Auswahlmöglichkeiten für Clusterkonfiguration

---

Auf dieser Seite werden die wichtigsten Optionen für die Clusterkonfiguration erläutert, die Sie beim Erstellen eines Clusters in Google Kubernetes Engine (GKE) haben, unabhängig davon, ob Sie dieTrusted Cloud Console, die Google Cloud CLI oder Terraform verwenden. Mit diesen Optionen können Sie eine Vielzahl von Clusterattributen und ‑verhalten an Ihre Anforderungen anpassen, z. B. ob der Cluster über öffentliche Netzwerke zugänglich ist und wie er Versionsupgrades erhalten soll.

Viele der in diesem Leitfaden beschriebenen Optionen können nach dem Erstellen eines Clusters nicht mehr geändert werden. Dazu gehören Entscheidungen, die sich auf die Verfügbarkeit und das Netzwerk eines Clusters auswirken. Wenn Sie diese Optionen ändern müssen, müssen Sie einen neuen Cluster erstellen und den Traffic dann dorthin migrieren. Das kann zu Unterbrechungen führen.

Best Practice:

Da viele Clusterkonfigurationsoptionen nach dem Erstellen des Clusters nicht mehr geändert werden können, sollten Sie die Clusterkonfiguration mit den Administratoren und Architekten, Cloud-Architekten, Netzwerkadministratoren oder einem anderen Team Ihrer Organisation planen und entwerfen, das für die Definition, Implementierung und Wartung der GKE- undTrusted Cloud by S3NS -Architektur verantwortlich ist.

Diese Seite richtet sich an Administratoren und Architekten, die IT-Lösungen und Systemarchitekturen gemäß einer Unternehmensstrategie definieren. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Trusted Cloud by S3NS -Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.

Bevor Sie diese Seite lesen, sollten Sie sich mit den folgenden Konzepten sowie mit grundlegenden Kubernetes-Konzepten vertraut machen:

• GKE – Übersicht
• GKE-Betriebsmodi
• GKE-Editionen
• Cluster-Lebenszyklus

Ebene der Clusterverwaltung

Bevor wir über Clusteroptionen sprechen können, müssen Sie wissen, wie viel Flexibilität, Verantwortung und Kontrolle Sie für Ihren Cluster benötigen. Die gewünschte Kontrollebene bestimmt den Betriebsmodus, der in GKE verwendet werden muss, und die Clusterkonfigurationsoptionen, die Sie vornehmen müssen.

Wenn Sie einen Cluster in GKE erstellen, verwenden Sie einen der folgenden Betriebsmodi:

• Autopilot (empfohlen): Stellt eine vollständig bereitgestellte und verwaltete Clusterkonfiguration bereit. Autopilot-Cluster sind mit einer optimierten Cluster-Konfiguration vorkonfiguriert, die für Produktionsarbeitslasten bereit ist.

• Standard: Bietet erweiterte Konfigurationsflexibilität für die zugrunde liegende Infrastruktur des Clusters. Für Cluster, die im Standardmodus erstellt wurden, legen Sie die Konfiguration fest, die für Ihre Produktionsarbeitslasten erforderlich ist.

Weitere Informationen zu diesen Modi und zu Autopilot finden Sie unter GKE-Betriebsmodi und in der Autopilot-Übersicht.

Einen detaillierten direkten Vergleich der beiden Modi finden Sie unter GKE Standard und Autopilot vergleichen.

Auswahlmöglichkeiten für Clusterkonfiguration

Nachdem Sie einen Betriebsmodus ausgewählt haben, wählen Sie die Konfiguration aus, die Sie für Ihren Cluster benötigen. Da Autopilot-Cluster stärker von Trusted Cloud by S3NS verwaltet und konfiguriert werden als Standardcluster, sind weniger Konfigurationsoptionen verfügbar.

