‫GKE ב-Cloud de Confiance לעומת Google Cloud

‫Google Kubernetes Engine היא סביבה מנוהלת לפריסה, לניהול ולהתאמה לעומס (scaling) של אפליקציות בקונטיינרים. ‫GKE מבוסס על פלטפורמת תזמור הקונטיינרים Kubernetes בקוד פתוח, ונבנה על מכונות וירטואליות של Compute Engine. ‫GKE מציע תכונות כמו תיקון אוטומטי של צמתים, איזון עומסים, רישום ביומן ומעקב, שינוי גודל אוטומטי ושדרוגים אוטומטיים. בדף הזה מוסבר על ההבדלים בין הגרסאות של GKE ב- Cloud de Confiance וב-Google Cloud.

למידע מפורט יותר על GKE, קראו את הסקירה הכללית על GKE ואת שאר מאמרי העזרה בנושא GKE.

בקטע המלצות אפשר למצוא המלצות ושיטות מומלצות לשימוש ב-GKE, ‏ Cloud de Confiance, כולל חלופות מומלצות במקרים שבהם התכונות שונות מ-Google Cloud.

ההבדלים העיקריים

יש כמה הבדלים בין הגרסה של GKE ב- Cloud de Confiance לבין הגרסה של Google Cloud. ההבדלים העיקריים הם:

  • מצבי GKE: זמינים רק אשכולות GKE Autopilot. אשכולות GKE Standard לא זמינים.
  • אחסון: זמינים רק סוגי האחסון Hyperdisk Balanced. סוגי אחסון אחרים לא זמינים.
  • מכונות וירטואליות ב-Compute Engine: רק סדרות המכונות C3 ו-A3 זמינות. סוגי מכונות אחרים לא זמינים.
  • GPU ו-TPU: מעבדי GPU זמינים רק בסוגי מכונות A3. יחידות TPU לא זמינות.

בהמשך של החלק הזה מוסבר בהרחבה על ההבדלים. אם אתם כבר מכירים את Google Cloud, אנחנו ממליצים שתקראו היטב על כל ההבדלים, במיוחד לפני שאתם בונים אפליקציה שתפעל ב- Cloud de Confiance. מומלץ גם לקרוא את התיאור הכללי של ההבדלים בין Cloud de Confiance ל-Google Cloud.

אם אתם רוצים להשתמש בתכונה מסוימת של GKE שלא זמינה כרגע ב- Cloud de Confiance, פנו לתמיכה שלCloud de Confiance . כדי לקבל עדכון על השקה של תכונות חדשות ב- Cloud de Confiance, הירשמו להערות המוצר. אם לא צוין אחרת, תכונות שנמצאות בשלב הבדיקה לא זמינות ב- Cloud de Confiance.

חומרה ומערכת הפעלה

מצבי פעולה אפשר להשתמש רק באשכולות GKE Autopilot. אשכולות GKE Standard לא זמינים.
מכונות וירטואליות ב-Compute Engine רק סדרות המכונות C3 ו-A3 זמינות. סוגי מכונות אחרים לא זמינים.
יחידות GPU ו-TPU

מעבדי GPU זמינים בסוגי מכונות A3. סוג המכונה היחיד שזמין ב-Edge הוא a3-edgegpu-8g-nolssd, וצריך להגדיר אותו באופן מפורש באמצעות custom ComputeClass.

יחידות TPU לא זמינות.
מאגרי צמתים

התכונות הבאות להגדרת צמתים לא זמינות:

  • עומסי עבודה של Arm
  • מכונות וירטואליות של Spot
  • מיקום קומפקטי
ערוצי הפצה אפשר להשתמש רק בערוצי ההפצה 'יציב' ו'רגיל'. יכול להיות שהתכונות יהיו זמינות בגרסת טרום-השקה (Preview) באשכולות שרשומים לערוץ המהיר.
GKE Hypercluster ‫GKE Hypercluster לא זמין.

