GKE no Cloud de Confiance e no Google Cloud

O Google Kubernetes Engine é um ambiente gerenciado para implantação, gerenciamento e escalonamento de aplicativos conteinerizados. O GKE é baseado na plataforma de orquestração de contêineres de código aberto Kubernetes e criado em máquinas virtuais do Compute Engine. O GKE oferece recursos como reparo automático de nós, balanceamento de carga, geração de registros e monitoramento, escalonamento automático e upgrades automáticos. Nesta página, descrevemos as diferenças entre as versões do GKE de Cloud de Confiance e do Google Cloud.

Para mais informações sobre o GKE, consulte a visão geral do GKE e o restante da documentação.

Você encontra recomendações e práticas recomendadas para usar o GKE em Cloud de Confiance, incluindo alternativas recomendadas quando os recursos são diferentes do Google Cloud, na seção Recomendações.

principais diferenças

Há algumas diferenças entre a versão Cloud de Confiance do GKE e a do Google Cloud. Estes são alguns exemplos:

  • Modos do GKE:apenas clusters do GKE Autopilot estão disponíveis. Os clusters do GKE Standard estão indisponíveis.
  • Armazenamento:apenas Persistent Disk equilibrado está disponível para armazenamento no GKE.
  • Máquinas virtuais do Compute Engine:apenas as séries de máquinas C3 e A3 estão disponíveis. Outros tipos de máquinas não estão disponíveis.

Uma lista mais detalhada das diferenças é fornecida no restante desta seção. Se você já conhece o Google Cloud, recomendamos que analise essas diferenças com atenção, principalmente antes de criar um aplicativo para ser executado no Cloud de Confiance. Também recomendamos analisar as diferenças gerais entre a Cloud de Confiance e o Google Cloud.

Se você quiser usar um recurso específico do GKE que não está disponível no momento em Cloud de Confiance, fale com o suporte doCloud de Confiance . Para receber notificações quando novos recursos forem lançados no Cloud de Confiance, inscreva-se para receber as notas da versão. A menos que especificado de outra forma, os recursos em pré-lançamento não estão disponíveis no Cloud de Confiance.

Hardware e SO

Modos de operação Somente clusters do GKE Autopilot estão disponíveis. Os clusters do GKE Standard estão indisponíveis.
Máquinas virtuais do Compute Engine Apenas as séries de máquinas C3 e A3 estão disponíveis. Outros tipos de máquinas não estão disponíveis.
GPUs e TPUs As GPUs estão disponíveis nos tipos de máquina A3. O único tipo de máquina de borda disponível é a3-edgegpu-8g-nolssd, que precisa ser definido explicitamente usando uma ComputeClass personalizada. As TPUs não estão disponíveis.
Pools de nós

Os seguintes recursos de configuração de nós não estão disponíveis:

  • Cargas de trabalho do Arm
  • VMs spot
  • Posição compacta
Canais de lançamento Somente os canais de lançamento Stable e Regular estão disponíveis.

Disponibilidade e recuperação de desastres

Regiões e zonas OCloud de Confiance tem apenas uma região, mas várias zonas. Os recursos multirregionais e o failover entre regiões não são aceitos. Há suporte para implantação em várias zonas para resiliência.
Armazenamento O único tipo de armazenamento disponível é o Hyperdisk Balanced. Todos os outros tipos de armazenamento não estão disponíveis.
Backup para GKE O Backup para GKE não está disponível.
Escalonamento automático

Algumas opções de personalização não estão disponíveis:

  • O perfil de HPA de desempenho não está disponível.
  • O modo VPA InPlaceOrRecreate está indisponível.

Gerenciamento de custo

Métricas de otimização de custos Algumas recomendações de otimização de custos podem estar indisponíveis.

Integrações

Cloud Storage A transferência de dados do Cloud Storage usando o GKE Volume Populator não está disponível.

