הגדרת אשכולות עם VPC משותף

המסוף

1. נכנסים לדף Home במסוף Cloud de Confiance .

   חזרה לדף הבית

2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט שבחרתם להיות הפרויקט המארח.

3. בקטע Project info (פרטי הפרויקט) אפשר לראות את שם הפרויקט, מזהה הפרויקט ומספר הפרויקט. כדאי לרשום את המזהה והמספר כדי להשתמש בהם בהמשך.

4. מבצעים את אותן פעולות לכל אחד מהפרויקטים שבחרתם כפרויקטים של שירות.

gcloud

מריצים את הפקודה הבאה כדי לראות את הפרויקטים:

gcloud projects list

בפלט מוצגים השמות, המזהים והמספרים של הפרויקטים. רושמים את המזהה והמספר כדי להשתמש בהם בהמשך:

PROJECT_ID        NAME        PROJECT_NUMBER
host-123          host        1027xxxxxxxx
srv-1-456         srv-1       4964xxxxxxxx
srv-2-789         srv-2       4559xxxxxxxx

המסוף

1. נכנסים לדף APIs & Services במסוף Cloud de Confiance .

   כניסה אל APIs & Services

2. בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר כפרויקט המארח.

3. אם Kubernetes Engine API מופיע ברשימת ממשקי ה-API, הוא כבר מופעל ואין צורך לעשות דבר. אם הוא לא מופיע ברשימה, לוחצים על Enable APIs and Services. חיפוש של Kubernetes Engine API. לוחצים על הכרטיס Kubernetes Engine API ואז על Enable.

4. חוזרים על השלבים האלה לכל פרויקט שבחרתם כפרויקט שירות. יכול להיות שיעבור קצת זמן עד להשלמת כל פעולה.

gcloud

מפעילים את GKE API בשלושת הפרויקטים. יכול להיות שיעבור קצת זמן עד להשלמת כל פעולה:

gcloud services enable container.googleapis.com --project HOST_PROJECT_ID
gcloud services enable container.googleapis.com --project SERVICE_PROJECT_1_ID
gcloud services enable container.googleapis.com --project SERVICE_PROJECT_2_ID

המסוף

1. נכנסים לדף VPC networks במסוף Cloud de Confiance .

   מעבר לרשתות VPC

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. לוחצים על add_box יצירת רשת VPC.

4. בשדה Name (שם), מזינים shared-net.

5. בקטע Subnet creation mode, בוחרים באפשרות Custom.

הוספת tier-1

1. בקטע Subnets בתיבה New subnet, בשדה Name, מזינים tier-1.
2. בשדה Region, בוחרים אזור.
3. בקטע IP stack type, בוחרים באפשרות IPv4 (single-stack).
4. בקטע טווח IPv4, מזינים 10.0.4.0/22 כטווח הכתובות הראשי של רשת המשנה.

5. לוחצים על הוספת טווח משני של כתובות IPv4.

   • בשדה שם טווח תת-הרשת, מזינים tier-1-services.
   • בשדה Secondary IPv4 range, מזינים 10.0.32.0/20.

6. לוחצים על סיום.

7. לוחצים על הוספת טווח משני של כתובות IPv4.

   • בשדה שם טווח תת-הרשת, מזינים tier-1-pods.
   • בשדה Secondary IPv4 range, מזינים 10.4.0.0/14.

8. לוחצים על סיום.

הוספת tier-2

1. לוחצים על הוספת רשת משנה.
2. בשדה Name (שם), מזינים tier-2.
3. בשדה Region, בוחרים את אותו אזור שבחרתם עבור רשת המשנה הקודמת.
4. בקטע טווח IPv4, מזינים 172.16.4.0/22 כטווח הכתובות הראשי של רשת המשנה.

5. לוחצים על הוספת טווח משני של כתובות IPv4.

   • בשדה שם טווח תת-הרשת, מזינים tier-2-services.
   • בשדה Secondary IPv4 range, מזינים 172.16.16.0/20.

6. לוחצים על סיום.

7. לוחצים על הוספת טווח משני של כתובות IPv4.

   • בשדה שם טווח תת-הרשת, מזינים tier-2-pods.
   • בשדה Secondary IPv4 range, מזינים 172.20.0.0/14.

8. לוחצים על סיום.

