Cloud de Confiance GKE와 Google Cloud 비교

Google Kubernetes Engine은 컨테이너화된 애플리케이션을 배포, 관리, 확장할 수 있는 관리형 환경입니다. GKE는 Kubernetes 오픈소스 컨테이너 조정 플랫폼을 기반으로 하며 Compute Engine 가상 머신에서 빌드됩니다. GKE는 노드 자동 복구, 부하 분산, 로깅 및 모니터링, 자동 확장, 자동 업그레이드와 같은 기능을 제공합니다. 이 페이지에서는 GKE의 Cloud de Confiance 버전과 Google Cloud 버전 간의 차이점을 설명합니다.

GKE에 관한 자세한 내용은 GKE 개요 및 나머지 GKE 문서를 참조하세요.

추천 섹션에서 기능이 Google Cloud와 다른 경우 권장되는 대안을 비롯해 Cloud de Confiance에서 GKE를 사용하는 방법에 관한 추천과 권장사항을 확인할 수 있습니다.

주요 차이점

GKE의 Cloud de Confiance 버전과 Google Cloud 버전에는 몇 가지 차이점이 있습니다. 몇 가지 주목할 만한 차이점은 다음과 같습니다.

  • GKE 모드: GKE Autopilot 클러스터만 사용할 수 있습니다. GKE Standard 클러스터는 사용할 수 없습니다.
  • 스토리지: Hyperdisk Balanced 스토리지 유형만 사용할 수 있습니다. 다른 스토리지 유형은 사용할 수 없습니다.
  • Compute Engine 가상 머신: C3 및 A3 머신 시리즈만 사용할 수 있습니다. 다른 머신 유형을 사용할 수 없습니다.
  • GPU 및 TPU: GPU는 A3 머신 유형에서만 사용할 수 있습니다. TPU는 사용할 수 없습니다.

차이점의 자세한 목록은 이 섹션의 나머지 부분에서 확인하세요. Google Cloud에 이미 익숙하다면 특히 Cloud de Confiance에서 실행할 애플리케이션을 설계하기 전에 이러한 차이점을 신중하게 검토하는 것이 좋습니다. Cloud de Confiance 및 Google Cloud 간의 일반적인 차이점도 검토하는 것이 좋습니다.

현재 Cloud de Confiance에서 사용할 수 없는 특정 GKE 기능을 사용하려면 Cloud de Confiance 지원팀에 문의하세요. Cloud de Confiance에 새로운 기능이 출시될 때 알림을 받으려면 출시 노트를 구독하세요. 달리 명시되지 않는 한 프리뷰 버전의 기능은 Cloud de Confiance에서 사용할 수 없습니다.

하드웨어 및 OS

작업 모드 GKE Autopilot 클러스터만 사용할 수 있습니다. GKE Standard 클러스터는 사용할 수 없습니다.
Compute Engine 가상 머신 C3 및 A3 머신 시리즈만 사용할 수 있습니다. 다른 머신 유형을 사용할 수 없습니다.
GPU 및 TPU

GPU는 A3 머신 유형에서 사용할 수 있습니다. 사용 가능한 유일한 Edge 머신 유형은 a3-edgegpu-8g-nolssd이며 커스텀 ComputeClass를 사용하여 명시적으로 설정해야 합니다.

TPU는 사용할 수 없습니다.
노드 풀

다음 노드 구성 기능은 사용할 수 없습니다.

  • Arm 워크로드
  • 스팟 VM
  • 압축 배치
출시 채널 공개 버전 및 일반 출시 채널만 사용할 수 있습니다. 신속 채널에 등록된 클러스터의 경우 프리뷰 버전에서 기능을 사용할 수 있습니다.
GKE Hypercluster GKE Hypercluster는 사용할 수 없습니다.

