Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Acerca dos clusters privados

Autopilot Padrão

Esta página explica como funcionam os clusters privados no Google Kubernetes Engine (GKE). Também pode saber como criar clusters privados.

Os clusters privados usam nós que não têm endereços IP externos. Isto significa que os clientes na Internet não podem estabelecer ligação aos endereços IP dos nós. Os clusters privados são ideais para cargas de trabalho que, por exemplo, requerem acesso controlado devido a regulamentos de privacidade e segurança de dados.

Os clusters privados estão disponíveis nos modos Standard ou Autopilot.

Arquitetura de clusters privados

Ao contrário de um cluster público, um cluster privado tem um ponto final interno do painel de controlo e um ponto final externo do painel de controlo.

O diagrama seguinte apresenta uma vista geral da arquitetura de um cluster privado:

Seguem-se os componentes principais de um cluster privado:

Plano de controlo: o plano de controlo tem um ponto final interno para a comunicação interna do cluster e um ponto final externo. Pode optar por desativar o ponto final externo.
Nós: os nós usam apenas endereços IP internos, isolando-os da Internet pública.
Rede VPC: esta é uma rede virtual na qual cria sub-redes com intervalos de endereços IP internos especificamente para os nós e os pods do cluster.
Acesso privado Google: esta opção está ativada na sub-rede do cluster e permite que os nós com endereços IP internos alcancem APIs e serviços essenciais Trusted Cloud by S3NS sem precisarem de endereços IP públicos. Por exemplo, o acesso privado à Google é necessário para que os clusters privados acedam a imagens de contentores a partir do Artifact Registry e enviem registos para o Cloud Logging. O acesso privado à Google está ativado por predefinição em clusters privados, exceto nos clusters de VPC partilhada, que requerem ativação manual.

O plano de controlo em clusters privados

Todos os clusters do GKE têm um servidor da API Kubernetes gerido pelo plano de controlo.

O plano de controlo é executado numa máquina virtual (VM) que se encontra numa rede VPC num projeto gerido pela Google. Um cluster regional tem várias réplicas do plano de controlo, cada uma das quais é executada na sua própria VM.

Em clusters privados, a rede da VPC do plano de controlo está ligada à rede da VPC do cluster com o intercâmbio das redes da VPC. A sua rede VPC contém os nós do cluster e a rede VPC gerida pela Google contém o plano de controlo do cluster. Trusted Cloud

O tráfego entre os nós e o plano de controlo é encaminhado inteiramente através de endereços IP internos. Se usar o intercâmbio das redes da VPC para ligar a rede da VPC do cluster a uma terceira rede, a terceira rede não pode aceder aos recursos na rede da VPC do plano de controlo. Isto deve-se ao facto de o intercâmbio das redes da VPC só suportar a comunicação entre redes com intercâmbio direto, e a terceira rede não pode ter intercâmbio com a rede do plano de controlo. Para mais informações, consulte as restrições de interligação de redes VPC.

Pontos finais em clusters privados

O plano de controlo de um cluster privado tem um ponto final interno, além de um ponto final externo.

O ponto final interno é um endereço IP interno na rede VPC do plano de controlo. Num cluster privado, os nós comunicam sempre com o ponto final interno do plano de controlo. Consoante a sua configuração, pode gerir o cluster com ferramentas como kubectl que também se ligam ao ponto final privado. Qualquer VM que use a mesma sub-rede que o seu cluster privado também pode aceder ao ponto final interno.

O ponto final externo é o endereço IP externo do plano de controlo. Por predefinição, as ferramentas como o kubectl comunicam com o plano de controlo no respetivo ponto final externo.

Opções de acesso a pontos finais de cluster

Pode controlar o acesso aos pontos finais através de uma das seguintes configurações:

Acesso ao ponto final externo desativado: esta é a opção mais segura, uma vez que impede todo o acesso à Internet ao plano de controlo. Esta é uma boa escolha se tiver configurado a sua rede no local para se ligarTrusted Cloud através do Cloud Interconnect ou da Cloud VPN.