9. גוללים לחלק התחתון של הדף ולוחצים על יצירה.

gcloud

בפרויקט המארח, יוצרים רשת בשם shared-net:

gcloud compute networks create shared-net \
    --subnet-mode custom \
    --project HOST_PROJECT_ID

ברשת החדשה, יוצרים תת-רשת בשם tier-1:

gcloud compute networks subnets create tier-1 \
    --project HOST_PROJECT_ID \
    --network shared-net \
    --range 10.0.4.0/22 \
    --region COMPUTE_REGION \
    --secondary-range tier-1-services=10.0.32.0/20,tier-1-pods=10.4.0.0/14

יוצרים עוד תת-רשת בשם tier-2:

gcloud compute networks subnets create tier-2 \
    --project HOST_PROJECT_ID \
    --network shared-net \
    --range 172.16.4.0/22 \
    --region COMPUTE_REGION \
    --secondary-range tier-2-services=172.16.16.0/20,tier-2-pods=172.20.0.0/14

מחליפים את COMPUTE_REGION באזור של Compute Engine.

המסוף

1. נכנסים לדף VPC משותף במסוף Cloud de Confiance .

   מעבר ל-VPC משותף

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. לוחצים על הגדרת VPC משותף. מוצג המסך הפעלת פרויקט מארח.

4. לוחצים על הפעלה והמשך. מוצג הקטע Attach service projects and select principals (צירוף פרויקטים של שירות ובחירת גורמים ראשיים).

5. בקטע Kubernetes Engine access (גישה ל-Kubernetes Engine), בוחרים באפשרות Enabled (מופעל).

6. בקטע Select projects to attach (בחירת פרויקטים לצירוף), לוחצים על add_boxAdd item (הוספת פריט).

7. בשדה Select project, לוחצים על Select ובוחרים את פרויקט השירות הראשון.

8. לוחצים שוב על add_box Add item (הוספת פריט) ובוחרים את פרויקט השירות השני.

9. לוחצים על Continue. יופיע הקטע הענקת גישה.

10. בקטע מצב גישה, בוחרים באפשרות גישה לרשת משנה מסוימת.

11. בקטע Subnets with individual subnet access, גוללים ברשימה ובוחרים באפשרויות tier-1 ו-tier-2.

12. לוחצים על Save. יוצג דף חדש.

13. בוחרים באפשרות הצגת רשתות משנה שיש להן מדיניות IAM נפרדת בלבד.

הסרה של חשבונות שירות מ-tier-1

1. בקטע גישה לרשת משנה ספציפית, בוחרים באפשרות רמה 1 ולוחצים על הצגת חלונית ההרשאות.
2. בחלונית ההרשאות, בקטע תפקיד/גורם ראשי, מרחיבים את משתמש ברשת Compute.
3. חיפוש של SERVICE_PROJECT_2_NUM.
4. מוחקים את כל חשבונות השירות ששייכים לפרויקט השירות השני. כלומר, מוחקים את חשבונות השירות שמכילים את SERVICE_PROJECT_2_NUM.

5. מוודאים שחשבונות השירות הבאים של פרויקט השירות הראשון מופיעים ברשימה עם התפקיד Compute Network User:

   • service-SERVICE_PROJECT_1_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com
   • SERVICE_PROJECT_1_NUM@cloudservices.s3ns-system.iam.gserviceaccount.com
   • SERVICE_PROJECT_1_NUM-compute@developer.s3ns.iam.gserviceaccount.com

   אם חשבון שירות לא מופיע ברשימה, צריך להוסיף אותו באופן הבא:

   1. לוחצים על add_box Add Principal (הוספת גורם ראשי).
   2. בשדה New principals, מזינים את השם של חשבון השירות.
   3. בקטע הקצאת תפקידים, בוחרים באפשרות משתמש ברשת מחשוב.
   4. לוחצים על Save.

6. בקטע Individual subnet access [גישה לרשתות משנה נפרדות], מבטלים את הסימון של התיבה tier-1 [רמה 1].

הסרה של חשבונות שירות מ-tier-2

1. בקטע גישה לרשתות משנה ספציפיות, בוחרים באפשרות tier-2.
2. בחלונית ההרשאות, בקטע תפקיד/גורם ראשי, מרחיבים את משתמש ברשת Compute.
3. חיפוש של SERVICE_PROJECT_1_NUM.
4. מוחקים את כל חשבונות השירות ששייכים לפרויקט השירות הראשון. כלומר, מוחקים את כל חשבונות השירות שמכילים את SERVICE_PROJECT_1_NUM.

