Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Private Cluster

In GKE sind private clusters Cluster, deren Knoten durch die Zuweisung interner IP-Adressen nur von eingehendem und ausgehendem Datenverkehr isoliert sind. Private Cluster in GKE haben die Möglichkeit, den Endpunkt der Steuerungsebene als öffentlich zugängliche Adresse oder als private Adresse bereitzustellen. Dies unterscheidet sich von anderen Kubernetes-Anbietern, die Cluster mit privaten Steuerungsebene-Endpunkten als "private clusters" bezeichnen, aber dennoch den Datenverkehr zu und von Knoten zulassen. Sie möchten möglicherweise einen Cluster mit privaten Knoten erstellen, mit oder ohne öffentlichen Steuerungsebene-Endpunkt, abhängig von den Netzwerk- und Sicherheitsanforderungen Ihrer Organisation. Ein GKE-Cluster, der von Rancher bereitgestellt wird, kann isolierte Knoten verwenden, indem Sie "Privater Cluster" in den Cluster-Optionen (unter "Erweiterte Optionen anzeigen") auswählen. Der Endpunkt der Steuerungsebene kann optional privat gemacht werden, indem Sie "Privaten Endpunkt aktivieren" auswählen.

Private Knoten

Da die Knoten in einem privaten Cluster nur über interne IP-Adressen verfügen, können sie den Cluster-Agenten nicht installieren und Rancher kann den Cluster nicht vollständig verwalten. Dies kann auf verschiedene Weise überwunden werden.

Cloud NAT

Cloud NAT wird Kosten verursachen.

Wenn die Einschränkung des ausgehenden Internetzugangs für Ihre Organisation kein Problem darstellt, verwenden Sie den Cloud NAT-Dienst von Google, um Knoten im privaten Netzwerk den Zugriff auf das Internet zu ermöglichen, damit sie die erforderlichen Images von Docker Hub herunterladen und den Rancher-Management-Server kontaktieren können. Dies ist die einfachste Lösung.

Private Registry

Dieses Szenario wird nicht offiziell unterstützt, wird jedoch für Fälle beschrieben, in denen die Verwendung des Cloud NAT-Dienstes nicht ausreicht.

Wenn die Einschränkung sowohl des eingehenden als auch des ausgehenden Datenverkehrs zu Knoten eine Anforderung ist, befolgen Sie die Anweisungen zur Air-Gapped-Installation, um ein privates Container-Image Registry im VPC einzurichten, in dem der Cluster bereitgestellt werden soll, damit die Clusterknoten auf die Images zugreifen und diese herunterladen können, die sie benötigen, um den Cluster-Agenten auszuführen. Wenn der Endpunkt der Steuerungsebene ebenfalls privat ist, benötigt Rancher direkten Zugriff darauf.

Privater Steuerungsebene-Endpunkt

Wenn der Cluster einen öffentlichen Endpunkt hat, kann Rancher den Cluster erreichen, und es sind keine weiteren Schritte erforderlich. Wenn der Cluster jedoch keinen öffentlichen Endpunkt hat, müssen Überlegungen angestellt werden, um sicherzustellen, dass Rancher auf den Cluster zugreifen kann.

Cloud NAT

Cloud NAT wird Kosten verursachen.

Wie oben erwähnt, kann, wenn die Einschränkung des ausgehenden Internetzugangs zu den Knoten kein Problem darstellt, der Cloud NAT-Dienst von Google verwendet werden, um den Knoten den Zugriff auf das Internet zu ermöglichen. Während der Cluster bereitgestellt wird, wird Rancher einen Registrierungsbefehl bereitstellen, der im Cluster ausgeführt werden soll. Laden Sie die kubeconfig für den neuen Cluster herunter und führen Sie den bereitgestellten kubectl-Befehl im Cluster aus. Der Zugriff auf den Cluster, um diesen Befehl auszuführen, kann durch die Erstellung eines temporären Knotens oder die Nutzung eines vorhandenen Knotens im VPC erfolgen, oder indem man sich bei einem der Cluster-Knoten anmeldet oder einen SSH-Tunnel durch einen der Cluster-Knoten erstellt.

Direktzugriff

Wenn der Rancher-Server im selben VPC wie die Steuerungsebene des Clusters ausgeführt wird, hat er direkten Zugriff auf den privaten Endpunkt der Steuerungsebene. Die Cluster-Knoten müssen Zugriff auf eine private Registry haben, um die oben beschriebenen Images herunterzuladen.

Sie können auch Dienste von Google wie Cloud VPN oder Cloud Interconnect VLAN nutzen, um die Konnektivität zwischen dem Netzwerk Ihrer Organisation und Ihrem Google VPC zu erleichtern.