Konfigurationsoptionen für alle Cluster fallen in die folgenden Kategorien:

• Name und andere Metadaten: Jeder Cluster muss einen eindeutigen Namen haben, der innerhalb des Projekts eindeutig ist. Optional können Sie auch eine Clusterbeschreibung und Labels hinzufügen.
• Verfügbarkeit und Skalierbarkeit: Geben Sie an, wo die Steuerungsebene und die Knoten des Clusters ausgeführt werden sollen und ob Sie mehrere Steuerungsebenenreplikate benötigen. Alle Autopilot-Cluster sind regional. Das bedeutet, dass sie mehrere Steuerungsebenen in mehreren Computing-Zonen in einer Trusted Cloud by S3NSRegion haben.
• Flottenmitgliedschaft: Wählen Sie aus, ob Ihr Cluster Mitglied einer Flotte sein soll.
• Netzwerk: Netzwerkoptionen, einschließlich des VPC-Netzwerks (Virtual Private Cloud) und des Subnetzes, in dem sich der Cluster befindet, und ob Sie möchten, dass Ihr Cluster über öffentliche Netzwerke zugänglich ist.
• Versions- und Upgrademanagement: Verwenden Sie Release-Versionen, um beim Aktualisieren der Software dieses Clusters das gewünschte Verhältnis zwischen neuen Funktionen und Stabilität auszuwählen. Legen Sie Wartungsfenster und -ausschlüsse fest, um zu bestimmen, wann Upgrades stattfinden können und wann nicht.
• Sicherheit: Dazu gehört, ob der Cluster die Workload Identity-Föderation für GKE verwendet und welches Dienstkonto von den Knoten des Clusters zur Authentifizierung beiTrusted Cloud by S3NSverwendet wird.
• Clusterfunktionen: Aktivieren und konfigurieren Sie zusätzliche GKE- undTrusted Cloud by S3NS -Funktionen für diesen Cluster, einschließlich Sicherungen und Beobachtbarkeit. Im Standardmodus können Sie auch kurzlebige Alphacluster erstellen, um Alpha-Kubernetes-Features auszuprobieren.

Zusätzlich zu diesen Optionen sind für Standard-Cluster auch Optionen in der folgenden Kategorie verfügbar:

• Knotenpools: Geben Sie Details zu den Knoten Ihres Clusters an, einschließlich Knotenpools, Knotenbetriebssystem und Knotengröße.

In den folgenden Abschnitten werden einige dieser Kategorien genauer betrachtet, insbesondere diejenigen mit Optionen, bei denen Sie die Einstellung nach dem Erstellen des Clusters nicht mehr ändern können. Eine vollständige Liste der Konfigurationsoptionen finden Sie in der Konfigurationsreferenz.

In der folgenden Tabelle werden die verfügbaren Optionen in einigen wichtigen Bereichen für Autopilot- und Standardcluster verglichen:

Clusterauswahl	Modus
	Autopilot	Standard
Verfügbarkeitstyp	Regional	Regional oder Zonal
Release-Version	Rapid, Regelmäßig oder Stabil	Beliebiger Channel
Clusterversionen	Standard oder eine andere verfügbare Version	Standard oder eine andere verfügbare Version
Netzwerk-Routing	VPC nativ	VPC-nativ oder Routenbasiert
Netzwerkisolation	Anpassbar	Anpassbar
Kubernetes-Features	Produktion	Produktion oder Alpha

Clusterverfügbarkeit

Mit GKE können Sie einen Cluster erstellen, der auf die Verfügbarkeitsanforderungen Ihrer Arbeitslast und Ihres Budgets zugeschnitten ist. Sie können zwischen regionalen Clustern mit mehreren Steuerungsebenenreplikaten in mehreren Computing-Zonen in einer Trusted Cloud by S3NS Region oder zonalen Clustern mit einer einzelnen Steuerungsebene in einer einzelnen Zone wählen. Autopilot-Cluster sind immer regional.

Informationen zur Auswahl des zu erstellenden Clustertyps im Standardmodus finden Sie unter Regionale oder zonale Steuerungsebene auswählen.

Diese Einstellungen können nach dem Erstellen des Clusters nicht mehr aktualisiert werden: Ein zonaler Cluster kann nicht in einen regionalen Cluster umgewandelt werden und umgekehrt.

Best Practice:

Verwenden Sie für Produktionsarbeitslasten regionale Cluster, da sie in der Regel eine höhere Verfügbarkeit als zonale Cluster bieten. Verwenden Sie für Entwicklungsumgebungen regionale Cluster mit zonalen Knotenpools. Ein Cluster mit einer regionalen Steuerungsebene und zonalen Knotenpools kostet dasselbe wie ein zonaler Cluster. Weitere Informationen zu regionsspezifischen Aspekten finden Sie unter Geografie und Regionen.