5. מוודאים שחשבונות השירות הבאים של פרויקט השירות השני מופיעים ברשימה עם התפקיד Compute Network User:

   • service-SERVICE_PROJECT_2_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com
   • SERVICE_PROJECT_2_NUM@cloudservices.s3ns-system.iam.gserviceaccount.com
   • SERVICE_PROJECT_2_NUM-compute@developer.s3ns.iam.gserviceaccount.com

   אם חשבון שירות לא מופיע ברשימה, צריך להוסיף אותו באופן הבא:

   1. לוחצים על add_box Add Principal (הוספת גורם ראשי).
   2. מזינים את השם של חשבון השירות בשדה New principals.
   3. בקטע הקצאת תפקידים, בוחרים באפשרות משתמש ברשת מחשוב.
   4. לוחצים על Save.

gcloud

1. מפעילים VPC משותף בפרויקט המארח. הפקודה שבה משתמשים תלויה בתפקיד האדמין הנדרש שיש לכם.

   אם יש לכם תפקיד אדמין ל-VPC משותף ברמת הארגון:

   gcloud compute shared-vpc enable HOST_PROJECT_ID
   

   אם יש לכם תפקיד אדמין של VPC משותף ברמת התיקייה:

   gcloud beta compute shared-vpc enable HOST_PROJECT_ID
   

2. מצרפים את פרויקט השירות הראשון לפרויקט המארח:

   gcloud compute shared-vpc associated-projects add SERVICE_PROJECT_1_ID \
       --host-project HOST_PROJECT_ID
   

3. מצרפים את פרויקט השירות השני לפרויקט המארח:

   gcloud compute shared-vpc associated-projects add SERVICE_PROJECT_2_ID \
       --host-project HOST_PROJECT_ID
   

4. מקבלים את מדיניות ה-IAM עבור רשת המשנה tier-1:

   gcloud compute networks subnets get-iam-policy tier-1 \
      --project HOST_PROJECT_ID \
      --region COMPUTE_REGION
   

   הפלט מכיל את השדה etag. רושמים את הערך etag.

5. יוצרים קובץ בשם tier-1-policy.yaml עם התוכן הבא:

   bindings:
   - members:
     - serviceAccount:SERVICE_PROJECT_1_NUM@cloudservices.s3ns-system.iam.gserviceaccount.com
     - serviceAccount:service-SERVICE_PROJECT_1_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com
     role: roles/compute.networkUser
   etag: ETAG_STRING
   

   מחליפים את ETAG_STRING בערך etag שרשמתם קודם.

6. מגדירים את מדיניות ה-IAM עבור רשת המשנה tier-1:

   gcloud compute networks subnets set-iam-policy tier-1 \
       tier-1-policy.yaml \
       --project HOST_PROJECT_ID \
       --region COMPUTE_REGION
   

7. מקבלים את מדיניות ה-IAM עבור רשת המשנה tier-2:

   gcloud compute networks subnets get-iam-policy tier-2 \
       --project HOST_PROJECT_ID \
       --region COMPUTE_REGION
   

   הפלט מכיל את השדה etag. רושמים את הערך etag.

8. יוצרים קובץ בשם tier-2-policy.yaml עם התוכן הבא:

   bindings:
   - members:
     - serviceAccount:SERVICE_PROJECT_2_NUM@cloudservices.s3ns-system.iam.gserviceaccount.com
     - serviceAccount:service-SERVICE_PROJECT_2_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com
     role: roles/compute.networkUser
   etag: ETAG_STRING
   

   מחליפים את ETAG_STRING בערך etag שרשמתם קודם.

9. מגדירים את מדיניות ה-IAM עבור רשת המשנה tier-2:

   gcloud compute networks subnets set-iam-policy tier-2 \
       tier-2-policy.yaml \
       --project HOST_PROJECT_ID \
       --region COMPUTE_REGION
   

המסוף

1. נכנסים לדף IAM במסוף Cloud de Confiance .

   כניסה ל-IAM

2. בוחרים את פרויקט המארח.

3. לוחצים על person_add Grant access ומזינים את החשבון הראשי של חשבון השירות של פרויקט השירות ב-GKE,‏ service-SERVICE_PROJECT_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com.

4. בוחרים את התפקיד Compute Security Admin מהרשימה הנפתחת.

