יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על אשכולות פרטיים

טייס אוטומטי רגילה

בדף הזה מוסבר איך פועלים אשכולות פרטיים ב-Google Kubernetes Engine‏ (GKE). אפשר גם לקרוא על יצירת אשכולות פרטיים.

בקטריים פרטיים נעשה שימוש בצמתים ללא כתובות IP חיצוניות. המשמעות היא שלקוחות באינטרנט לא יכולים להתחבר לכתובות ה-IP של הצמתים. קלאסטרים פרטיים הם פתרון אידיאלי לעומסי עבודה שדורשים גישה מבוקרת, למשל בגלל תקנות בנושא פרטיות נתונים ואבטחה.

אפשר להשתמש באשכולות פרטיים במצב Standard או במצב Autopilot.

ארכיטקטורה של אשכולות פרטיים

בניגוד לאשכול ציבורי, באשכול פרטי יש נקודת קצה פנימית של רמת הבקרה ונקודת קצה חיצונית של רמת הבקרה.

בתרשים הבא מוצגת סקירה כללית של הארכיטקטורה של אשכול פרטי:

הרכיבים העיקריים של אשכול פרטי הם:

מישור הבקרה: למישור הבקרה יש נקודת קצה פנימית לתקשורת פנימית בין צמתים ונקודת קצה חיצונית. אפשר להשבית את נקודת הקצה החיצונית.
צמתים: הצמתים משתמשים רק בכתובות IP פנימיות, ולכן הם מבודדים מהאינטרנט הציבורי.
רשת VPC: זוהי רשת וירטואלית שבה יוצרים תת-רשתות עם טווחי כתובות IP פנימיות, במיוחד לצמתים ול-Pods של האשכול.
גישה פרטית ל-Google: התכונה הזו מופעלת ברשת המשנה של האשכול ומאפשרת לצמתים עם כתובות IP פנימיות להגיע לממשקי API ולשירותים חיוניים של Cloud de Confiance by S3NS Google בלי שיהיו להם כתובות IP ציבוריות. לדוגמה, נדרשת גישה פרטית ל-Google כדי שאשכולות פרטיים יוכלו לגשת לקובצי אימג' של קונטיינרים מ-Artifact Registry ולשלוח יומנים ל-Cloud Logging. הגישה הפרטית ל-Google מופעלת כברירת מחדל באשכולות פרטיים, למעט באשכולות של VPC משותף, שבהם צריך להפעיל אותה באופן ידני.

מישור הבקרה באשכולות פרטיים

לכל אשכול GKE יש שרת Kubernetes API שמנוהל על ידי מישור הבקרה.

מישור הבקרה פועל במכונה וירטואלית (VM) שנמצאת ברשת VPC בפרויקט שמנוהל על ידי Google. במקרה של אשכול אזורי, יש כמה עותקים משוכפלים של מישור הבקרה, וכל אחד מהם פועל במכונה וירטואלית משלו.

באשכולות פרטיים, רשת ה-VPC של מישור הבקרה מחוברת לרשת ה-VPC של האשכול באמצעות קישור בין רשתות VPC שכנות. רשת ה-VPC שלכם מכילה את צמתי האשכול, ורשת ה-VPC שמנוהלת על ידי Google‏ Cloud de Confianceמכילה את מישור הבקרה של האשכול.

התעבורה בין הצמתים לבין מישור הבקרה מנותבת באופן מלא באמצעות כתובות IP פנימיות. אם אתם משתמשים בקישור בין רשתות VPC שכנות כדי לקשר את רשת ה-VPC של האשכול לרשת שלישית, הרשת השלישית לא יכולה לגשת למשאבים ברשת ה-VPC של מישור הבקרה. הסיבה לכך היא שקישור בין רשתות VPC שכנות תומך רק בתקשורת בין רשתות שכנות שיש ביניהן קישור ישיר, ואי אפשר לקשר את הרשת השלישית לרשת מישור הבקרה. מידע נוסף זמין במאמר בנושא הגבלות על VPC Network Peering.

נקודות קצה באשכולות פרטיים

למישור הבקרה של אשכול פרטי יש נקודת קצה פנימית בנוסף לנקודת קצה חיצונית.

נקודת הקצה הפנימית היא כתובת IP פנימית ברשת ה-VPC של מישור הבקרה. באשכול פרטי, הצמתים תמיד מתקשרים עם נקודת הקצה הפנימית של רמת הבקרה. בהתאם להגדרה, אפשר לנהל את האשכול באמצעות כלים כמו kubectl שמתחברים גם לנקודת הקצה הפרטית. כל מכונה וירטואלית שמשתמשת באותה רשת משנה כמו האשכול הפרטי יכולה גם לגשת לנקודת הקצה הפנימית.

נקודת הקצה החיצונית היא כתובת ה-IP החיצונית של מישור הבקרה. כברירת מחדל, כלים כמו kubectl מתקשרים עם מישור הבקרה בנקודת הקצה החיצונית שלו.

אפשרויות לגישה לנקודות קצה של אשכול

אפשר לשלוט בגישה לנקודות הקצה באמצעות אחת מההגדרות הבאות:

גישה חיצונית לנקודת קצה מושבתת: זו האפשרות המאובטחת ביותר כי היא מונעת גישה למישור הבקרה מכל מקום באינטרנט. זו בחירה טובה אם הגדרתם את הרשת המקומית שלכם להתחבר אלCloud de Confiance באמצעות Cloud Interconnect או Cloud VPN.