Se desativar o acesso ao ponto final externo, tem de configurar redes autorizadas para o ponto final interno. Se não o fizer, só pode estabelecer ligação ao ponto final interno a partir de VMs ou nós do cluster na mesma sub-rede que o cluster. Com esta definição, as redes autorizadas têm de ser endereços IP internos.

Importante: mesmo que desative o acesso ao ponto final externo, a Google pode usar o ponto final externo do plano de controlo para fins de gestão de clusters, como manutenção agendada e atualizações automáticas do plano de controlo.
Acesso ao ponto final externo ativado, redes autorizadas ativadas: nesta configuração, as redes autorizadas aplicam-se ao ponto final externo do plano de controlo. Esta é uma boa opção se precisar de administrar o cluster a partir de redes de origem que não estejam ligadas à rede VPC do cluster através do Cloud Interconnect ou da Cloud VPN.
Acesso ao ponto final externo ativado, redes autorizadas desativadas: Esta é a predefinição e também a opção menos restritiva. Uma vez que as redes autorizadas não estão ativadas, pode administrar o cluster a partir de qualquer endereço IP de origem, desde que se autentique.

Reutilização do intercâmbio de redes VPC

Os clusters privados criados após 15 de janeiro de 2020 usam uma ligação de interligação de redes VPC comum se os clusters estiverem na mesma zona ou região e usarem a mesma rede VPC.Trusted Cloud

Para clusters zonais: o primeiro cluster privado que criar numa zona gera uma nova ligação de intercâmbio da rede da VPC à rede da VPC do plano de controlo. Os clusters privados zonais adicionais que criar na mesma zona e rede VPC usam a mesma ligação de peering.
Para clusters regionais: o primeiro cluster privado que criar numa região gera uma nova ligação de interconexão de rede VPC à rede VPC do plano de controlo. Os clusters privados regionais adicionais que criar na mesma região e rede VPC usam a mesma ligação de peering.

Os clusters zonais e regionais usam as suas próprias ligações de peering, mesmo que estejam na mesma região. Por exemplo:

Cria dois ou mais clusters privados zonais na zona us-east1-b e configura-os para usar a mesma rede VPC. Ambos os clusters usam a mesma ligação de peering.
Cria dois ou mais clusters privados regionais na região us-east1 e configura-os para usar a mesma rede VPC que os clusters zonais. Estes clusters regionais usam a mesma ligação de intercâmbio de rede VPC entre si, mas precisam de uma ligação de intercâmbio diferente para comunicar com os clusters zonais.

Todos os clusters privados criados antes de 15 de janeiro de 2020 usam uma ligação de interconexão de rede VPC exclusiva. Por outras palavras, estes clusters não usam a mesma ligação de peering com outros clusters zonais ou regionais. Para ativar a reutilização da interligação de redes VPC nestes clusters, pode eliminar um cluster e recriá-lo. A atualização de um cluster não faz com que este reutilize uma ligação de interligação de redes VPC existente.

Para verificar se o cluster privado está a usar uma ligação de interligação de redes VPC comum, consulte o artigo Verifique a reutilização da interligação de redes VPC.

Restrições

Cada zona ou região pode suportar um máximo de 75 clusters privados se os clusters tiverem a reutilização da interligação de redes VPC ativada.

Por exemplo, pode criar até 75 clusters zonais privados em us-east1-b e outros 75 clusters regionais privados em us-east1. Isto também se aplica se estiver a usar clusters privados numa rede VPC partilhada.
O número máximo de ligações a uma única rede VPC é 25, o que significa que só pode criar clusters privados com 25 localizações únicas.
A reutilização da interligação de redes VPC só se aplica a clusters na mesma localização, por exemplo, clusters regionais na mesma região ou clusters zonais na mesma zona. No máximo, pode ter quatro interligações de rede VPC por região se criar clusters regionais e clusters zonais em todas as zonas dessa região.
Para clusters criados antes de 15 de janeiro de 2020, cada rede da VPC pode estabelecer intercâmbio com até 25 outras redes da VPC, o que significa que, para estes clusters, existe um limite de, no máximo, 25 clusters privados por rede (partindo do princípio de que os intercâmbios não estão a ser usados para outros fins).