在 Config Controller 上部署第三方工作負載

本頁說明如何在 Config Controller 叢集上部署自己的工作負載。

本頁面適用於 IT 管理員和操作員，他們負責管理基礎技術架構的生命週期、規劃容量，以及將應用程式和服務部署至正式環境。如要進一步瞭解我們在 Google Cloud 內容中提及的常見角色和範例工作，請參閱「常見的 GKE Enterprise 使用者角色和工作」。

事前準備

開始之前，請確認你已完成下列工作：

1. 設定 Config Controller。
2. 如果您的 Config Controller 叢集使用的 GKE 版本早於 1.27 版，請將叢集升級至 1.27 版或更新版本。

在 Standard 叢集上啟用節點自動佈建功能

您必須啟用節點自動佈建，才能在 Config Controller 叢集上部署自己的工作負載。這樣一來，您就能將工作負載與預設安裝在 Config Controller 叢集上的 Google 管理工作負載分開。

如果您使用 Autopilot 叢集，則不需要啟用節點自動佈建功能，因為 GKE 會自動管理節點調度和佈建作業。

gcloud container clusters update CLUSTER_NAME \
    --enable-autoprovisioning \
    --min-cpu MINIMUM_CPU \
    --min-memory MIMIMUM_MEMORY \
    --max-cpu MAXIMUM_CPU \
    --max-memory MAXIMUM_MEMORY \
    --autoprovisioning-scopes=https://www.googleapis.com/auth/logging.write,https://www.googleapis.com/auth/monitoring,https://www.googleapis.com/auth/devstorage.read_only

如要進一步瞭解如何設定節點自動佈建 (例如設定預設值)，請參閱「設定節點自動佈建」。

部署工作負載

部署工作負載時，Config Controller 會自動啟用 GKE Sandbox，提供額外的安全防護層，防止不受信任的程式碼影響叢集節點上的主機核心。詳情請參閱「關於 GKE Sandbox」。

您可以編寫工作負載資訊清單檔案，然後執行下列指令來部署工作負載：

kubectl apply -f WORKLOAD_FILE

將 WORKLOAD_FILE 替換為資訊清單檔案，例如 my-app.yaml。

確認工作負載是在自動佈建的節點上執行：

1. 取得為工作負載建立的節點清單：

   kubectl get nodes

2. 檢查特定節點：

   kubectl get nodes NODE_NAME -o yaml

   將 NODE_NAME 替換為要檢查的節點名稱。

限制

• GKE Sandbox：GKE Sandbox 適用於許多應用程式，但並非全部都適用。詳情請參閱「GKE Sandbox 限制」。
• 控制平面安全性：授予工作負載權限時，請採用最低權限原則，只授予必要的權限。如果工作負載遭到入侵，工作負載可能會使用過於寬鬆的權限來變更或刪除 Kubernetes 資源。
• 控制層可用性：如果工作負載在短時間內導致流量增加，叢集控制層可能會暫時無法使用，直到流量減少為止。
• 調整控制層大小：GKE 會視需要自動調整控制層大小。如果工作負載導致負載大幅增加 (例如安裝數千個 CRD 物件)，GKE 的自動調整大小功能可能無法跟上負載增加的速度。
• 配額：部署工作負載時，請注意 GKE 的配額和限制，不要超過這些限制。
• 控制層和節點的網路存取權：Config Controller 會使用私人節點，並啟用主要授權網路、私人端點，以及停用公開存取權。詳情請參閱「GKE 網路安全性」。

後續步驟

• 進一步瞭解 Config Controller 最佳做法： Config Controller 可擴充性、Config Controller 分片，以及設定 Config Controller 的高可用性
• 排解 Config Controller 問題
• 監控 Config Controller