אם משביתים את הגישה לנקודת קצה חיצונית, צריך להגדיר רשתות מורשות לנקודת הקצה הפנימית. אם לא תעשו את זה, תוכלו להתחבר לנקודת הקצה הפנימית רק מצמתי אשכול או ממכונות וירטואליות באותה רשת משנה כמו האשכול. בהגדרה הזו, הרשתות המורשות צריכות להיות כתובות IP פנימיות.

חשוב: גם אם משביתים את הגישה לנקודת הקצה החיצונית, Google יכולה להשתמש בנקודת הקצה החיצונית של מישור הבקרה למטרות ניהול של האשכול, כמו תחזוקה מתוזמנת ושדרוגים אוטומטיים של מישור הבקרה.
גישה לנקודת קצה חיצונית מופעלת, רשתות מורשות מופעלות: בהגדרה הזו, הרשתות המורשות חלות על נקודת הקצה החיצונית של מישור הבקרה. זוהי בחירה טובה אם אתם צריכים לנהל את האשכול מרשתות מקור שלא מחוברות לרשת ה-VPC של האשכול באמצעות Cloud Interconnect או Cloud VPN.
הגישה לנקודת קצה חיצונית מופעלת, רשתות מורשות מושבתות: זו ברירת המחדל וגם האפשרות הכי פחות מגבילה. מכיוון שהרשתות המורשות לא מופעלות, אתם יכולים לנהל את האשכול מכל כתובת IP של מקור, כל עוד אתם מבצעים אימות.

שימוש חוזר בקישור בין רשתות VPC שכנות (peering)

באשכולות פרטיים שנוצרו אחרי 15 בינואר 2020 נעשה שימוש בחיבור VPC Network Peering משותף אם האשכולות נמצאים באותוCloud de Confiance אזור או אזור ומשתמשים באותה רשת VPC.

עבור אשכולות אזוריים: האשכול הפרטי הראשון שיוצרים באזור מסוים יוצר חיבור חדש של VPC Network Peering לרשת ה-VPC של מישור הבקרה. אשכולות פרטיים אזוריים נוספים שיוצרים באותו אזור ובאותה רשת VPC משתמשים באותו חיבור קישור.
עבור אשכולות אזוריים: האשכול הפרטי הראשון שיוצרים באזור מסוים יוצר חיבור חדש של קישור בין רשתות שכנות של VPC לרשת ה-VPC של מישור הבקרה. אשכולות פרטיים אזוריים נוספים שאתם יוצרים באותו אזור ובאותה רשת VPC משתמשים באותו חיבור peering.

אשכולות אזוריים ואשכולות של תחום מוגדר משתמשים בחיבורי קישור בין רשתות שכנות (peering) משלהם, גם אם הם נמצאים באותו אזור. לדוגמה:

יוצרים שני אשכולות פרטיים אזוריים או יותר באזור us-east1-b ומגדירים אותם לשימוש באותה רשת VPC. שני האשכולות משתמשים באותו חיבור peering.
יוצרים שני אשכולות פרטיים אזוריים או יותר באזור us-east1 ומגדירים אותם לשימוש באותה רשת VPC כמו האשכולות האזוריים. האשכולות האזוריים האלה משתמשים באותו חיבור של קישור בין רשתות שכנות (peering) של VPC כדי לתקשר ביניהם, אבל הם יצטרכו חיבור שונה של קישור בין רשתות שכנות כדי לתקשר עם האשכולות האזוריים.

כל האשכולות הפרטיים שנוצרו לפני 15 בינואר 2020 משתמשים בחיבור ייחודי של שילוב רשתות VPC. במילים אחרות, האשכולות האלה לא משתמשים באותו חיבור peering עם אשכולות אחרים ברמת האזור או האזור הזמין. כדי להפעיל שימוש חוזר ב-VPC Network Peering באשכולות האלה, אפשר למחוק אשכול וליצור אותו מחדש. שדרוג של אשכול לא גורם לשימוש חוזר בחיבור קיים של VPC Network Peering.

כדי לבדוק אם האשכול הפרטי שלכם משתמש בחיבור משותף של קישור בין רשתות VPC שכנות, אפשר לעיין במאמר בנושא אימות של שימוש חוזר בקישור בין רשתות VPC שכנות.

הגבלות

כל אזור יכול לתמוך ב-75 אשכולות פרטיים לכל היותר אם מופעלת באשכולות האפשרות לשימוש חוזר ב-VPC Network Peering.

לדוגמה, אפשר ליצור עד 75 אשכולות פרטיים אזוריים ב-us-east1-b ועוד 75 אשכולות פרטיים אזוריים ב-us-east1. הדבר נכון גם אם אתם משתמשים באשכולות פרטיים ברשת VPC משותפת.
מספר החיבורים המקסימלי לרשת VPC יחידה הוא 25, כלומר אפשר ליצור אשכולות פרטיים רק באמצעות 25 מיקומים ייחודיים.
שימוש חוזר ב-VPC Network Peering רלוונטי רק לאשכולות באותו מיקום, למשל אשכולות אזוריים באותו אזור או אשכולות אזוריים באותו אזור. אפשר ליצור לכל היותר ארבעה חיבורי VPC Network Peering לכל אזור, אם יוצרים גם אשכולות אזוריים וגם אשכולות בתחום בכל התחומים באותו אזור.
במקרה של אשכולות שנוצרו לפני 15 בינואר 2020, כל רשת VPC יכולה להיות מקושרת לעד 25 רשתות VPC אחרות. כלומר, באשכולות האלה יש מגבלה של עד 25 אשכולות פרטיים לכל רשת (בהנחה שהקישורים בין רשתות שכנות (peering) לא משמשים למטרות אחרות).