Regionale Cluster

Ein regionaler Cluster hat mehrere Replikate der Steuerungsebene, die in mehreren Zonen innerhalb der von Ihnen angegebenen Trusted Cloud by S3NS Region ausgeführt werden. Sie müssen immer eine Region angeben, wenn Sie einen Autopilot- oder einen anderen regionalen Cluster erstellen.

Nur bei regionalen Standardclustern können Sie auch auswählen, in welchen Zonen die Knoten des Clusters ausgeführt werden. Knoten in einem regionalen Cluster können je nach konfigurierten Knotenstandorten in mehreren Zonen oder einer einzelnen Zone ausgeführt werden. Standardmäßig repliziert GKE jeden Knotenpool in drei Zonen der Region der Steuerungsebene. Wenn Sie einen regionalen Standardcluster erstellen oder einen neuen Knotenpool hinzufügen, können Sie die Standardkonfiguration ändern und selbst Zonen festlegen, in denen die Knoten des Clusters ausgeführt werden sollen. Alle Zonen müssen sich in derselben Region wie die Steuerungsebene befinden.

Führen Sie Produktionsarbeitslasten mit regionalen Clustern aus, da sie eine höhere Verfügbarkeit als zonale Cluster bieten.

• Informationen zum Erstellen eines regionalen Standardclusters finden Sie unter Regionalen Cluster erstellen.
• Informationen zum Erstellen eines regionalen Autopilot-Clusters finden Sie unter Autopilot-Cluster erstellen.

Die Region eines regionalen Clusters kann nach dem Erstellen des Clusters nicht mehr geändert werden.

Zonale Cluster

Zonale Cluster haben eine einzige Steuerungsebene in einer einzelnen Zone. Arbeitslasten werden auch während eines Clusterupgrades oder eines Ausfalls der Zone, in der die Steuerungsebene ausgeführt wird, weiter ausgeführt. Der Cluster, seine Knoten und seine Arbeitslasten können jedoch erst konfiguriert werden, wenn die Steuerungsebene verfügbar ist. Je nach Verfügbarkeitsanforderungen für Ihre Arbeitslast können Sie die Knoten für den zonalen Cluster in einer einzigen Zone oder in mehreren Zonen verteilen.

Informationen zum Erstellen eines zonalen Clusters finden Sie unter Zonalen Cluster erstellen.

Position und Verteilung der Knoten

Unabhängig davon, ob Sie regionale oder zonale Cluster verwenden, können Sie den Standort und die Verteilung Ihrer Knoten über Zonen hinweg genau bestimmen. Sie können die Standardzonen für alle zukünftigen Knotenpools konfigurieren sowie die spezifischen Zonen für Knoten in vorhandenen Knotenpools zuweisen oder ändern.

Einzelzonencluster

In einem Einzelzonencluster, der ein regionaler oder zonenbasierter Cluster sein kann, werden Arbeitslasten auf Knoten ausgeführt, die sich nur in einer Zone befinden. Wenn es in dieser Zone zu einem Ausfall kommt, sind alle Arbeitslasten nicht mehr verfügbar.

Zonale Cluster werden standardmäßig als Cluster mit einer einzelnen Zone erstellt. Sie können diese Konfiguration jedoch in Cluster mit mehreren Zonen ändern.

Multizonale Cluster

Ein multizonaler Cluster, der ein regionaler oder zonaler Cluster sein kann, erhöht die Verfügbarkeit von Arbeitslasten, indem Knoten auf mehrere Zonen innerhalb einer einzelnen Region verteilt werden. So können Sie Arbeitslasten in mehreren Zonen in einer Region ausführen. Wenn Sie eine Arbeitslast in mehreren Zonen ausführen und ein zonaler Ausfall auftritt, wird die Arbeitslast in dieser Zone unterbrochen, bleibt jedoch in anderen Zonen verfügbar.

Wenn Sie GKE-Knoten auf mehrere Zonen verteilen, können Gebühren für zonenübergreifenden ausgehenden Netzwerktraffic anfallen, wenn Knoten mit Peers kommunizieren müssen, die sich in einer anderen Zone in der Region befinden.