זמינות ותוכנית התאוששות מאסון (DR)

אזורים ותחומים ב-Cloud de Confiance יש רק אזור אחד, אבל גם כמה תחומים (zone). אין תמיכה בתכונות של כמה אזורים ובמעבר אוטומטי בין אזורים במקרה של כשל. יש תמיכה בפריסה בכמה אזורים כדי להבטיח עמידות.
אחסון סוג האחסון היחיד שזמין הוא Hyperdisk Balanced. כל שאר סוגי האחסון לא זמינים. אי אפשר להשתמש בבחירה אוטומטית של סוג הדיסק עם מעבר חזרה לדיסק קשיח, כי סוגי אחסון אחרים לא זמינים.
גיבוי ל-GKE הגיבוי ל-GKE לא זמין.
התאמה אוטומטית לעומס

חלק מאפשרויות ההתאמה האישית לא זמינות:

  • פרופיל ה-HPA של הביצועים לא זמין.
  • מצב VPA InPlaceOrRecreate לא זמין.

ניהול עלויות

מדדים לאופטימיזציה של עלויות יכול להיות שחלק מההמלצות לאופטימיזציה של עלויות לא יהיו זמינות.

שילובים

Cloud Storage אי אפשר להעביר נתונים מ-Cloud Storage באמצעות GKE Volume Populator.
Cloud Storage FUSE

מנהל התקן ה-CSI של Cloud Storage FUSE נתמך באשכולות ובמאגרי צמתים שפועלים ב-GKE בגרסה 1.36.0-gke.1266000 ואילך.

כדי להשתמש בדרייבר, צריך לבצע את המשימות הבאות:

  1. מציינים את אפשרות ההרכבה custom-endpoint ב-mountOptions של אמצעי האחסון, או באמצעי אחסון זמני של Pod או ב-PersistentVolume, כדי להפנות לנקודת הקצה של Cloud Storage API בסביבה שלכם. ערך נקודת הקצה הוא בפורמט storage.s3nsapis.fr:443.

    אפשר להשתמש בפורמט הדגל של CLI או בפורמט קובץ ההגדרות. שני הפורמטים מנותחים ישירות על ידי מנהל ההתקן כאפשרויות הרכבה, כך שלא צריך לספק קובץ הגדרה נפרד.

    • פורמט CLI: custom-endpoint=storage.s3nsapis.fr:443
    • פורמט קובץ התצורה: gcs-connection:custom-endpoint:storage.s3nsapis.fr:443

  2. מציינים את מאפיין עוצמת הקול skipCSIBucketAccessCheck: "true" במפרט PersistentVolume או במאפייני נפח האחסון הזמני של ה-Pod. לדוגמה:

    volumeAttributes:
  skipCSIBucketAccessCheck: "true"

מידע נוסף על הגדרת אפשרויות ההרכבה זמין במאמר הגדרת אפשרויות הרכבה.

אבטחה

תכונות אבטחה

תכונות האבטחה הבאות לא זמינות:

  • מצב האבטחה של GKE
  • Binary Authorization for GKE
  • צמתים סודיים ב-Google Kubernetes Engine
  • שליטה במישור הבקרה של GKE
  • Policy Controller
הצפנה של מידע אישי רגיש אין תמיכה בהצפנת סודות בשכבת האפליקציה.
אימות השער לחיבור לא זמין.
Workload Identity

הדומיינים של מאגרי הזהויות של עומסי העבודה (והמזהים של חשבונות המשתמשים ב-Kubernetes שמשתמשים בהם) מצוינים בצורה קצת שונה ב-Google Cloud וב- Cloud de Confiance by S3NS, באמצעות s3ns.svc.id.goog ולא svc.id.goog. לכן, לדוגמה, כשמציינים ServiceAccount של Kubernetes באמצעות איחוד שירותי אימות הזהות של עומסי עבודה ל-GKE במדיניות IAM, משתמשים ב-.../PROJECT_ID.s3ns.svc.id.goog/subject/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT.

בקרת כניסה של עומסי עבודה עם הרשאות מיוחדות אי אפשר ליצור ולהתקין רשימות היתרים כדי להריץ עומסי עבודה עם הרשאות מיוחדות באשכולות של Autopilot.
אבטחת הצומת טעינה מאובטחת של מודול ליבת המערכת לא זמינה.
הקצאת הרשאות לסוכני שירות

ב- Cloud de Confiance, סוכני שירות (חשבונות שירות שמנוהלים על ידי Universe) מוקצים בזמן אמת (JIT) כשיוצרים את המשאב הראשון בשירות, ולא כשמפעילים את ה-API.