가용성 및 재해 복구

리전 및 영역 Cloud de Confiance 에는 리전이 하나만 있으며, 해당 리전에는 여러 개의 영역이 있습니다. 멀티 리전 기능 및 리전 간 장애 조치는 지원되지 않습니다. 복원력을 위해 여러 영역에 배포할 수 있습니다.
스토리지 사용할 수 있는 유일한 스토리지 유형은 Hyperdisk Balanced입니다. 다른 모든 스토리지 유형은 사용할 수 없습니다. 다른 스토리지 유형은 사용할 수 없으므로 영구 디스크로 대체되는 자동 디스크 유형 선택을 사용할 수 없습니다.
Backup for GKE Backup for GKE는 사용할 수 없습니다.
자동 확장

일부 맞춤설정 옵션은 사용할 수 없습니다.

  • 성능 HPA 프로필은 사용할 수 없습니다.
  • VPA InPlaceOrRecreate 모드는 사용할 수 없습니다.

비용 관리

비용 최적화 측정항목 일부 비용 최적화 권장사항은 사용할 수 없습니다.

통합

Cloud Storage GKE 볼륨 포퓰레이터를 사용하여 Cloud Storage에서 데이터를 전송할 수 없습니다.
Cloud Storage FUSE

Cloud Storage FUSE CSI 드라이버는 GKE 버전 1.36.0-gke.1266000 이상을 실행하는 클러스터 및 노드 풀에서 지원됩니다.

드라이버를 사용하려면 다음 작업을 완료하세요.

  1. Pod의 임시 스토리지 볼륨 또는 PersistentVolume에서 볼륨의 mountOptionscustom-endpoint 마운트 옵션을 지정하여 환경의 Cloud Storage API 엔드포인트를 가리킵니다. 엔드포인트 값은 storage.s3nsapis.fr:443 형식을 따릅니다.

    CLI 플래그 형식 또는 구성 파일 형식을 사용할 수 있습니다. 두 형식 모두 드라이버에서 마운트 옵션으로 직접 파싱되므로 별도의 구성 파일을 제공할 필요가 없습니다.

    • CLI 형식: custom-endpoint=storage.s3nsapis.fr:443
    • 구성 파일 형식: gcs-connection:custom-endpoint:storage.s3nsapis.fr:443

  2. PersistentVolume 사양 또는 Pod의 임시 스토리지 볼륨 속성에서 skipCSIBucketAccessCheck: "true" 볼륨 속성을 지정합니다. 예를 들면 다음과 같습니다.

    volumeAttributes:
  skipCSIBucketAccessCheck: "true"

마운트 옵션 지정에 관한 자세한 내용은 마운트 옵션 구성을 참조하세요.

보안

보안 기능

다음 보안 기능은 사용할 수 없습니다.

  • GKE 보안 상황
  • GKE용 Binary Authorization
  • 기밀 Google Kubernetes Engine 노드
  • GKE control plane authority
  • 정책 컨트롤러
민감한 정보 암호화 애플리케이션 계층에서 보안 비밀을 암호화하는 기능은 지원되지 않습니다.
인증 Connect 게이트웨이를 사용할 수 없습니다.
워크로드 아이덴티티

워크로드 아이덴티티 풀 도메인(및 이를 사용하는 Kubernetes 주 구성원 식별자)은 Google Cloud와 Cloud de Confiance by S3NS에서 약간 다르게 지정되며, svc.id.goog 대신 s3ns.svc.id.goog을 사용합니다. 따라서 예를 들어 IAM 정책에서 GKE용 워크로드 아이덴티티 제휴를 사용하여 Kubernetes 서비스 계정을 지정할 때는 .../PROJECT_ID.s3ns.svc.id.goog/subject/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT를 사용합니다.

액세스 권한이 있는 워크로드 승인 제어 Autopilot 클러스터에서 권한이 있는 워크로드를 실행하기 위해 허용 목록을 만들고 설치하는 것은 지원되지 않습니다.
노드 보안 보안 커널 모듈 로드를 사용할 수 없습니다.
서비스 에이전트 프로비저닝

에서는 API가 사용 설정될 때가 아니라 서비스의 첫 번째 리소스를 만들 때 서비스 에이전트 (유니버스 관리형 서비스 계정)가 Just-In-Time (JIT)으로 프로비저닝됩니다. Cloud de Confiance

리소스를 만들기 전에 서비스 에이전트에 권한을 부여해야 하는 경우 (예: 공유 VPC를 구성할 때) 서비스 에이전트를 수동으로 만들고 필요한 기본 역할을 부여해야 합니다.