5. לוחצים על Save.

gcloud

מקצים לחשבון השירות של GKE בפרויקט השירות את התפקיד Compute Security Admin בפרויקט המארח:

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --member=serviceAccount:service-SERVICE_PROJECT_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com \
    --role=roles/compute.securityAdmin

מחליפים את מה שכתוב בשדות הבאים:

• ‫HOST_PROJECT_ID: מזהה פרויקט המארח של ה-VPC המשותף
• ‫SERVICE_PROJECT_NUM: מזהה פרויקט השירות שמכיל את חשבון השירות של GKE

המסוף

יוצרים תפקיד בהתאמה אישית בפרויקט המארח שכולל את הרשאות ה-IAM שצוינו קודם:

1. נכנסים לדף Roles במסוף Cloud de Confiance .

   לדף Roles

2. מהרשימה הנפתחת בחלק העליון של הדף, בוחרים את פרויקט המארח.

3. לוחצים על Create Role.

4. מזינים את השדות Title, ‏ Description, ‏ ID ו-Role launch stage של התפקיד. אי אפשר לשנות את שם התפקיד אחרי שיוצרים אותו.

5. לוחצים על Add Permissions.

6. מסננים לפי compute.networks ובוחרים את הרשאות ה-IAM שצוינו קודם.

7. אחרי שבוחרים את כל ההרשאות הנדרשות, לוחצים על הוספה.

8. לוחצים על יצירה.

מקצים לחשבון השירות של GKE בפרויקט השירות את התפקיד המותאם אישית החדש שנוצר בפרויקט המארח:

1. נכנסים לדף IAM במסוף Cloud de Confiance .

   כניסה ל-IAM

2. בוחרים את פרויקט המארח.

3. לוחצים על person_add Grant access ומזינים את שם המשתמש (principal) של חשבון השירות של GKE בפרויקט השירות, service-SERVICE_PROJECT_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com.

4. מסננים לפי שם התפקיד החדש בהתאמה אישית ובוחרים אותו.

5. לוחצים על Save.

gcloud

1. יוצרים תפקיד בהתאמה אישית בפרויקט המארח שכולל את הרשאות ה-IAM שצוינו קודם:

   gcloud iam roles create ROLE_ID \
       --title="ROLE_TITLE" \
       --description="ROLE_DESCRIPTION" \
       --stage=LAUNCH_STAGE \
       --permissions=compute.networks.updatePolicy,compute.firewalls.list,compute.firewalls.get,compute.firewalls.create,compute.firewalls.update,compute.firewalls.delete \
       --project=HOST_PROJECT_ID
   

2. מקצים לחשבון השירות של GKE בפרויקט השירות את התפקיד המותאם אישית החדש שנוצר בפרויקט המארח:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
       --member=serviceAccount:service-SERVICE_PROJECT_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com \
       --role=projects/HOST_PROJECT_ID/roles/ROLE_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫ROLE_ID: שם התפקיד, למשל gkeFirewallAdmin
   • ‫ROLE_TITLE: שם קליט לתפקיד, למשל GKE Firewall Admin
   • ‫ROLE_DESCRIPTION: תיאור קצר של התפקיד, למשל GKE service account FW permissions
   • ‫LAUNCH_STAGE: שלב ההשקה של התפקיד במחזור החיים שלו, למשל ALPHA,‏ BETA או GA
   • ‫HOST_PROJECT_ID: מזהה פרויקט המארח של ה-VPC המשותף
   • ‫SERVICE_PROJECT_NUM: מזהה פרויקט השירות שמכיל את חשבון השירות של GKE

המסוף

אם השתמשתם במסוף Cloud de Confiance , לא צריך להקצות את התפקיד Host Service Agent User באופן מפורש. הפעולה הזו בוצעה באופן אוטומטי כשחיברתם פרויקטי שירות לפרויקט המארח באמצעות מסוף Cloud de Confiance .

gcloud

1. בפרויקט הראשון, צריך להעניק את התפקיד Host Service Agent User לסוכן השירות של GKE בפרויקט. התפקיד הזה מוקצה בפרויקט המארח:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
       --member serviceAccount:service-SERVICE_PROJECT_1_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com \
       --role roles/container.hostServiceAgentUser
   

2. בפרויקט השני, מקצים את התפקיד Host Service Agent User לסוכן השירות של GKE בפרויקט. התפקיד הזה מוקצה בפרויקט המארח:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
       --member serviceAccount:service-SERVICE_PROJECT_2_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com \
       --role roles/container.hostServiceAgentUser
   

gcloud

gcloud container subnets list-usable \
    --project SERVICE_PROJECT_ID \
    --network-project HOST_PROJECT_ID

מחליפים את SERVICE_PROJECT_ID במזהה פרויקט של פרויקט השירות.

