Panduan ini memberikan praktik terbaik, pertimbangan praktis, dan rekomendasi untuk mengimplementasikan fleet di organisasi Anda.
Sebelum membaca panduan ini, Anda harus sudah memahami konsep dalam Cara kerja fleet. Sebaiknya baca panduan ini sebelum melihat contoh kami.
Persyaratan komponen
Ada beberapa batasan yang perlu dipertimbangkan saat mengimplementasikan fleet berdasarkan komponen GKE Enterprise dan Google Cloud yang berbasis fleet yang ingin digunakan organisasi Anda. Misalnya, beberapa komponen mungkin belum mendukung penggunaan cluster yang tidak ada dalam project host fleet.
Tabel berikut menunjukkan persyaratan dan batasan saat ini untuk setiap komponen. Tabel ini juga mencantumkan fitur yang disertakan dengan GKE Enterprise, tetapi tidak dikonfigurasi menggunakan Fleet API.
| Komponen |
Jenis cluster |
Persyaratan project |
Persyaratan VPC |
|---|---|---|---|
| Config Sync | Semua cluster yang didukung GKE Enterprise | Tidak ada | Tidak ada |
| Pengontrol Kebijakan | Semua cluster yang didukung GKE Enterprise | Tidak ada | Tidak ada |
| Anthos Service Mesh | Lihat Platform yang didukung | Cluster harus didaftarkan ke fleet, dan semua cluster yang ada dalam project yang sama harus didaftarkan ke fleet yang sama. Untuk mengetahui informasi selengkapnya, lihat Persyaratan fleet Mesh Layanan Anthos. | Cluster GKE harus berada di jaringan VPC yang sama. |
| Multi Cluster Ingress dan multi-cluster Gateway | Cluster GKE di Google Cloud | Resource Ingress/Gateway, cluster GKE, dan fleet harus menggunakan project yang sama. | Resource Ingress/Gateway dan cluster GKE harus berada di jaringan VPC yang sama. |
| Workload Identity pools | Dioptimalkan untuk GKE Enterprise, GKE di Google Cloud, dan GKE di VMware. Dengan GKE Enterprise, cluster Kubernetes lainnya didukung, tetapi memerlukan pekerjaan penyiapan manual. | Tidak ada | Tidak ada |
| Otorisasi Biner | Cluster GKE di Google Cloud, GKE di Bare Metal, GKE di VMware | Tidak ada | Tidak ada |
| Insight Kerentanan Lanjutan | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Postur Keamanan GKE | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Postur Keamanan GKE | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Postur Kepatuhan | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Metrik pemanfaatan resource fleet | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Logging fleet | Semua | Tidak ada | Tidak ada |
| hubungkan gateway | Semua | Tidak ada | Tidak ada |
| Manajemen tim armada | Semua | Tidak ada | Tidak ada |
| Kebijakan Jaringan FQDN Pod | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Enkripsi transparan antarnode | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
| Pengontrol Konfigurasi | Tidak berlaku | Tidak ada | Tidak ada |
| Pengurutan Peluncuran | Cluster GKE di Google Cloud | Tidak ada | Tidak ada |
Mengatur project dan jaringan VPC untuk fleet
Saat merancang untuk fleet, Anda perlu mempertimbangkan dua resource dasar: project Google Cloud dan jaringan Virtual Private Cloud (VPC).
Seperti yang disebutkan dalam Cara kerja fleet, setiap fleet dibuat dalam satu project. Namun (dengan batasan yang disebutkan dalam tabel sebelumnya), fleet dimaksudkan untuk berfungsi dengan resource berbasis fleet dari project host fleet, project Google Cloud lain, penyedia cloud lain, atau infrastruktur lokal.
Meskipun tidak dicegah secara eksplisit dalam sebagian besar kasus, kami juga merekomendasikan agar resource berbasis fleet dalam project yang sama ditambahkan ke fleet yang sama; resource tidak boleh dibagi di antara fleet yang berbeda. Memisahkan resource dalam project yang sama di seluruh fleet dianggap sebagai antipola karena batas project memberikan perlindungan yang lebih kuat untuk tujuan kebijakan dan tata kelola.