서비스 에이전트 만들기 및 역할 부여에서 서비스 에이전트 만들기 및 역할 부여를 수동으로 트리거하는 방법을 알아보세요. 그런 다음 기본 Kubernetes Engine Service Agent (service-PROJECT_NUMBER@container-engine-robot.s3ns-system.iam.gserviceaccount.com)를 만든 에이전트에 부여합니다.

네트워크

IP 주소 지정 VPC 기반 클러스터만 지원됩니다. 경로 기반 클러스터 는 사용할 수 없습니다.
노드당 최대 pod 수 노드당 최대 32개의 포드가 있습니다.
네트워크 격리

네트워크 격리를 위한 다음 맞춤설정 옵션은 사용할 수 없습니다.

  • 컨트롤 플레인의 내부 및 외부 엔드포인트 사용을 중지합니다.
  • 승인된 네트워크를 추가합니다.
  • GKE 네트워크 정책으로 클러스터 포드와 서비스 간의 통신을 제어합니다.
  • 클러스터에 추가 포드 IPv4 범위를 할당합니다.
  • API 서버의 이그레스 트래픽을 제한합니다.
애플리케이션 노출

GKE 인그레스 컨트롤러를 사용하는 경우 전역 Google Cloud 외부 애플리케이션 부하 분산기 (gxlb)는 사용되지 않습니다. 에서는 리전 외부 부하 분산기 (rxlb)가 사용됩니다. Cloud de Confiance by S3NS
멀티 클러스터 네트워킹 멀티 클러스터 인그레스 및 멀티 클러스터 서비스(MCS)를 사용할 수 없습니다.
관측 가능성 GKE Dataplane V2 모니터링 가능성 도구를 사용할 수 없습니다.
Cloud Service Mesh Cloud Service Mesh는 사용할 수 없습니다.
부하 분산

다음 부하 분산 기능은 사용할 수 없습니다.

  • 가중치가 적용된 부하 분산
  • 내부 패스 스루 네트워크 부하 분산기의 영역 어피니티
  • 사용률 기반 부하 분산
IP 범위

인그레스 방화벽 규칙과 같은 사용 가능한 IP 주소 범위는 다음과 같이 환경에 따라 다릅니다.

  • 177.222.80.0/23
  • 177.222.87.0/26
  • 177.222.87.64/26

워크로드

사전 정의된 컴퓨팅 클래스 범용 및 Accelerator 컴퓨팅 클래스만 사용할 수 있습니다. 다른 모든 사전 정의된 컴퓨팅 클래스는 사용할 수 없습니다.

통계 및 모니터링 가능성

로깅 및 모니터링 워크로드 측정항목을 사용할 수 없습니다.
Google Cloud Observability 모든 Google Cloud Observability 통합 및 대시보드를 사용할 수 없습니다.
클러스터 알림 클러스터 알림을 사용할 수 없습니다.

AI/ML 기능

Ray 연산자 GKE용 Ray 연산자는 사용할 수 없습니다.
Parallelstore GKE용 Parallelstore는 사용할 수 없습니다.

리소스 관리

구성 동기화 구성 동기화는 사용할 수 없습니다.
구성 커넥터, 구성 컨트롤러 구성 커넥터 및 구성 컨트롤러를 사용할 수 없습니다.

멀티 클러스터 관리

Fleet Fleet, Fleet 대시보드, Fleet 팀 관리는 사용할 수 없습니다.

추천

다음 정보는 Cloud de Confiance by S3NS에서 GKE를 사용하고 설계하는 방식에도 영향을 줄 수 있습니다. 이 가이드에는 문서, 보안 및 액세스 제어, 결제, 도구, 서비스 사용량을 포함하여 Cloud de Confiance에서 작업하는 방법에 대한 일반적인 정보가 포함되어 있습니다.

Cloud de Confiance 의 다른 서비스 및 기능과 Google Cloud의 이와 유사한 서비스 간의 차이점에 대한 자세한 내용은 제품 목록을 참조하세요.

Cloud de Confiance 가이드