Cloud de Confiance 中的 GKE 与 Google Cloud 的对比

Google Kubernetes Engine 是一种托管式环境,可用于部署、管理和伸缩容器化应用。GKE 基于 Kubernetes 开源容器编排平台,并构建在 Compute Engine 虚拟机上。GKE 提供节点自动修复、负载均衡、日志记录和监控、自动伸缩和自动升级等功能。本页面介绍了 Cloud de Confiance 与 Google Cloud 版本的 GKE 之间的差异。

如需详细了解 GKE,请参阅 GKE 概览以及 GKE 文档的其余内容。

您可以在 Cloud de Confiance中找到有关使用 GKE的建议和最佳实践,包括在建议部分中提供的建议替代方案,其中功能与 Google Cloud 不同。

主要区别

Cloud de Confiance 版本的 GKE与 Google Cloud 版本之间存在一些差异。 一些显著的差异包括:

  • GKE 模式:仅提供 GKE Autopilot 集群。GKE Standard 集群不可用。
  • 存储空间:GKE 上的存储空间仅提供平衡永久性磁盘。
  • Compute Engine 虚拟机:仅提供 C3 和 A3 机器系列。其他机器类型不可用。

本部分的其余部分提供了更详细的差异列表。如果您已经熟悉 Google Cloud,我们建议您仔细查看这些差异,尤其是在设计要在 Cloud de Confiance上运行的应用之前。我们还建议您查看 Cloud de Confiance 与 Google Cloud 之间的一般差异

如果您想使用 Cloud de Confiance中目前尚不提供的特定 GKE功能,请与Cloud de Confiance 支持团队联系。如需在 Cloud de Confiance中发布新功能时收到通知,请订阅版本说明。除非另有说明,否则预览版功能在 Cloud de Confiance中不可用。

硬件和操作系统

操作模式 仅提供 GKE Autopilot 集群。GKE Standard 集群不可用。
Compute Engine 虚拟机 仅提供 C3 和 A3 机器系列。其他机器类型不可用。
GPU 和 TPU A3 机器类型支持 GPU。唯一可用的 Edge 机器类型是 a3-edgegpu-8g-nolssd,必须使用自定义 ComputeClass 显式设置。TPU 不可用。
节点池

以下节点配置功能无法使用:

  • Arm 工作负载
  • Spot 虚拟机
  • 紧凑布置
发布渠道 仅提供稳定版和常规版发布渠道。

可用性和灾难恢复

区域和地区 Cloud de Confiance 只有一个区域,但具有多个可用区。 不支持多区域功能和跨区域故障切换。支持跨多个可用区部署以实现弹性。
存储 唯一可用的存储类型是 Hyperdisk Balanced。所有其他存储类型均不可用。
Backup for GKE Backup for GKE 不可用。
自动扩缩

部分自定义选项无法使用:

  • 性能 HPA 配置文件不可用。
  • VPA InPlaceOrRecreate 模式不可用。

费用管理

费用优化指标 部分费用优化建议可能无法提供。

集成

Cloud Storage 无法使用 GKE Volume Populator 从 Cloud Storage 传输数据。

安全性

安全功能

以下安全功能无法使用:

  • GKE Security Posture
  • 适用于 GKE 的 Binary Authorization
  • 保密 Google Kubernetes Engine 节点
  • GKE control plane authority
  • Policy Controller
敏感数据加密 不支持在应用层对 Secret 加密。
Authentication Connect 网关不可用。
Workload Identity

在 Google Cloud 和 Cloud de Confiance by S3NS中,工作负载身份池网域(以及使用这些网域的 Kubernetes 主账号标识符)的指定方式略有不同,使用的是 s3ns.svc.id.goog 而不是 svc.id.goog。因此,例如,在 IAM 政策中使用 Workload Identity Federation for GKE 指定 Kubernetes ServiceAccount 时,您需要使用 .../PROJECT_ID.s3ns.svc.id.goog/subject/ns/NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNT

网络

IP 寻址 仅支持 VPC 原生集群。基于路由的集群不可用。
每个节点的 Pod 数上限 每个节点的 Pod 数上限为 32。
网络隔离

以下网络隔离自定义选项不可用:

  • 停用控制平面的内部和外部端点。
  • 使用 Cloud NAT 为专用节点提供出站互联网访问权限。
  • 添加授权网络。
  • 使用 GKE 网络政策控制集群 Pod 和服务之间的通信。
  • 为集群分配额外的 Pod IPv4 范围。
应用曝光度 GKE Ingress 控制器不可用。
多集群网络 多集群 Ingress 和多集群 Service (MCS) 不可用。
可观测性 GKE Dataplane V2 可观测性工具不可用。
Cloud Service Mesh Cloud Service Mesh 不可用。
负载均衡

以下负载均衡功能无法使用:

  • 加权负载均衡。
  • 内部直通式网络负载均衡器的可用区级亲和性。
  • 基于利用率的负载均衡。
IP 范围

可用的 IP 地址范围(例如用于入站防火墙规则)取决于您的环境,如下所示:

  • 177.222.80.0/23
  • 177.222.87.0/26
  • 177.222.87.64/26

工作负载

预定义的计算类 仅提供通用型和 Accelerator 计算类。所有其他预定义的计算类均不可用。

数据分析和可观测性

日志记录和监控 工作负载指标不可用。
Google Cloud Observability 所有 Google Cloud Observability 集成和信息中心均不可用。
集群通知 集群通知不可用。

AI/机器学习功能

Ray Operator 适用于 GKE 的 Ray Operator 不可用。
Parallelstore Parallelstore for GKE 不可用。

资源管理

Config Sync Config Sync 不可用。
Config Connector、Config Controller Config Connector 和 Config Controller 不可用。

多集群管理

舰队 舰队、舰队信息中心和舰队团队管理功能不可用。

建议

以下信息也可能会影响您在 Cloud de Confiance by S3NS中如何使用 GKE,以及如何针对 GKE进行设计。这些指南包含有关在 Cloud de Confiance中开展工作的一般信息,包括文档、安全和访问权限控制、结算、工具和服务使用情况。

如需详细了解 Cloud de Confiance 中的其他服务和功能以及它们与 Google Cloud 对应服务和功能的差异,请参阅产品列表

Cloud de Confiance 指南