Saat menentukan cara menempatkan resource berbasis fleet di beberapa project, kami mengantisipasi bahwa banyak organisasi akan memiliki persyaratan tenancy yang berbeda. Pertimbangkan dua ekstrem berikut:
- Beberapa organisasi mungkin memilih untuk menempatkan semua resource fleet di beberapa project yang dikontrol secara terpusat, dengan mengalokasikan namespace ke tim.
- Organisasi lain mungkin memilih untuk memberikan cluster khusus mereka sendiri kepada tim dalam project tim mereka sendiri.
Pada ekstrem pertama, lebih mudah mempertahankan tata kelola terpusat atas resource, tetapi mungkin memerlukan pekerjaan tambahan untuk mencapai isolasi yang diinginkan. Pada ekstrem kedua, kompromi ini terbalik. Dalam beberapa kasus yang kompleks, organisasi Anda mungkin memiliki campuran resource infrastruktur bersama dan resource khusus, yang diisolasi dalam project terpisah. Ke mana pun Anda pergi, seperti yang kami bahas di bagian Kepercayaan tinggi, mempertahankan kepercayaan bersama atas resource yang terdaftar ke suatu fleet penting untuk menjaga integritas fleet.
Organisasi jaringan, yang terkait erat dengan organisasi proyek, adalah organisasi jaringan. Beberapa komponen armada, seperti yang disebutkan dalam tabel persyaratan komponen, memerlukan konektivitas spesifik antara resource yang terdaftar dalam fleet. Seiring waktu, beberapa persyaratan ini dapat disesuaikan. Namun, misalnya, saat ini Multi Cluster Ingress mengharuskan pod berada di jaringan VPC yang sama, dengan cluster itu sendiri berada dalam project yang sama dengan fleet.
Ketika komponen dapat melonggarkan persyaratan project awal dan jaringan VPC ini, kami mengantisipasi bahwa mengadopsi model VPC Bersama akan menjadi praktik terbaik setiap kali Anda memerlukan beberapa project. Dalam model seperti itu, fleet dapat dibuat instance-nya di project host jaringan VPC dengan resource yang terdaftar dari project layanannya masing-masing. Jika memerlukan beberapa fleet dengan VPC Bersama, Anda dapat menominasikan project untuk menjadi project host fleet.
Menambahkan/menghapus resource fleet (cluster)
Resource berbasis fleet yang ada dapat ditambahkan ke fleet, tetapi Anda harus sangat berhati-hati untuk memastikan bahwa layanan tidak terganggu akibat penambahan. Secara khusus, penting untuk memastikan bahwa properti kesamaan dan kepercayaan dipertimbangkan sebelum menambahkan resource ke fleet. Administrator fleet harus memberi perhatian khusus pada cara komponen fleet aktif menggunakan kesamaan. Hal ini mungkin memerlukan migrasi ke praktik penamaan yang konsisten, menetapkan tata kelola resource, atau kemungkinan melakukan tindakan lain sebelum menambahkan resource ke fleet.
Menghapus resource dari fleet juga memerlukan perhatian tambahan. Misalnya, resource yang secara aktif menjadi bagian dari mesh layanan atau ditargetkan sebagai bagian dari load balancer multi-cluster akan terpengaruh. Untuk bersiap menghapus resource, sebaiknya tinjau setiap komponen yang telah diaktifkan di fleet Anda, dan lakukan langkah-langkah yang diperlukan untuk menguras traffic mesh layanan aktif atau traffic eksternal.
Seiring berkembangnya fleet, kami akan memberikan lebih banyak panduan in-band saat menambahkan dan menghapus resource fleet.
Mengaktifkan atau mengonfigurasi ulang komponen fleet
Mengaktifkan atau mengonfigurasi ulang komponen Google Cloud atau GKE Enterprise yang menggunakan fleet juga memerlukan perhatian khusus. Saat mengaktifkan komponen baru, perhatikan potensi efek samping pengaktifan komponen di semua cluster. Misalnya, sebelum mengaktifkan Anthos Service Mesh, pahami endpoint layanan mana yang digabungkan di seluruh resource, dan pastikan ini adalah hasil yang diinginkan.
Kami akan memberikan panduan in-band lebih lanjut saat mengonfigurasi komponen yang diaktifkan fleet saat kami mengembangkan konsep fleet.
Apa langkah selanjutnya?
- Untuk beberapa skenario hipotetis yang menggambarkan pertimbangan yang dijelaskan dalam panduan ini, lihat Contoh lengkap.