אם לא מציינים את האפשרות --project או --network-project, הפקודה ב-CLI של gcloud משתמשת בפרויקט שמוגדר כברירת מחדל בהגדרות האישיות הפעילות. מכיוון שפרויקט המארח ופרויקט הרשת הם נפרדים, צריך לציין את --project או את --network-project או את שניהם.

הפלט אמור להיראות כך:

PROJECT               REGION    NETWORK     SUBNET  RANGE
example-host-project  us-west1  shared-net  tier-1  10.0.4.0/22
┌──────────────────────┬───────────────┬─────────────────────────────┐
│ SECONDARY_RANGE_NAME │ IP_CIDR_RANGE │            STATUS           │
├──────────────────────┼───────────────┼─────────────────────────────┤
│ tier-1-services      │ 10.0.32.0/20  │ usable for pods or services │
│ tier-1-pods          │ 10.4.0.0/14   │ usable for pods or services │
└──────────────────────┴───────────────┴─────────────────────────────┘
example-host-project  us-west1  shared-net  tier-2  172.16.4.0/22
┌──────────────────────┬────────────────┬─────────────────────────────┐
│ SECONDARY_RANGE_NAME │ IP_CIDR_RANGE  │            STATUS           │
├──────────────────────┼────────────────┼─────────────────────────────┤
│ tier-2-services      │ 172.16.16.0/20 │ usable for pods or services │
│ tier-2-pods          │ 172.20.0.0/14  │ usable for pods or services │
└──────────────────────┴────────────────┴─────────────────────────────┘

הפקודה list-usable מחזירה רשימה ריקה במקרים הבאים:

• כשחשבון השירות של GKE בפרויקט השירות לא מקבל את התפקיד Host Service Agent User בפרויקט המארח.
• אם חשבון השירות של GKE בפרויקט המארח לא קיים (לדוגמה, אם מחקתם את החשבון הזה בטעות).
• כש-GKE API לא מופעל בפרויקט המארח, מה שאומר שחשבון השירות של GKE בפרויקט המארח חסר.

מידע נוסף זמין בקטע פתרון בעיות.

המסוף

1. נכנסים לדף Google Kubernetes Engine במסוף Cloud de Confiance .

   מעבר אל Google Kubernetes Engine

2. בבורר הפרויקטים, בוחרים את פרויקט השירות הראשון.

3. לוחצים על add_box יצירה.

4. בקטע Autopilot או Standard, לוחצים על Configure (הגדרה).

5. בשדה Name (שם), מזינים tier-1-cluster.

6. בתפריט הנפתח Region, בוחרים את אותו אזור שבו השתמשתם עבור רשתות המשנה.

7. בחלונית הניווט, לוחצים על Networking (רשת).

8. בקטע Cluster networking, לוחצים על Networks shared with me.

9. בשדה Network, בוחרים באפשרות shared-net.

10. בקטע Node subnet, בוחרים באפשרות tier-1.

11. בקטע אפשרויות מתקדמות של רשת, בשדה טווח CIDR משני של Pod, בוחרים באפשרות tier-1-pods.

12. בשדה טווח CIDR משני של שירותים, בוחרים באפשרות tier-1-services.

13. לוחצים על יצירה.

אם יצרתם אשכול רגיל, תוכלו לראות שהצמתים של האשכול נמצאים בטווח הכתובות הראשי של רשת המשנה ברמה 1, כך:

1. כשהיצירה תושלם, יוצג הדף Cluster details.
2. לוחצים על הכרטיסייה Nodes.
3. בקטע Node Pools (מאגרי צמתים), לוחצים על default-pool (מאגר ברירת המחדל).
4. בקטע Instance groups (קבוצות של מופעים), לוחצים על השם של קבוצת המופעים שרוצים לבדוק. לדוגמה, gke-tier-1-cluster-default-pool-5c5add1f-grp.
5. ברשימת המופעים, מוודאים שכתובות ה-IP הפנימיות של הצמתים נמצאות בטווח הראשי של רשת המשנה ברמה 1: 10.0.4.0/22.

gcloud

יוצרים אשכול בשם tier-1-cluster בפרויקט השירות הראשון:

gcloud container clusters create-auto tier-1-cluster \
    --project=SERVICE_PROJECT_1_ID \
    --location=CONTROL_PLANE_LOCATION \
    --network=projects/HOST_PROJECT_ID/global/networks/shared-net \
    --subnetwork=projects/HOST_PROJECT_ID/regions/COMPUTE_REGION/subnetworks/tier-1 \
    --cluster-secondary-range-name=tier-1-pods \
    --services-secondary-range-name=tier-1-services

מחליפים את CONTROL_PLANE_LOCATION באזור של Compute Engine במישור הבקרה של האשכול.

