Supporto proxy per cluster collegati conformi a CNCF

Se la tua organizzazione utilizza un proxy HTTP per il traffico internet, devi configurare di conseguenza i cluster collegati a GKE. Questo documento descrive come eseguire questa configurazione.

Prima di iniziare

I cluster collegati a GKE richiedono la connettività a vari Google Cloud servizi. Assicurati che il server proxy consenta il traffico verso i seguenti domini:

  • .gcr.io
  • cloudresourcemanager.googleapis.com
  • container.googleapis.com
  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • oauth2.googleapis.com
  • securetoken.googleapis.com
  • storage.googleapis.com
  • sts.googleapis.com
  • www.googleapis.com
  • servicecontrol.googleapis.com
  • logging.googleapis.com
  • monitoring.googleapis.com
  • opsconfigmonitoring.googleapis.com
  • GCP_LOCATION-gkemulticloud.googleapis.com

Sostituisci GCP_LOCATION con la Google Cloud regione in cui risiede il tuo cluster. Specifica us-west1 o un'altra regione supportata.

Configura il supporto del proxy per i cluster collegati a GKE

Per configurare il supporto del proxy per i cluster GKE collegati, segui questi passaggi:

  1. Crea un file di configurazione del proxy contenente i valori per le chiavi httpProxy, noProxy e httpsProxy:

    {
"httpProxy": HTTP_PROXY_AUTHENTICATION_URL,
"httpsProxy": HTTPS_PROXY_AUTH_URL,
"noProxy": NO_PROXY_ADDRESSES
}

    Sostituisci quanto segue:

    • HTTP_PROXY_AUTHENTICATION_URL: l'URL del server proxy, costituito da un nome host/indirizzo IP e, facoltativamente, da una porta, un nome utente e una password. Ad esempio: http://user:password@192.0.2.0:80 o solo 198.51.100.255.
    • HTTPS_PROXY_AUTH_URL: l'URL del proxy per il traffico HTTPS criptato, costituito da un nome host/indirizzo IP e, facoltativamente, da una porta, un nome utente e una password.
    • NO_PROXY_ADDRESSES: un elenco separato da virgole di URL, blocchi CIDR e nomi DNS di risorse che possono bypassare il proxy. In questo modo, i cluster GKE collegati eviteranno di utilizzare il proxy per le risorse specificate. Tieni presente quanto segue:
      • I valori possono essere singoli indirizzi IP, intervalli CIDR, nomi di dominio o persino il carattere asterisco (*). L'utilizzo di un singolo asterisco (*) nel campo noProxy indica ai cluster GKE collegati di saltare il proxy per tutto il traffico.
      • Un dominio che inizia con un punto, ad esempio .google.com, ha come target tutti i suoi sottodomini. Ad esempio, .google.com include indirizzi come mail.google.com e drive.google.com, ma esclude google.com.
      • Assicurati di includere i domini kubernetes.default.svc.cluster.local e kubernetes.default.svc per la registrazione corretta. Ecco un esempio: 198.51.100.0,192.0.2.0/16,examplepetstore.com,.altostrat.com,kubernetes.default.svc.cluster.local, kubernetes.default.svc.

    Quando crei il file di configurazione del proxy, rispetta le seguenti linee guida:

    • I campi httpProxy e httpsProxy non accettano prefissi https://. Utilizza http://, anche se l'indirizzo del server proxy reale inizia con https://. Ad esempio, rappresenta https://proxy.example.com:3128 come http://proxy.example.com:3128.
    • È obbligatorio fornire valori per tutti e tre i campi: httpProxy, httpsProxy e noProxy.
    • Valuta la possibilità di aggiungere altri domini, indirizzi IP o CIDR all'elenconoProxy. Ti consigliamo di includere l'intervallo IP del VPC.

  2. Crea un secret di Kubernetes contenente la configurazione del proxy eseguendo il seguente comando:

    kubectl create secret generic SECRET_NAME \
--from-file=PROXY_CONFIGURATION_FILE

    Sostituisci quanto segue:

    • SECRET_NAME: il nome del secret Kubernetes
    • PROXY_CONFIGURATION_FILE: il percorso alla configurazione del proxy creata nel passaggio 1.

  3. Contrassegna il secret Kubernetes come immutable impostando il relativo campo immutable su true:

    kubectl edit secret SECRET_NAME

    Sostituisci SECRET_NAME con il nome del segreto Kubernetes.

  4. Configura un cluster nuovo o esistente per utilizzare il proxy:

    Nuovo cluster

    Per registrare un nuovo cluster e applicare la configurazione del proxy, utilizza il comando gcloud container attached clusters register. Assicurati di fornire gli argomenti facoltativi --proxy-secret-name e --proxy-secret-namespace:

    gcloud container attached clusters register CLUSTER_NAME \
  --proxy-secret-name=SECRET_NAME \
  --proxy-secret-namespace=SECRET_NAMESPACE

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster
    • SECRET_NAME: il nome del secret Kubernetes contenente la configurazione del proxy
    • SECRET_NAMESPACE: lo spazio dei nomi Kubernetes in cui è memorizzato il secret

    Per informazioni su tutti gli argomenti che puoi utilizzare per registrare un cluster, consulta il comando gcloud container attached clusters register.

    Cluster esistente

    Per aggiornare un cluster registrato in precedenza con una nuova configurazione del proxy, utilizza il comando gcloud container attached clusters update. Assicurati di fornire gli argomenti facoltativi --proxy-secret-name e --proxy-secret-namespace:

    gcloud container attached clusters update CLUSTER_NAME \
  --proxy-secret-name=SECRET_NAME \
  --proxy-secret-namespace=SECRET_NAMESPACE

    Sostituisci quanto segue:

    • CLUSTER_NAME: il nome del cluster
    • SECRET_NAME: il nome del secret Kubernetes contenente la configurazione del proxy
    • SECRET_NAMESPACE: lo spazio dei nomi Kubernetes in cui è memorizzato il secret

    Questo passaggio è necessario se i dettagli del server proxy sono cambiati o se una registrazione iniziale del cluster ha trascurato i requisiti del proxy.

    Per informazioni su tutti gli argomenti che puoi utilizzare per aggiornare un cluster, consulta il comando gcloud container attached clusters update.

Dopo aver eseguito questi passaggi, i cluster collegati a GKE elaborano il traffico internet in uscita utilizzando il server proxy specificato nel file di configurazione.