Me-route traffic dari workload Cloud Service Mesh ke VM Compute Engine

Halaman ini menunjukkan cara merutekan traffic jaringan dengan aman dari beban kerja Cloud Service Mesh di GKE ke VM Compute Engine yang dilayani oleh BackendService.

Perhatikan bahwa saat merutekan traffic dari GKE ke VM Compute Engine, VM Compute Engine atau BackendService tidak perlu bergabung ke Cloud Service Mesh. Namun, VM Compute Engine dan BackendService harus berada dalam project yang sama dengan cluster GKE Cloud Service Mesh. Batasan ini ada saat fitur ini tersedia dalam pratinjau publik. MTLS tidak didukung untuk VM Compute Engine

Sebelum memulai

Bagian berikut mengasumsikan bahwa Anda telah:

1. Cluster GKE dengan Cloud Service Mesh diaktifkan.
2. Men-deploy VM Compute Engine yang di-fronting oleh BackendService.

Atau, Anda dapat menjalankan perintah berikut untuk men-deploy contoh VM Compute Engine yang di-fronting oleh BackendService.

1. Men-deploy contoh VM Compute Engine dan BackendService:

   gcloud compute instance-templates create td-httpd-vm-template \
     --scopes=https://www.googleapis.com/auth/cloud-platform \
     --tags=http-td-server \
     --image-family=debian-11 \
     --image-project=debian-cloud \
     --metadata=startup-script="#! /bin/bash
   sudo apt-get update -y
   sudo apt-get install apache2 -y
   sudo service apache2 restart
   echo '<!doctype <html><body><h1>'\`$(/bin/hostname)\`'</h1></body></html>' | sudo tee /var/www/html/index.html"
   
   gcloud compute instance-groups managed create http-td-mig-us-east1 \
     --zone=VM_ZONE   \
     --size=2 \
     --template=td-httpd-vm-template
   
   gcloud compute health-checks create http http-helloworld-health-check
   
   gcloud compute firewall-rules create http-vm-allow-health-checks \
     --network=default \
     --action=ALLOW \
     --direction=INGRESS \
     --source-ranges=0.0.0.0/0 \
     --target-tags=http-td-server \
     --rules=tcp:80
   
   gcloud compute backend-services create helloworld \
     --global \
     --load-balancing-scheme=INTERNAL_SELF_MANAGED \
     --protocol=HTTP \
     --health-checks http-helloworld-health-check
   
   gcloud compute backend-services add-backend helloworld \
     --instance-group=http-td-mig-us-east1 \
     --instance-group-zone=VM_ZONE  \
     --global
   

   Dengan keterangan:

   • VM_ZONE adalah zona tempat Anda ingin VM Compute Engine di-deploy.

Mengonfigurasi VM Compute Engine sebagai GCPBackend

Di bagian ini, Anda akan mengekspos VM Compute Engine ke workload GKE menggunakan GCPBackend. GCPBackend terdiri dari:

1. Informasi frontend - khususnya, nama host dan port yang akan digunakan Workload GKE untuk memanggil GCPBackend ini.
2. Informasi backend - detail BackendService seperti nama layanan, lokasi, dan nomor project.

GCPBackend berisi detail nama host dan port serta detail BackendService (nama layanan, lokasi, dan nomor project). Workload GKE harus menggunakan nama host dan port GCPBackend dalam permintaan HTTP-nya untuk mengakses VM Compute Engine.

Agar DNS nama host dapat di-resolve dalam cluster (secara default tidak dapat di-resolve), Anda harus mengonfigurasi DNS Google Cloud untuk me-resolve semua host dalam nama host yang dipilih ke alamat IP arbitrer. Sampai Anda mengonfigurasi entri DNS ini, permintaan akan gagal. Konfigurasi Google Cloud DNS adalah penyiapan satu kali per domain kustom.

1. Buat zona terkelola:

   gcloud dns managed-zones create prod \
       --description="zone for gcpbackend" \
       --dns-name=gcpbackend \
       --visibility=private \
       --networks=default
   

   Dalam contoh ini, Nama DNS adalah gcpbackend dan Jaringan VPC adalah default.

2. Siapkan data agar domain dapat di-resolve:

   gcloud beta dns record-sets create *.gcpbackend \
     --ttl=3600 --type=A --zone=prod \
     --rrdatas=10.0.0.1
   

3. Buat GCPBackend dengan nama host di domain sebelumnya:

   cat <<EOF > gcp-backend.yaml
   apiVersion: networking.gke.io/v1
   kind: GCPBackend
   metadata:
     name: vm-gcp-backend
     namespace: NAMESPACE
   spec:
     type: "BackendService"
     hostname: hello-world.gcpbackend
     backendservice:
       name: helloworld
       location: global
   EOF
   kubectl apply -f gcp-backend.yaml
   

   Dalam contoh ini, GCP_BACKEND_NAME adalah vm-gcp-backend.

4. Buat Pod pengujian untuk memverifikasi konektivitas VM Compute Engine ke GKE:

   cat <<EOF | kubectl apply -f -
   apiVersion: v1
   kind: Pod
   metadata:
     name: testcurl
     namespace: default
   spec:
     containers:
     - name: curl
       image: curlimages/curl
       command: ["sleep", "3000"]
   EOF
   
   kubectl exec testcurl -c curl -- curl http://hello-world.gcpbackend:80
   

   Sekarang, workload GKE Anda dapat mengakses VM Compute Engine dengan mengirim permintaan HTTP ke hello-world.gcpbackend:80.

Anda harus menggunakan nama yang berbeda untuk GCPBackend agar tidak bertentangan dengan layanan Kubernetes atau Entri Layanan Istio yang ada. Jika terjadi konflik, urutan prioritas (tinggi ke rendah) adalah Layanan Kubernetes, istio ServiceEntry, dan GCPBackend.

Perhatikan bahwa Layanan Virtual dan GCPBackend harus berada di namespace yang sama dan VM Compute Engine harus berada di project yang sama dengan cluster GKE Cloud Service Mesh.