Segurança

Recursos de segurança

Os seguintes recursos de segurança não estão disponíveis:

  • Postura de segurança do GKE
  • Autorização binária para o GKE
  • Nós confidenciais do Google Kubernetes Engine
  • Autoridade do plano de controle do GKE
  • Policy Controller
Criptografia de dados sensíveis A criptografia de secrets na camada do aplicativo não é compatível.
Authentication O gateway de conexão está indisponível.
Identidade da carga de trabalho

Os domínios do pool de identidades da carga de trabalho (e os identificadores principais do Kubernetes que os usam) são especificados de maneira um pouco diferente no Google Cloud e no Cloud de Confiance by S3NS, usando s3ns.svc.id.goog em vez de svc.id.goog. Por exemplo, ao especificar uma ServiceAccount do Kubernetes usando a federação de identidade da carga de trabalho para GKE em uma política do IAM, você usa .../PROJECT_ID.s3ns.svc.id.goog/subject/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT.

Rede

Endereçamento IP Somente clusters nativos de VPC são compatíveis. Os clusters baseados em rotas não estão disponíveis.
Número máximo de pods por nó Há um limite máximo de 32 pods por nó.
Isolamento de rede

As seguintes opções de personalização para isolamento de rede não estão disponíveis:

  • Desativar endpoints internos e externos do plano de controle.
  • Usar o Cloud NAT para fornecer acesso de saída à Internet para nós particulares.
  • Como adicionar redes autorizadas.
  • Controlar a comunicação entre pods e serviços do cluster com políticas de rede do GKE.
  • Atribuir mais intervalos IPv4 de pods a um cluster.
Exposição de aplicativos O controlador de Ingress do GKE está indisponível.
Rede de vários clusters Entrada em vários clusters e os Serviços de vários clusters (MCS) não estão disponíveis.
Observabilidade As ferramentas de observabilidade do GKE Dataplane V2 não estão disponíveis.
Cloud Service Mesh O Cloud Service Mesh não está disponível.
Balanceamento de carga

Os seguintes recursos de balanceamento de carga não estão disponíveis:

  • Balanceamento de carga ponderado.
  • Afinidade zonal para o balanceador de carga de rede de passagem interna.
  • Balanceamento de carga baseado em utilização.
Intervalos de IP

Os intervalos de endereços IP disponíveis, como para regras de firewall de entrada, dependem do seu ambiente, da seguinte forma:

  • 177.222.80.0/23
  • 177.222.87.0/26
  • 177.222.87.64/26

Cargas de trabalho

Classes de computação predefinidas Somente as classes de computação de uso geral e Accelerator estão disponíveis. Todas as outras classes de computação predefinidas não estão disponíveis.

Insights e observabilidade

Registro e monitoramento As métricas de carga de trabalho não estão disponíveis.
Google Cloud Observability Todas as integrações e painéis do Google Cloud Observability ficam indisponíveis.
Notificações de cluster As notificações de cluster não estão disponíveis.

Recursos de IA/ML

Operador do Ray O operador Ray para GKE não está disponível.
Parallelstore O Parallelstore para GKE não está disponível.

Gerenciamento de recursos

Config Sync O Config Sync está indisponível.
Config Connector, Config Controller O Config Connector e o Config Controller não estão disponíveis.

Gerenciamento de vários clusters

Frotas As frotas, os painéis de frotas e o gerenciamento de equipes de frotas não estão disponíveis.

Recomendações

As informações a seguir também podem afetar o modo como você usa e cria o GKE em Cloud de Confiance by S3NS. Esses guias incluem informações gerais para trabalhar no Cloud de Confiance, incluindo documentação, segurança e controle de acesso, faturamento, ferramentas e uso do serviço.

Para detalhes sobre outros serviços e recursos na Cloud de Confiance e as diferenças deles em relação aos equivalentes do Google Cloud, consulte a lista de produtos.

Cloud de Confiance Guias