אם אתם צריכים לתת הרשאות לסוכן שירות לפני שאתם יוצרים משאבים (לדוגמה, כשמגדירים VPC משותף), אתם צריכים ליצור את סוכן השירות באופן ידני ולהקצות לו את תפקידי ברירת המחדל הנדרשים.

הוראות ליצירה ידנית של סוכני שירות והקצאת תפקידים מפורטות במאמר איך יוצרים סוכני שירות ומעניקים להם תפקידים. לאחר מכן, מעניקים את ברירת המחדל Kubernetes Engine Service Agent (service-PROJECT_NUMBER@container-engine-robot.s3ns-system.iam.gserviceaccount.com) לסוכן שיוצרים.

רשת

כתובות IP יש תמיכה רק באשכולות שמותאמים ל-VPC. אשכולות מבוססי-נתיבים לא זמינים.
מספר הפודים המקסימלי לכל צומת יש מגבלה של 32 יחידות Pod לכל צומת.
בידוד רשת

אפשרויות ההתאמה האישית הבאות לבידוד רשת לא זמינות:

  • השבתה של נקודות קצה פנימיות וחיצוניות של מישור הבקרה.
  • הוספת רשתות מורשות.
  • שליטה בתקשורת בין Pods ושירותים באשכול באמצעות כללי מדיניות רשת ב-GKE.
  • הקצאת טווחי כתובות IPv4 נוספים של Pod לאשכול.
  • הגבלת תעבורת נתונים יוצאת (egress) משרת ה-API.
חשיפה של אפליקציות

כשמשתמשים בבקר GKE Ingress, לא נעשה שימוש במאזן העומסים החיצוני של אפליקציות ב-Google Cloud (gxlb). באיור Cloud de Confiance by S3NSנעשה שימוש במאזן עומסים חיצוני אזורי (rxlb).
רשתות מרובות אשכולות Multi Cluster Ingress ושירותים מרובי אשכולות (MCS) לא זמינים.
ניראות (observability) כלי התצפית של GKE Dataplane V2 לא זמינים.
Cloud Service Mesh ‫Cloud Service Mesh לא זמין.
איזון עומסים

התכונות הבאות של איזון עומסים לא זמינות:

  • איזון עומסים משוקלל.
  • זיקה אזורית למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי.
  • איזון עומסים על סמך ניצול.
טווחי כתובות IP

טווחי כתובות ה-IP הזמינים, למשל עבור כללים של חומת אש לכניסה, תלויים בסביבה שלכם, באופן הבא:

  • 177.222.80.0/23
  • 177.222.87.0/26
  • 177.222.87.64/26

עומסי עבודה

סוגי מחשוב מוגדרים מראש אפשר להשתמש רק בסוגי המכונות לחישובים לשימוש כללי ובסוגי המכונות לחישובים Accelerator. כל שאר סוגי המכונות המוגדרים מראש לא זמינים.

תובנות וניראות

רישום ביומן ומעקב מדדי עומס העבודה לא זמינים.
Google Cloud Observability כל השילובים ולוחות הבקרה של Google Cloud Observability לא זמינים.
התראות לגבי אשכולות ההתראות לגבי אשכולות לא זמינות.

תכונות AI/ML

Ray Operator ה-Ray Operator ל-GKE לא זמין.
Parallelstore ‫Parallelstore for GKE לא זמין.

ניהול המשאבים

Config Sync סנכרון תצורות לא זמין.
Config Connector, ‏ Config Controller ‫Config Connector ו-Config Controller לא זמינים.

ניהול של כמה אשכולות

Fleets אי אפשר להשתמש ב-Fleets, בלוחות הבקרה של ה-Fleet ובניהול הצוות של ה-Fleet.

המלצות

המידע שכאן יכול להשפיע גם על האופן שבו אתם משתמשים ב-GKE ב- Cloud de Confiance by S3NS. במדריכים האלה יש מידע כללי על השימוש ב- Cloud de Confiance, כולל מאמרי עזרה ומידע על אבטחה ובקרת גישה, חיוב, כלים ושימוש בשירות.

ברשימת המוצרים יש פרטים על תכונות ושירותים אחרים ב- Cloud de Confiance וההבדלים ביניהם לשירותים המקבילים שלהם ב-Google Cloud.

מדריכיCloud de Confiance