Supporto del proxy per i cluster EKS collegati

Se la tua organizzazione utilizza un proxy HTTP per il traffico internet, devi configurare i cluster allegati GKE di conseguenza. Questo documento descrive come eseguire questa configurazione.

Prima di iniziare

I cluster collegati a GKE richiedono la connettività a vari servizi Google Cloud . Assicurati che il server proxy consenta il traffico verso i seguenti domini:

  • .gcr.io
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • oauth2.googleapis.com
  • securetoken.googleapis.com
  • storage.googleapis.com
  • sts.googleapis.com
  • www.googleapis.com
  • servicecontrol.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • opsconfigmonitoring.googleapis.com
  • GCP_LOCATION-gkemulticloud.googleapis.com

Sostituisci GCP_LOCATION con la regione Google Cloud in cui si trova il cluster. Specifica us-west1 o un'altra regione supportata.

Configura il supporto proxy per i cluster GKE collegati

Per configurare il supporto proxy per i cluster GKE collegati, segui questi passaggi:

  1. Crea un file di configurazione del proxy contenente i valori per le chiavi httpProxy, noProxy e httpsProxy:

    {
"httpProxy": HTTP_PROXY_AUTHENTICATION_URL,
"httpsProxy": HTTPS_PROXY_AUTH_URL,
"noProxy": NO_PROXY_ADDRESSES
}

    Sostituisci quanto segue:

    • HTTP_PROXY_AUTHENTICATION_URL: l'URL del server proxy, costituito da un nome host/indirizzo IP e, facoltativamente, da una porta, un nome utente e una password. Ad esempio: http://user:password@192.0.2.0:80 o semplicemente 198.51.100.255.
    • HTTPS_PROXY_AUTH_URL: l'URL proxy per il traffico HTTPS criptato, costituito da un nome host/indirizzo IP e, facoltativamente, da una porta, un nome utente e una password.
    • NO_PROXY_ADDRESSES: un elenco separato da virgole di URL, blocchi CIDR e nomi DNS delle risorse che possono bypassare il proxy. In questo modo, i cluster GKE collegati evitano di utilizzare il proxy per le risorse specificate. Tieni presente quanto segue:
      • I valori possono essere singoli indirizzi IP, intervalli CIDR, nomi di dominio o anche il carattere asterisco (*). L'utilizzo di un singolo asterisco (*) nel campo noProxy indica ai cluster GKE collegati di ignorare il proxy per tutto il traffico.
      • Un dominio che inizia con un punto, ad esempio .google.com, ha come target tutti i suoi sottodomini. Ad esempio, .google.com include indirizzi come mail.google.com e drive.google.com, ma esclude google.com.
      • Assicurati di includere i domini kubernetes.default.svc.cluster.local e kubernetes.default.svc per una registrazione corretta. Ecco un esempio: 198.51.100.0,192.0.2.0/16,examplepetstore.com,.altostrat.com,kubernetes.default.svc.cluster.local, kubernetes.default.svc.

    Quando crei il file di configurazione del proxy, rispetta le seguenti linee guida:

    • I campi httpProxy e httpsProxy non accettano prefissi https://. Utilizza http://, anche se l'indirizzo del server proxy reale inizia con https://. Ad esempio, rappresenta https://proxy.example.com:3128 come http://proxy.example.com:3128.
    • È obbligatorio fornire valori per tutti e tre i campi: httpProxy, httpsProxy e noProxy.
    • Valuta la possibilità di aggiungere altri domini, indirizzi IP o CIDR all'elenco noProxy. Ti consigliamo di includere l'intervallo IP VPC.

  2. Crea un secret di Kubernetes, che contiene la configurazione del proxy, eseguendo il seguente comando:

    kubectl create secret generic SECRET_NAME \
--from-file=PROXY_CONFIGURATION_FILE

    Sostituisci quanto segue:

    • SECRET_NAME: il nome del secret Kubernetes
    • PROXY_CONFIGURATION_FILE: il percorso della configurazione proxy creata nel passaggio 1.

  3. Contrassegna il secret Kubernetes come immutabile impostando il campo immutable su true:

    kubectl edit secret SECRET_NAME

    Sostituisci SECRET_NAME con il nome del secret Kubernetes.

  4. Configura un cluster nuovo o esistente per utilizzare il proxy:

    Nuovo cluster

    Per registrare un nuovo cluster e applicare la configurazione del proxy, utilizza il comando gcloud container attached clusters register. Assicurati di fornire gli argomenti facoltativi --proxy-secret-name e --proxy-secret-namespace:

    gcloud container attached clusters register CLUSTER_NAME \
  --proxy-secret-name=SECRET_NAME \
  --proxy-secret-namespace=SECRET_NAMESPACE

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster
    • SECRET_NAME: il nome del secret Kubernetes contenente la configurazione del proxy
    • SECRET_NAMESPACE: lo spazio dei nomi Kubernetes in cui è archiviato il secret

    Per informazioni su tutti gli argomenti che puoi utilizzare durante la registrazione di un cluster, consulta il comando gcloud container attached clusters register.

    Cluster esistente

    Per aggiornare un cluster registrato in precedenza con una nuova configurazione proxy, utilizza il comando gcloud container attached clusters update. Assicurati di fornire gli argomenti facoltativi --proxy-secret-name e --proxy-secret-namespace:

    gcloud container attached clusters update CLUSTER_NAME \
  --proxy-secret-name=SECRET_NAME \
  --proxy-secret-namespace=SECRET_NAMESPACE

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster
    • SECRET_NAME: il nome del secret Kubernetes contenente la configurazione del proxy
    • SECRET_NAMESPACE: lo spazio dei nomi Kubernetes in cui è archiviato il secret

    Questo passaggio è obbligatorio se i dettagli del server proxy sono cambiati o se una registrazione iniziale del cluster non ha tenuto conto dei requisiti del proxy.

    Per informazioni su tutti gli argomenti che puoi utilizzare durante l'aggiornamento di un cluster, consulta il comando gcloud container attached clusters update.

Dopo aver eseguito questi passaggi, i cluster GKE collegati elaborano il traffico internet in uscita utilizzando il server proxy specificato nel file di configurazione.