En esta guía, se proporcionan prácticas recomendadas, consideraciones prácticas y recomendaciones para implementar flotas en tu organización.
Antes de leer esta guía, debes familiarizarte con los conceptos de Cómo funcionan las flotas. Recomendamos que leas esta guía antes de ver nuestros ejemplos.
Requisitos de los componentes
Debes tener en cuenta algunas limitaciones cuando implementes flotas basadas en los componentes de GKE Enterprise y Google Cloud compatibles con la flota que tu organización quiera usar. Por ejemplo, es posible que algunos componentes aún no admitan el trabajo con clústeres que no están en el proyecto host de flotas.
En la siguiente tabla, se muestran los requisitos y las limitaciones actuales de cada componente. En la tabla, también se enumeran las funciones que se incluyen en GKE Enterprise, pero que no se configuran con la API de Fleet.
Componente |
Tipos de clústeres |
Requisitos del proyecto |
Requisitos de VPC |
---|---|---|---|
Sincronizador de configuración | Todos los clústeres compatibles con GKE Enterprise | Ninguna | Ninguna |
Policy Controller | Todos los clústeres compatibles con GKE Enterprise | Ninguna | Ninguna |
Anthos Service Mesh | Consulta Plataformas compatibles | El clúster debe estar registrado en una flota, y todos los clústeres que están en el mismo proyecto deben estar registrados en la misma flota. Para obtener más información, consulta los requisitos de la flota de Anthos Service Mesh. | Los clústeres de GKE deben estar en la misma red de VPC. |
Ingress de varios clústeres y la puerta de enlace de varios clústeres | Clústeres de GKE en Google Cloud. | Los recursos de Ingress/puerta de enlace, los clústeres de GKE y la flota deben compartir el mismo proyecto. | Los recursos de Ingress/puerta de enlace y los clústeres de GKE deben estar en la misma red de VPC. |
Grupos de Workload Identity | Optimizado para GKE Enterprise, GKE en Google Cloud y GKE en VMware. Con GKE Enterprise, se admiten otros clústeres de Kubernetes, pero se requiere un trabajo de configuración manual. | Ninguna | Ninguna |
Autorización Binaria | Clústeres de GKE en Google Cloud, GKE on Bare Metal, GKE en VMware | Ninguna | Ninguna |
Advanced Vulnerability Insights | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Postura de seguridad de GKE | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Postura de seguridad de GKE | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Postura sobre el cumplimiento | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Métricas de uso de recursos de flotas | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Registro de flotas | Todos | Ninguna | Ninguna |
conecta la puerta de enlace | Todos | Ninguna | Ninguna |
Administración de equipos de la flota | Todos | Ninguna | Ninguna |
Políticas de red de FQDN del Pod | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Encriptación transparente entre nodos | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Config Controller | No aplicable | Ninguna | Ninguna |
Secuenciación de lanzamiento | Clústeres de GKE en Google Cloud. | Ninguna | Ninguna |
Organiza proyectos y redes de VPC para flotas
Cuando diseñas arquitecturas para flotas, debes tener en cuenta dos recursos fundamentales: los proyectos de Google Cloud y las redes de nube privada virtual (VPC).
Como se indica en Cómo funcionan las flotas, cada flota se crea dentro de un solo proyecto. Sin embargo, (con las limitaciones mencionadas en la tabla anterior), las flotas están diseñados a fin de trabajar con recursos habilitados para la flota del proyecto host de la flota, otro proyecto de Google Cloud, otros proveedores de servicios en la nube o de forma local.
Si bien no se evita de forma explícita en la mayoría de los casos, también recomendamos que los recursos adaptados a la flota en el mismo proyecto se agreguen a la misma flota. No deben dividirse entre diferentes flotas. Dividir recursos en el mismo proyecto en diferentes flotas se considera un antipatrón porque el límite del proyecto proporciona protecciones más sólidas para fines relacionados con la política y la administración.
A la hora de decidir cómo ubicar los recursos con conocimiento de flotas en varios proyectos, anticipamos que muchas organizaciones tendrán diferentes requisitos de usuario. Considera los siguientes dos extremos:
- Algunas organizaciones pueden optar por colocar todos los recursos de flotas en algunos proyectos controlados de forma central, asignando espacios de nombres a equipos.
- Otras organizaciones pueden optar por dar a los equipos sus propios clústeres dedicados dentro de los proyectos de sus equipos.
En el primer extremo, es más fácil mantener la administración centralizada de los recursos, pero es posible que se requiera trabajo adicional para lograr el aislamiento deseado. En el segundo extremo, estas compensaciones se revierten. En algunos casos complejos, tu organización puede tener una mezcla de recursos de infraestructura compartida y de recursos dedicados, aislados en proyectos separados. Sin importar en qué extremo termines, como se explica en nuestra sección de alta confianza, es importante mantener la confianza mutua sobre los recursos registrados en una flota para mantener su integridad.
La organización de la red tiene una relación estrecha con la organización del proyecto. Varios componentes de la flota, como se indica en la tabla de requisitos de los componentes, requieren conectividad específica entre los recursos registrados en la flota. Con el tiempo, algunos de estos requisitos podrían ser flexibles. Aunque, por ejemplo, el Ingress de varios clústeres requiere que los Pods estén en la misma red de VPC y que los clústeres estén en el mismo proyecto que la flota.
Cuando los componentes puedan disminuir estos requisitos iniciales de proyecto y red de VPC, anticipamos que adoptar un modelo de VPC compartida se convertirá en una práctica recomendada cada vez que necesites varios proyectos. En este modelo, la flota puede crear una instancia del proyecto host de la red de VPC con recursos registrados desde sus respectivos proyectos de servicio. Si necesitas varias flotas con una VPC compartida, puedes nominar los proyectos para que sean el proyecto host de la flota.
Agrega o quita recursos de flotas (clústeres)
Los recursos existentes habilitados para la flota se pueden agregar a una flota, pero se debe tener especial cuidado para garantizar que los servicios no se interrumpan como resultado de su adición. En particular, es importante garantizar que las propiedades de similitud y confianza se tengan en cuenta antes de agregar el recurso a la flota El administrador de la flota debe prestar especial atención a la forma en que los componentes activos de la flota usan la misma similitud. Esto podría requerir migrar a prácticas de nomenclatura coherentes, establecer la administración del recurso o realizar otras acciones antes de agregar el recurso a la flota.
Quitar recursos de una flota también requiere cierta atención adicional. Por ejemplo, se verán afectados los recursos que forman parte de una malla de servicios o que se orientan como parte de un balanceador de cargas de varios clústeres. A fin de prepararte para quitar el recurso, te recomendamos revisar cada componente que hayas habilitado en tu flota y tomar las medidas necesarias para desviar el tráfico activo de la malla de servicios o el tráfico externo.
A medida que las flotas evolucionen, proporcionaremos más orientación en banda cuando agregues y quites recursos de flota.
Habilita o reconfigura los componentes de la flota
Habilitar o reconfigurar los componentes de Google Cloud o GKE Enterprise que usan flotas también requiere un cuidado especial. Cuando habilites componentes nuevos, presta atención a los posibles efectos secundarios de habilitar el componente en todos los clústeres. Por ejemplo, antes de habilitar Anthos Service Mesh, comprende qué extremos de servicios se combinan en los recursos y asegúrate de que este sea el resultado deseado.
Proporcionaremos mayor orientación en banda a la hora de configurar componentes habilitados para la flota a medida que evolucionamos el concepto de la flota.
Próximos pasos
- Para ver situaciones hipotéticas que ilustran las consideraciones descritas en esta guía, consulta Ejemplos de flotas.