Regionale Cluster werden standardmäßig als multizonale Cluster erstellt. Sie können diese Konfiguration jedoch in Einzelzonencluster ändern.

Clusterstufe

Wie Sie aus den GKE-Versionen wissen, bietet GKE zwei Stufen von Funktionen: eine Standardstufe mit Funktionen, die für alle GKE-Nutzer verfügbar sind, und eine Enterprise-Stufe, die leistungsstarke Funktionen für die Arbeit im großen Maßstab bietet. Viele dieser Funktionen basieren auf der GKE-Flottenverwaltung.

Bei GKE-Clustern auf Trusted Cloud by S3NSwählen Sie aus, ob Sie die zusätzliche Funktionsstufe pro Cluster hinzufügen möchten. Sobald ein Cluster in der GKE Enterprise-Stufe registriert ist, können Sie alle verfügbaren Enterprise-Funktionen damit verwenden. Wenn Sie keine Clusterstufe angeben, wird standardmäßig die Standardstufe verwendet, mit einigen Ausnahmen.

Achten Sie darauf, dass Sie Folgendes berücksichtigen, wenn Sie die Cluster-Stufe auswählen:

• Viele GKE Enterprise-Funktionen erfordern die Mitgliedschaft in einer Flotte. Sie können einen Cluster bei der Clustererstellung oder nach der Erstellung des Clusters bei einer Flotte registrieren. Wenn Sie flottenfähige GKE Enterprise-Funktionen mit einem Cluster verwenden möchten, empfehlen wir, den Cluster bei der Clustererstellung bei einer Flotte zu registrieren, da der Cluster dann Einstellungen auf Flottenebene für Enterprise-Funktionen übernimmt. Weitere Informationen finden Sie unter Flottenmitgliedschaft.
• Sie können die Enterprise-Stufe nur für einen Cluster aktivieren, wenn die GKE Enterprise (Anthos) API im Projekt des Clusters aktiviert ist.

Diese Einstellung kann nach dem Erstellen des Clusters geändert werden.

Weitere Informationen zu den in GKE Enterprise enthaltenen Funktionen, einschließlich der Teilmenge der Funktionen, für die keine Flottenmitgliedschaft erforderlich ist, finden Sie unter GKE Enterprise-Bereitstellungsoptionen.

Flottenmitgliedschaft

Wenn Ihre Organisation mehrere Cluster verwendet, können Sie die Multi-Cluster-Verwaltung vereinfachen. Fügen Sie dafür die Cluster zu einer Flotte hinzu: eine logische Gruppierung von Kubernetes-Clustern. Durch das Erstellen einer Flotte können Sie die Verwaltung von einzelnen Clustern bis hin zu ganzen Clustergruppen optimieren und Flotten-fähige Funktionen wie Multi-Cluster-Ingress, Config Sync und Policy Controller verwenden.

Sie können Cluster zwar jederzeit einer Flotte hinzufügen, aber wenn Sie GKE Enterprise aktiviert haben, empfehlen wir dringend, neue Cluster der Enterprise-Stufe während der Clustererstellung bei einer Flotte zu registrieren. Dies liegt daran, dass diese „in der Flotte geborenen“ Cluster mit Ihren ausgewählten Standardeinstellungen auf Flottenebene für eine Reihe von Unternehmensfunktionen erstellt werden und empfohlene Logs und Messwerte bereits aktiviert sind. Weitere Informationen dazu finden Sie in den folgenden Anleitungen:

• Features auf Flottenebene verwalten
• Standardmäßig aktivierte Logs
• Standardmäßig aktivierte Messwerte

Diese Einstellung kann nach der Clustererstellung aktualisiert werden, um den Cluster zu registrieren oder die Registrierung aufzuheben. Wir empfehlen jedoch nicht, Cluster mit aktiven Arbeitslasten von einer Flotte in eine andere zu verschieben.

Weitere Informationen zum Hinzufügen von Clustern zu Flotten finden Sie unter Flotten erstellen, um die Multi-Cluster-Verwaltung zu vereinfachen.