בסיום היצירה, מוודאים שצמתי האשכול נמצאים בטווח הראשי של רשת המשנה ברמה 1: 10.0.4.0/22.

gcloud compute instances list --project SERVICE_PROJECT_1_ID

בפלט מוצגות כתובות ה-IP הפנימיות של הצמתים:

NAME                    ZONE           ... INTERNAL_IP
gke-tier-1-cluster-...  ZONE_NAME      ... 10.0.4.2
gke-tier-1-cluster-...  ZONE_NAME      ... 10.0.4.3
gke-tier-1-cluster-...  ZONE_NAME      ... 10.0.4.4

המסוף

1. נכנסים לדף Google Kubernetes Engine במסוף Cloud de Confiance .

   מעבר אל Google Kubernetes Engine

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט השירות השני.

3. לוחצים על add_box יצירה.

4. בקטע 'רגיל' או 'טייס אוטומטי', לוחצים על הגדרה.

5. בשדה Name (שם), מזינים tier-2-cluster.

6. בתפריט הנפתח Region, בוחרים את אותו אזור שבו השתמשתם עבור רשתות המשנה.

7. בחלונית הניווט, לוחצים על Networking (רשת).

8. בקטע Cluster networking, לוחצים על Networks shared with me.

9. בשדה Network, בוחרים באפשרות shared-net.

10. בשדה Node subnet, בוחרים באפשרות tier-2.

11. בקטע אפשרויות מתקדמות של רשת, בשדה טווח CIDR משני של Pod, בוחרים באפשרות tier-2-pods.

12. בשדה Service secondary CIDR range, בוחרים באפשרות tier-2-services.

13. לוחצים על יצירה.

אם יצרתם אשכול Standard, תוכלו לראות שהצמתים של האשכול נמצאים בטווח הכתובות הראשי של רשת המשנה ברמה 2, כך:

1. כשהיצירה תושלם, יוצג הדף Cluster details.
2. לוחצים על הכרטיסייה Nodes.
3. בקטע Node Pools (מאגרי צמתים), לוחצים על default-pool (מאגר ברירת המחדל).
4. בקטע Instance groups (קבוצות של מופעים), לוחצים על השם של קבוצת המופעים שרוצים לבדוק. לדוגמה, gke-tier-2-cluster-default-pool-5c5add1f-grp.
5. ברשימת המופעים, מוודאים שכתובות ה-IP הפנימיות של הצמתים נמצאות בטווח הראשי של רשת המשנה ברמה 2: 172.16.4.0/22.

gcloud

יוצרים אשכול בשם tier-2-cluster בפרויקט השירות השני:

gcloud container clusters create-auto tier-2-cluster \
    --project=SERVICE_PROJECT_2_ID \
    --location=CONTROL_PLANE_LOCATION \
    --network=projects/HOST_PROJECT_ID/global/networks/shared-net \
    --subnetwork=projects/HOST_PROJECT_ID/regions/COMPUTE_REGION/subnetworks/tier-2 \
    --cluster-secondary-range-name=tier-2-pods \
    --services-secondary-range-name=tier-2-services

אחרי שהיצירה מסתיימת, צריך לוודא שצמתי האשכול נמצאים בטווח הראשי של רשת המשנה ברמה 2: 172.16.4.0/22.

gcloud compute instances list --project SERVICE_PROJECT_2_ID

בפלט מוצגות כתובות ה-IP הפנימיות של הצמתים:

NAME                    ZONE           ... INTERNAL_IP
gke-tier-2-cluster-...  ZONE_NAME      ... 172.16.4.2
gke-tier-2-cluster-...  ZONE_NAME      ... 172.16.4.3
gke-tier-2-cluster-...  ZONE_NAME      ... 172.16.4.4

המסוף

1. נכנסים לדף Firewall במסוף Cloud de Confiance .

   כניסה לדף Firewall

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. בתפריט VPC Networking (רשתות VPC), לוחצים על Create Firewall Rule (יצירת כלל לחומת אש).

