXIMUM_CPU: o número máximo de núcleos no cluster.
MAXIMUM_MEMORY: o número máximo de gigabytes de memória no cluster.

Console

Para ativar o provisionamento automático de nós, execute as seguintes etapas:

Acesse a página do Google Kubernetes Engine no Console do Google Cloud.

Acessar o Google Kubernetes Engine
Clique no nome do cluster.
Na seção Automação, para provisionamento automático de nós, clique em Editar.
Marque a caixa de seleção Ativar provisionamento automático de nós.
Defina o uso mínimo e máximo de CPU e memória do cluster.
Clique em Salvar.

Para saber como configurar o provisionamento automático de nós e como definir padrões, consulte Configurar o provisionamento automático de nós.

Implante a carga de trabalho

Ao implantar as cargas de trabalho, o Config Controller permite automaticamente que o GKE Sandbox forneça uma camada extra de segurança para evitar que códigos não confiáveis afetem o kernel do host nos nós do cluster. Para mais informações, acesse Sobre o GKE Sandbox.

Você pode implementar uma carga de trabalho gravando um arquivo de manifesto de carga de trabalho e executando o seguinte comando:

kubectl apply -f WORKLOAD_FILE

Substitua WORKLOAD_FILE pelo arquivo de manifesto, como my-app.yaml.

Confirme se a carga de trabalho está em execução nos nós provisionados automaticamente:

Acesse a lista de nós criados para a carga de trabalho:
```
kubectl get nodes
```
Inspecione um nó específico:
```
kubectl get nodes NODE_NAME -o yaml
```
Substitua NODE_NAME pelo nome do nó que você quer inspecionar.

Limitações

GKE Sandbox: o GKE Sandbox funciona bem com muitos aplicativos, mas não com todos. Para mais informações, consulte Limitações do GKE Sandbox.
Segurança do plano de controle: ao conceder permissão para as cargas de trabalho, use o princípio de privilégio mínimo para conceder apenas as permissões necessárias. Se a carga de trabalho for comprometida, ela poderá usar permissões excessivamente permissivas para alterar ou excluir recursos do Kubernetes.
Disponibilidade do plano de controle: se as cargas de trabalho causarem um aumento de tráfego em um curto espaço de tempo, o plano de controle do cluster poderá ficar indisponível até que o tráfego diminua.
Redimensionamento do plano de controle: o GKE redimensiona automaticamente o plano de controle conforme necessário. Se a carga de trabalho causar um grande aumento de carga (por exemplo, a instalação de milhares de objetos CRD), o redimensionamento automático do GKE poderá não acompanhar o aumento de carga.
Cotas: ao implantar cargas de trabalho, você deve estar ciente das cotas e limites do GKE e não ultrapassá-los.
Acesso de rede ao plano de controle e aos nós: o Config Controller usa nós privados com redes mestre autorizadas habilitadas, endpoint privado habilitado e acesso público desabilitado. Para mais informações, consulte Segurança de rede do GKE.

A seguir

Saiba mais sobre as práticas recomendadas do Config Controller: escalonabilidade do Config Controller, fragmentação do Config Controller e como configurar o Config Controller para alta disponibilidade
Resolver problemas do Config Controller
Monitorar o Config Controller