Google Kubernetes Engine 是一个可用于部署、管理和伸缩容器化应用的托管式环境。GKE 基于 Kubernetes 开源容器编排平台 并构建在 Compute Engine 虚拟机之上。GKE 提供节点自动修复、负载均衡、日志记录和监控、自动伸缩和自动升级等功能。 本页面介绍了 Cloud de Confiance 与 Google Cloud 版本的 GKE 之间的差异。
如需详细了解 GKE,请参阅 GKE 概览和 GKE 文档的其余部分。
您可以在 Cloud de Confiance中找到有关使用 GKE的建议和最佳实践,包括在建议部分中提供的建议替代方案,其中功能与 Google Cloud 不同。
主要区别
Cloud de Confiance 版本的 GKE与 Google Cloud 版本之间存在一些差异。 一些显著的差异包括:
- GKE 模式: 仅提供 GKE Autopilot 集群。GKE Standard 集群不可用。
- 存储: 仅提供 Hyperdisk Balanced 存储类型。其他存储类型不可用。
- Compute Engine 虚拟机: 仅提供 C3 和 A3 机器系列。其他机器类型不可用。
- GPU 和 TPU:只有 A3 机器类型支持 GPU。TPU 不可用。
本部分的其余部分提供了更详细的差异列表。如果您已经熟悉 Google Cloud,我们建议您仔细查看这些差异,尤其是在设计要在 Cloud de Confiance上运行的应用之前。我们还建议您查看 Cloud de Confiance 与 Google Cloud 之间的一般差异。
如果您想使用 Cloud de Confiance中目前尚不提供的特定 GKE功能,请与Cloud de Confiance 支持团队联系。如需在 Cloud de Confiance中发布新功能时收到通知,请订阅版本说明。除非另有说明,否则预览版功能在 Cloud de Confiance中不可用。
硬件和操作系统
| 操作模式 | 仅提供 GKE Autopilot 集群。GKE Standard 集群不可用。 |
| Compute Engine 虚拟机 | 仅提供 C3 和 A3 机器系列。其他机器类型不可用。 |
| GPU 和 TPU | A3 机器类型支持 GPU。唯一可用的 Edge 机器类型是 TPU 不可用。 |
| 节点池 | 以下节点配置功能不可用:
|
| 发布渠道 | 仅提供稳定版和常规发布渠道。对于注册了快速渠道的集群,这些功能可能以预览版形式提供。 |
| GKE Hypercluster | GKE Hypercluster 不可用。 |
可用性和灾难恢复
| 区域和地区 | Cloud de Confiance 只有一个区域,但具有多个可用区。 不支持多区域功能和跨区域故障切换。支持跨多个可用区部署以实现弹性。 |
| 存储 | 唯一可用的存储类型是 Hyperdisk Balanced。所有其他存储 类型均不可用。由于其他存储类型不可用,因此无法使用自动磁盘类型选择(回退到 Persistent Disk)。 |
| Backup for GKE | Backup for GKE 不可用。 |
| 自动扩缩 | 部分自定义选项无法使用:
|
费用管理
| 费用优化指标 | 某些费用优化建议可能不可用。 |
集成
| Cloud Storage | 无法使用 GKE Volume Populator 从 Cloud Storage 传输数据。 |
| Cloud Storage FUSE | 运行 GKE 1.36.0-gke.1266000 版或更高版本的集群和节点池支持 Cloud Storage FUSE CSI 驱动程序。 如需使用该驱动程序,请完成以下任务:
如需详细了解如何指定装载选项,请参阅配置装载选项。 |
安全
| 安全功能 | 以下安全功能不可用:
|
| 敏感数据加密 | 不支持在应用层对 Secret 加密。 |
| Authentication | Connect 网关不可用。 |
| Workload Identity | 在 Google Cloud 和 Cloud de Confiance by S3NS中,工作负载身份池网域(以及使用这些网域的 Kubernetes 主账号标识符)的指定方式略有不同,使用的是 |
| 特权工作负载准入控制 | 不支持创建和安装许可名单,以便在 Autopilot 集群中运行特权工作负载。 |
| 节点安全 | 无法安全加载内核模块。 |
| 服务代理预配 |
在 Cloud de Confiance中,服务代理(宇宙代管式服务账号)会在您首次为服务创建资源时即时 (JIT) 预配,而不是在启用 API 时预配。 如果您需要在创建资源之前向服务代理授予权限(例如,在配置 共享 VPC 时),则必须手动创建服务代理并向其授予所需的默认角色。 如需了解如何手动触发服务代理创建授予角色,请参阅创建服务代理并授予角色。然后,向您创建的代理授予默认的 |
网络
| IP 寻址 | 仅支持 VPC 原生集群。基于路由的集群 不可用。 |
| 每个节点的 Pod 数上限 | 每个节点最多只能有 32 个 Pod。 |
| 网络隔离 | 以下网络隔离自定义选项不可用:
|
| 应用公开 | 使用 GKE Ingress 控制器时,不会使用全球 Google Cloud 外部应用负载均衡器 ( |
| 多集群网络 | 多集群 Ingress 和多集群 Service (MCS) 不可用。 |
| 可观测性 | GKE Dataplane V2 可观测性工具不可用。 |
| Cloud Service Mesh | Cloud Service Mesh 不可用。 |
| 负载均衡 | 以下负载均衡功能无法使用:
|
| IP 范围 | 可用的 IP 地址范围(例如 Ingress 防火墙规则) 取决于您的环境,如下所示:
|
工作负载
| 预定义的计算类 | 仅提供通用型和 Accelerator 计算类。所有其他预定义的计算类均不可用。 |
数据分析和可观测性
| 日志记录和监控 | 工作负载指标不可用。 |
| Google Cloud Observability | 所有 Google Cloud Observability 集成和信息中心均不可用。 |
| 集群通知 | 集群通知不可用。 |
AI/机器学习功能
| Ray Operator | 适用于 GKE 的 Ray Operator 不可用。 |
| Parallelstore | Parallelstore for GKE 不可用。 |
资源管理
| Config Sync | Config Sync 不可用。 |
| Config Connector、Config Controller | Config Connector 和 Config Controller 不可用。 |
多集群管理
| 舰队 | 舰队、舰队信息中心和舰队团队管理功能不可用。 |
建议
相关指南
以下信息也可能会影响您在 Cloud de Confiance by S3NS中如何使用 GKE,以及如何针对 GKE进行设计。这些指南包含有关在 Cloud de Confiance中开展工作的一般信息,包括文档、安全和访问权限控制、结算、工具和服务使用情况。
如需详细了解 Cloud de Confiance 中的其他服务和功能以及它们与 Google Cloud 对应服务和功能的差异,请参阅产品列表。