4. בשדה Name (שם), מזינים my-shared-net-rule.

5. בשדה רשת, בוחרים באפשרות shared-net.

6. בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.

7. בקטע פעולה בהתאמה, בוחרים באפשרות אישור.

8. בקטע יעדים, בוחרים באפשרות כל המופעים ברשת.

9. בשדה מסנן מקור, בוחרים באפשרות טווח כתובות IP.

10. בשדה טווחים של כתובות IP של המקור, מזינים 0.0.0.0/0.

11. בקטע פרוטוקולים ויציאות, בוחרים באפשרות פרוטוקולים ויציאות שצוינו. בתיבה, מזינים tcp:22.

12. לוחצים על יצירה.

gcloud

יוצרים כלל לחומת האש עבור הרשת המשותפת:

gcloud compute firewall-rules create my-shared-net-rule \
    --project HOST_PROJECT_ID \
    --network shared-net \
    --direction INGRESS \
    --allow tcp:22

המסוף

1. נכנסים לדף Google Kubernetes Engine במסוף Cloud de Confiance .

   מעבר אל Google Kubernetes Engine

2. בבורר הפרויקטים, בוחרים את פרויקט השירות הראשון.

3. לוחצים על tier-1-cluster.

4. בדף פרטי האשכול, לוחצים על הכרטיסייה צמתים.

5. בקטע Node Pools (מאגרי צמתים), לוחצים על השם של מאגר הצמתים.

6. בקטע Instance groups (קבוצות של מכונות), לוחצים על השם של קבוצת המכונות. לדוגמה, gke-tier-1-cluster-default-pool-faf87d48-grp.

7. ברשימת המכונות, רושמים את כתובות ה-IP הפנימיות של הצמתים. הכתובות האלה נמצאות בטווח 10.0.4.0/22.

8. באחד מהצמתים, לוחצים על SSH. הפעולה הזו מצליחה כי SSH משתמש ביציאת TCP‏ 22, שמותרת לפי כלל חומת האש.

gcloud

מציגים ברשימה את הצמתים בפרויקט השירות הראשון:

gcloud compute instances list --project SERVICE_PROJECT_1_ID

הפלט כולל את שמות הצמתים באשכול:

NAME                                           ...
gke-tier-1-cluster-default-pool-faf87d48-3mf8  ...
gke-tier-1-cluster-default-pool-faf87d48-q17k  ...
gke-tier-1-cluster-default-pool-faf87d48-x9rk  ...

מתחברים לאחד מהצמתים באמצעות SSH:

gcloud compute ssh NODE_NAME \
    --project SERVICE_PROJECT_1_ID \
    --zone COMPUTE_ZONE

מחליפים את מה שכתוב בשדות הבאים:

• ‫NODE_NAME: השם של אחד מהצמתים.
• ‫COMPUTE_ZONE: השם של אזור Compute Engine בתוך האזור.

המסוף

1. נכנסים לדף Google Kubernetes Engine במסוף Cloud de Confiance .

   מעבר אל Google Kubernetes Engine

2. לוחצים על add_box יצירה.

3. בקטע Autopilot או Standard, לוחצים על Configure (הגדרה).

4. בשדה Name (שם), מזינים cluster-vpc.

5. בחלונית הניווט, לוחצים על Networking (רשת).

6. בקטע Cluster networking (רשת של אשכול), מסמנים את התיבה Enable Private nodes (הפעלת צמתים פרטיים).

7. (אופציונלי ל-Autopilot): מגדירים את טווח כתובות ה-IP של מישור הבקרה ל-172.16.0.16/28.

8. ברשימה הנפתחת רשת, בוחרים את רשת ה-VPC שיצרתם קודם.

9. ברשימה הנפתחת Node subnet, בוחרים את רשת המשנה המשותפת שיצרתם קודם.

10. מגדירים את האשכול לפי הצורך.

11. לוחצים על יצירה.

gcloud

מריצים את הפקודה הבאה כדי ליצור אשכול בשם cluster-vpc ברשת VPC משותפת מוגדרת מראש:

gcloud container clusters create-auto private-cluster-vpc \
    --project=PROJECT_ID \
    --location=CONTROL_PLANE_LOCATION \
    --network=projects/HOST_PROJECT/global/networks/shared-net \
    --subnetwork=SHARED_SUBNETWORK \
    --cluster-secondary-range-name=tier-1-pods \
    --services-secondary-range-name=tier-1-services \
    --enable-private-nodes \
    --master-ipv4-cidr=172.16.0.0/28

המסוף

1. נכנסים לדף Google Kubernetes Engine במסוף Cloud de Confiance .

