Drittanbieter-Arbeitslasten in Config Controller bereitstellen

Auf dieser Seite wird erläutert, wie Sie eigene Arbeitslasten in Config Controller-Clzustern bereitstellen.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Config Controller einrichten.
Wenn Ihr Config Controller-Cluster eine ältere GKE-Version als Version 1.27 verwendet, führen Sie ein Cluster-Upgrade auf Version 1.27 oder höher aus.

Automatische Knotenbereitstellung für Standardcluster aktivieren

Sie müssen die automatische Knotenbereitstellung aktivieren, um eigene Arbeitslasten in Config Controller-Clustern bereitzustellen. Dies ermöglicht eine Trennung der Arbeitslasten zwischen Ihren Arbeitslasten und den von Google verwalteten Arbeitslasten, die standardmäßig in Config Controller-Clustern installiert sind.

Wenn Sie Autopilot-Cluster verwenden, müssen Sie die automatische Knotenbereitstellung nicht aktivieren, da GKE die Knotenskalierung und -bereitstellung automatisch verwaltet.

gcloud

Führen Sie den folgenden Befehl aus, um die automatische Knotenbereitstellung zu aktivieren:

gcloud container clusters update CLUSTER_NAME \
    --enable-autoprovisioning \
    --min-cpu MINIMUM_CPU \
    --min-memory MIMIMUM_MEMORY \
    --max-cpu MAXIMUM_CPU \
    --max-memory MAXIMUM_MEMORY \
    --autoprovisioning-scopes=https://www.googleapis.com/auth/logging.write,https://www.googleapis.com/auth/monitoring,https://www.googleapis.com/auth/devstorage.read_only

Ersetzen Sie Folgendes:

CLUSTER_NAME: der Name Ihres Config Controller-Clusters.
MINIMUM_CPU: die Mindestanzahl von Kernen im Cluster
MINIMUM_MEMORY: die Mindestanzahl von Gigabyte Arbeitsspeicher im Cluster
MAXIMUM_CPU: die maximale Anzahl der Kerne im Cluster
MAXIMUM_MEMORY: die maximale Anzahl von Gigabyte Arbeitsspeicher im Cluster

Console

Führen Sie die folgenden Schritte aus, um die automatische Knotenbereitstellung zu aktivieren:

Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf:

Zur Seite „Google Kubernetes Engine“
Klicken Sie auf den Namen des Clusters.
Klicken Sie im Abschnitt Automatisierung unter Automatische Knotenbereitstellung auf Bearbeiten.
Klicken Sie auf das Kästchen Automatische Knotenbereitstellung aktivieren.
Legen Sie die minimale und maximale CPU- und Arbeitsspeichernutzung für den Cluster fest.
Klicken Sie auf Änderungen speichern.

Weitere Informationen zum Konfigurieren der automatischen Knotenbereitstellung, z. B. zum Festlegen von Standardeinstellungen, finden Sie unter Automatische Knotenbereitstellung konfigurieren.

Arbeitslast bereitstellen

Wenn Sie Ihre Arbeitslasten bereitstellen, aktiviert Config Controller automatisch GKE Sandbox. Dies stellt eine zusätzliche Sicherheitsebene bereit, die nicht vertrauenswürdigen Code daran hindern soll, den Hostkernel auf Ihren Clusterknoten zu beeinträchtigen. Weitere Informationen finden Sie unter Informationen zu GKE Sandbox.

Sie können eine Arbeitslast bereitstellen, indem Sie eine Arbeitslast-Manifestdatei schreiben und dann den folgenden Befehl ausführen:

kubectl apply -f WORKLOAD_FILE

Ersetzen Sie WORKLOAD_FILE durch die Manifestdatei, z. B. my-app.yaml.

Prüfen Sie, ob Ihre Arbeitslast auf den automatisch bereitgestellten Knoten ausgeführt wird:

Rufen Sie die Liste der für Ihre Arbeitslast erstellten Knoten ab:
```
kubectl get nodes
```
Einen bestimmten Knoten prüfen:
```
kubectl get nodes NODE_NAME -o yaml
```
Ersetzen Sie NODE_NAME durch den Namen des Knotens, den Sie prüfen möchten.

Beschränkungen

GKE Sandbox: GKE Sandbox funktioniert gut mit vielen, jedoch nicht mit allen Anwendungen. Weitere Informationen finden Sie unter Einschränkungen: GKE Sandbox.
Sicherheit der Steuerungsebene: Verwenden Sie beim Gewähren von Berechtigungen für Ihre Arbeitslasten das Prinzip der geringsten Berechtigung und gewähren Sie nur Berechtigungen, die wirklich benötigt werden. Wenn Ihre Arbeitslast kompromittiert wird, kann die Arbeitslast zu umfassende Berechtigungen verwenden, um Kubernetes-Ressourcen zu ändern oder zu löschen.
Verfügbarkeit der Steuerungsebene: Wenn Ihre Arbeitslasten innerhalb kurzer Zeit erhöhten Traffic verursachen, ist die Steuerungsebene des Clusters möglicherweise nicht mehr verfügbar, bis der Traffic abnimmt.
Größe der Steuerungsebene anpassen: GKE passt die Größe der Steuerungsebene automatisch nach Bedarf an. Wenn Ihre Arbeitslast zu einem starken Anstieg der Last führt (z. B. durch die Installation Tausender CRD-Objekte), kann die automatische Größenanpassung von GKE möglicherweise nicht mit dem Anstieg der Last mithalten.
Kontingente: Beim Bereitstellen von Arbeitslasten sollten Sie die GKE-Kontingente und Limits beachten und diese nicht überschreiten.
Netzwerkzugriff auf Steuerungsebene und Knoten: Config Controller verwendet private Knoten mit aktivierten autorisierten Masternetzwerken, aktiviertem privatem Endpunkt und deaktiviertem öffentlichem Zugriff. Weitere Informationen finden Sie unter GKE-Netzwerksicherheit

Nächste Schritte

Weitere Informationen zu Best Practices für Config Controller finden Sie hier: Skalierbarkeit von Config Controller, Config Controller-Fragmentierung und Config Controller für Hochverfügbarkeit konfigurieren
Fehlerbehebung für Config Controller
Config Controller überwachen