Netzwerkeinstellungen

Beim Erstellen eines GKE-Cluster können Sie eine Reihe von Netzwerkeinstellungen angeben, darunter das Netzwerk, in dem sich der Cluster befindet, den Netzwerkroutingmodus und ob Ihre Clusterknoten über öffentliche Netzwerke erreichbar sein sollen.

Wenn Sie kein Netzwerkadministrator sind, sollten Sie sich vor dem Erstellen eines produktionsbereiten Clusters mit den Netzwerkspezialisten Ihrer Organisation beraten, da viele dieser Optionen nach der Clustererstellung nicht mehr geändert werden können. Wenn Sie Netzwerkadministrator sind, finden Sie weitere Informationen zum GKE-Netzwerk unter GKE-Netzwerk und Best Practices für Netzwerkoptionen unter Best Practices für GKE-Netzwerke. In diesem Abschnitt wird nur ein Teil unserer möglichen Netzwerkoptionen beschrieben.

Netzwerk und Subnetz

Mit welchen anderen Compute Engine-Ressourcen ein Cluster kommunizieren kann, hängt davon ab, in welchem VPC-Netzwerk (Virtual Private Cloud) er sich befindet. GKE-Cluster werden standardmäßig im Standardnetzwerk Ihres Projekts erstellt. Sie können jedoch ein anderes Netzwerk auswählen, wenn Sie oder Ihr Administrator eines erstellt haben. Falls verfügbar, können Sie angeben, dass Ihr Cluster zu einem bestimmten VPC-Subnetz gehören soll. Andernfalls wird das Standardsubnetz verwendet. Optional können Sie auch angeben, dass Sie einen bestimmten IP-Adressbereich innerhalb dieses Subnetzes für Ihre Pods und Dienste verwenden möchten.

Diese Einstellungen können nach dem Erstellen des Clusters nicht mehr aktualisiert werden.

Auswahl der Netzwerkisolation

Sie können die Netzwerkisolation in Ihrem Cluster anpassen, indem Sie die folgenden beiden Aspekte berücksichtigen:

• Zugriff auf die Steuerungsebene: Standardmäßig sind sowohl der interne als auch der externe Endpunkt der Steuerungsebene aktiviert und der DNS-basierte Endpunkt ist deaktiviert. Sie können zwischen diesen Optionen auswählen:

  • Deaktivieren Sie sowohl den externen als auch den internen Endpunkt und verwenden Sie nur den DNS-Endpunkt.
  • Deaktivieren Sie den externen Endpunkt nur, um den Zugriff auf externe Clients zu verhindern.
  • Aktivieren Sie autorisierte Netzwerke, um zu steuern, welche IP-Adressen die Endpunkte der Steuerungsebene erreichen.

• Konfiguration des Clusternetzwerks: Sie können private Knoten in Ihrem Cluster aktivieren, um Arbeitslasten vollständig von öffentlichen Netzwerken zu isolieren. Sie können private Knoten für ganze Cluster oder auf Knotenpool- (für Standard) oder Arbeitslast-Ebene (für Autopilot) aktivieren. Wenn Sie private Knoten auf Knotenpool- oder Arbeitslast-Ebene aktivieren, wird jede Knotenkonfiguration auf Clusterebene überschrieben.

Diese Einstellungen können nach dem Erstellen des Clusters geändert werden.

Weitere Informationen zur Netzwerkisolation finden Sie unter Netzwerkisolation anpassen und Netzwerkisolation anpassen.

Best Practice:

Verwenden Sie Cloud NAT, um GKE-Pods Zugriff auf Ressourcen mit öffentlichen IP-Adressen zu gewähren. Cloud NAT verbessert die allgemeine Sicherheitslage des Clusters, da Pods nicht direkt mit dem Internet verbunden sind, aber trotzdem auf Internetressourcen zugreifen können.

VPC-native und routenbasierte Cluster

In GKE lassen sich Cluster anhand der Methode unterscheiden, mit der sie Traffic von einem Pod zu einem anderen weiterleiten. Ein Cluster, der Alias-IP-Adressen verwendet, wird als VPC-nativer Cluster bezeichnet. Ein Cluster, der Trusted Cloud by S3NS routes verwendet, wird als routenbasierter Cluster bezeichnet.