   מעבר אל Google Kubernetes Engine

2. בבורר הפרויקטים, בוחרים את פרויקט השירות הראשון.

3. בוחרים באפשרות tier-1-cluster ולוחצים על מחיקה.

4. בכלי לבחירת פרויקטים, בוחרים את פרויקט השירות השני.

5. בוחרים באפשרות tier-2-cluster ולוחצים על מחיקה.

gcloud

gcloud container clusters delete tier-1-cluster \
    --project SERVICE_PROJECT_1_ID \
    --location CONTROL_PLANE_LOCATION

gcloud container clusters delete tier-2-cluster \
    --project SERVICE_PROJECT_2_ID \
    --location CONTROL_PLANE_LOCATION

המסוף

1. נכנסים לדף VPC משותף במסוף Cloud de Confiance .

   מעבר ל-VPC משותף

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. לוחצים על השבתת VPC משותף.

4. מזינים את HOST_PROJECT_ID בשדה ולוחצים על השבתה.

gcloud

gcloud compute shared-vpc associated-projects remove SERVICE_PROJECT_1_ID \
    --host-project HOST_PROJECT_ID

gcloud compute shared-vpc associated-projects remove SERVICE_PROJECT_2_ID \
    --host-project HOST_PROJECT_ID

gcloud compute shared-vpc disable HOST_PROJECT_ID

המסוף

1. נכנסים לדף Firewall במסוף Cloud de Confiance .

   כניסה לדף Firewall

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. ברשימת הכללים, בוחרים באפשרויות my-shared-net-rule,‏ my-shared-net-rule-2 ו-my-shared-net-rule-3.

4. לוחצים על Delete.

gcloud

מוחקים את הכללים של חומת האש:

gcloud compute firewall-rules delete \
    my-shared-net-rule \
    my-shared-net-rule-2 \
    my-shared-net-rule-3 \
    --project HOST_PROJECT_ID

המסוף

1. נכנסים לדף VPC networks במסוף Cloud de Confiance .

   מעבר לרשתות VPC

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. ברשימת הרשתות, לוחצים על הקישור shared-net.

4. לוחצים על מחיקת רשת VPC.

gcloud

gcloud compute networks subnets delete tier-1 \
    --project HOST_PROJECT_ID \
    --region COMPUTE_REGION

gcloud compute networks subnets delete tier-2 \
    --project HOST_PROJECT_ID \
    --region COMPUTE_REGION

gcloud compute networks delete shared-net --project HOST_PROJECT_ID

המסוף

1. נכנסים לדף IAM במסוף Cloud de Confiance .

   כניסה לדף IAM

2. בכלי לבחירת פרויקטים, בוחרים את פרויקט המארח.

3. בוחרים באפשרות Include Google-provided role grants.

4. ברשימת החברים, בוחרים את השורה שבה מוצג service-SERVICE_PROJECT_1_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com is granted the Kubernetes Engine Host Service Agent User role.

5. לוחצים על edit עריכת המשתמש הראשי.

6. בקטע Kubernetes Engine Host Service Agent User, לוחצים על הסמל delete כדי להסיר את התפקיד.

7. לוחצים על Save.

8. בוחרים את השורה שבה מוצג service-SERVICE_PROJECT_2_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com is granted the Kubernetes Engine Host Service Agent User role.

9. לוחצים על edit עריכת המשתמש הראשי.

10. בקטע Kubernetes Engine Host Service Agent User, לוחצים על הסמל delete כדי להסיר את התפקיד.

11. לוחצים על Save.

gcloud

1. מסירים את התפקיד Host Service Agent User מחשבון השירות של GKE של פרויקט השירות הראשון:

   gcloud projects remove-iam-policy-binding HOST_PROJECT_ID \
       --member serviceAccount:service-SERVICE_PROJECT_1_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com \
       --role roles/container.hostServiceAgentUser
   

2. מסירים את התפקיד Host Service Agent User מחשבון השירות של GKE בפרויקט השירות השני:

   gcloud projects remove-iam-policy-binding HOST_PROJECT_ID \
       --member serviceAccount:service-SERVICE_PROJECT_2_NUM@container-engine-robot.s3ns-system.iam.gserviceaccount.com \
       --role roles/container.hostServiceAgentUser