Standardmäßig verwenden alle neuen GKE-Cluster VPC-natives Routing. Das ist die empfohlene Option. Sie können diese Einstellung beim Erstellen des Clusters ändern, um einen routenbasierten Cluster nur im Standardmodus zu erstellen. Diese Einstellung kann nach dem Erstellen des Clusters nicht mehr aktualisiert werden.

Weitere Informationen zu VPC-nativen Clustern und ihren Vorteilen sowie zu besonderen Anforderungen finden Sie unter VPC-native Cluster.

Best Practice:

Verwenden Sie den VPC-nativen Netzwerkmodus für Ihre Cluster. Dies ist die Standardeinstellung für Autopilot-Cluster.

Versionen und Upgrades

Mit Release-Versionen wählt GKE Softwareversionen für einen Cluster aus, die das von Ihnen gewählte Gleichgewicht zwischen Funktionsverfügbarkeit und Stabilität bieten. Wenn Sie einen Cluster erstellen, können Sie die gewünschte Release-Version auswählen. Neue Cluster (sowohl Autopilot- als auch Standard-Cluster) werden standardmäßig in der Release-Version „Regular“ registriert. Sie können jedoch bei der Clustererstellung bei Bedarf eine bestimmte Version auswählen.

Autopilot-Cluster verwenden immer Release-Versionen. Für Standardcluster werden standardmäßig Release-Versionen verwendet. Sie können jedoch auch wählen, Ihren Cluster nicht in einer Release-Version zu registrieren. Wir empfehlen dies jedoch nicht, da Sie mit dieser Einstellung nur eingeschränkten Zugriff auf Clusterfunktionen haben.

GKE führt im Laufe der Zeit für alle Cluster automatisch Upgrades durch, unabhängig von der Release-Version-Registrierung. GKE aktualisiert die Steuerungsebene des Clusters und seine Knoten automatisch, wenn neue Versionen in dieser Release-Version verfügbar werden. Sie können Timing und Umfang von Upgrades mit Wartungsfenstern und -ausschlüssen steuern.

Sie können den Release-Channel eines Clusters jederzeit ändern.

Informationen zu anstehenden automatischen Upgrades finden Sie in den GKE-Versionshinweisen.

Best Practice:

Wählen Sie einen Release-Version für GKE aus, um Versionen für Ihren Cluster mit dem von Ihnen gewünschten Verhältnis zwischen Featureverfügbarkeit und Stabilität auszuwählen. Mit Wartungsfenstern und ‑ausschlüssen können Sie Timing und Umfang der automatischen Upgrades steuern.

Alphafunktionen (nur Standardcluster)

Neue Funktionen in Kubernetes werden abhängig von ihrem Entwicklungsstatus als Alpha, Beta oder Stabil bezeichnet. In den meisten Fällen sind Kubernetes-Funktionen, die als Beta oder Stabil aufgeführt sind, in GKE-Clustern enthalten.

Wenn Sie mit sehr neuen Funktionen experimentieren möchten, die noch nicht produktionsreif sind, sind Alphafunktionen in speziellen GKE-Alphaclustern verfügbar. In einem Alphacluster sind alle Kubernetes Alpha APIs (manchmal auch als Feature-Gates bezeichnet) aktiviert. Sie können Alphacluster für das frühe Testen und Validieren von Kubernetes-Funktionen verwenden. Alphacluster werden für Produktionsarbeitslasten nicht unterstützt, können nicht geupgradet oder zu Release-Versionen hinzugefügt werden und laufen innerhalb von 30 Tagen ab.

Alphafunktionen sind für Autopilot-Cluster nicht verfügbar.

Informationen zum Erstellen eines Alphaclusters finden Sie unter Alphacluster erstellen.

Sicherheitseinstellungen

GKE bietet eine Reihe von Sicherheitseinstellungen, die Sie beim Erstellen von Clustern angeben können. Dazu gehören Verschlüsselungseinstellungen, Sicherheitsfunktionen wie Binärautorisierung, das Dienstkonto, das Sie für die Knoten des Clusters verwenden möchten (im nächsten Abschnitt näher erläutert), und ob Ihr Cluster Workload Identity Federation for GKE verwendet.

Wie bei anderen Einstellungen sollten Sie sich mit Experten in Ihrem Unternehmen, in diesem Fall den Sicherheitsspezialisten, beraten, bevor Sie einen produktionsbereiten Cluster erstellen. Weitere Informationen zur GKE-Sicherheit finden Sie in der Sicherheitsübersicht und unter Sicherheit Ihres Clusters erhöhen.

Dienstkonto für Knoten

GKE verwendet IAM-Dienstkonten, die an Ihre Knoten angehängt sind, um Systemaufgaben wie Logging und Monitoring auszuführen. Diese Knoten-Dienstkonten müssen in Ihrem Projekt mindestens die Rolle Kubernetes Engine Default Node Service Account (roles/container.defaultNodeServiceAccount) haben. Standardmäßig verwendet GKE das Compute Engine-Standarddienstkonto, das automatisch in Ihrem Projekt erstellt wird, als Knotendienstkonto.

Wenn Ihre Organisation die Einschränkung der Organisationsrichtlinie iam.automaticIamGrantsForDefaultServiceAccounts erzwingt, erhält das Compute Engine-Standarddienstkonto in Ihrem Projekt möglicherweise nicht automatisch die erforderlichen Berechtigungen für GKE.

Wenn Sie das Compute Engine-Standarddienstkonto für andere Funktionen in Ihrem Projekt oder Ihrer Organisation verwenden, hat das Dienstkonto möglicherweise mehr Berechtigungen als für GKE erforderlich. Dies kann zu Sicherheitsrisiken führen.

Sie können das Dienstkonto für Autopilot-Cluster oder für Knotenpools im Standardmodus nach der Erstellung nicht mehr ändern.

Knotenpooleinstellungen (nur Standardcluster)

Wie Sie in der Übersicht zur Clusterverwaltung und den GKE-Betriebsmodi nachlesen können, müssen Sie sich bei Verwendung von Autopilot für Ihre Cluster nicht um die Knotenkonfiguration kümmern, da GKE Ihre Knoten für Sie konfiguriert. Knoten in Autopilot-Clustern werden alle vollständig von GKE verwaltet und verwenden alle dasselbe Knotenbetriebssystem.

Wenn Sie einen Standard-Cluster erstellen, können Sie beim Erstellen des Clusters eine Reihe von Knotenoptionen angeben, darunter:

• Name, Anzahl, Größe und Standort der Knotenpools, die Sie verwenden möchten. Knotenpools sind Gruppen von Knoten in Ihrem Cluster, die eine gemeinsame Konfiguration haben.
• Das Knotenbetriebssystem, das Sie für neue Knoten verwenden möchten.
• Gibt an, ob Sie sitzungsspezifische Spot-VMs für Knoten verwenden möchten.
• Der Compute Engine-Maschinentyp, den Sie für Knoten verwenden möchten.
• Das Dienstkonto, das Sie für Knoten verwenden möchten, wie unter Sicherheitseinstellungen beschrieben.

Einige Einstellungen für Knotenpools eines Clusters können nach der Clustererstellung geändert werden. Für alle Standardcluster ist jedoch mindestens ein Knotenpool erforderlich. Wenn Sie beim Erstellen eines Standardclusters keine Anzahl von Knoten und keinen Maschinentyp angeben, besteht der Standardknotenpool aus drei Knoten in jeder Zone des Clusters mit dem Standard-Knoten-Image cos_containerd und einem Allzweck-Maschinentyp.

Weitere Informationen zur Konfiguration von Knotenpools finden Sie unter Knotenpools und Knotenpools hinzufügen und verwalten.

Konfigurationsreferenz

Eine vollständige Liste der möglichen Konfigurationsoptionen finden Sie in den folgenden Referenzanleitungen:

• gcloud container clusters create-auto: Google Cloud CLI-Referenz für Autopilot-Cluster
• gcloud container clusters create: Google Cloud CLI-Referenz für Standard-Cluster
• google_container_cluster: Terraform-Referenz

Nächste Schritte

• Weitere Informationen zur Clusterarchitektur in GKE
• Einen direkten Vergleich von Standard- und Autopilot-Clustern finden Sie unter GKE Standard und Autopilot vergleichen.
• Cluster erstellen:
  • Autopilot-Cluster erstellen
  • Standard-Zonencluster erstellen
  • Regionalen Standardcluster erstellen