|
Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado. |
Clústeres privados
En GKE, clústeres privados son clústeres cuyos nodos están aislados del tráfico entrante y saliente al asignarles solo direcciones IP internas. Los clústeres privados en GKE tienen la opción de exponer el punto final del plano de control como una dirección accesible públicamente o como una dirección privada. Esto es diferente de otros proveedores de Kubernetes, que pueden referirse a clústeres con puntos finales de plano de control privados como "clústeres privados" pero aún permiten el tráfico hacia y desde los nodos. Puede que desee crear un clúster con nodos privados, con o sin un punto final de plano de control público, dependiendo de los requisitos de red y seguridad de su organización. Un clúster de GKE provisionado desde Rancher puede utilizar nodos aislados seleccionando "Clúster Privado" en las Opciones del Clúster (bajo "Mostrar opciones avanzadas"). El punto final del plano de control puede hacerse opcionalmente privado seleccionando "Habilitar Punto Final Privado".
Nodos Privados
Debido a que los nodos en un clúster privado solo tienen direcciones IP internas, no podrán instalar el agente del clúster y Rancher no podrá gestionar completamente el clúster. Esto se puede superar de varias maneras.
Cloud NAT
|
Cloud NAT incurrirá en cargos. |
Si restringir el acceso a internet saliente no es una preocupación para su organización, utilice el servicio de Cloud NAT de Google para permitir que los nodos en la red privada accedan a internet, habilitándolos para descargar las imágenes requeridas desde Docker Hub y contactar con el servidor de gestión de Rancher. Esta es la solución más sencilla.
Registro Privado
|
Este escenario no está oficialmente soportado, pero se describe para casos en los que utilizar el servicio de Cloud NAT no es suficiente. |
Si restringir tanto el tráfico entrante como saliente a los nodos es un requisito, siga las instrucciones de instalación en entorno aislado para configurar una imagen de contenedor privada registro en la VPC donde se ubicará el clúster, permitiendo que los nodos accedan y descarguen las imágenes necesarias para ejecutar el agente del clúster. Si el punto final del plano de control también es privado, Rancher necesitará acceso directo a él.
Punto Final Privado del Plano de Control
Si el clúster tiene un punto final público expuesto, Rancher podrá alcanzar el clúster, y no se necesitarán pasos adicionales. Sin embargo, si el clúster no tiene un punto final público, se deben considerar medidas para garantizar que Rancher pueda acceder al clúster.
Cloud NAT
|
Cloud NAT incurrirá en cargos. |
Como se mencionó anteriormente, si no es un problema restringir el acceso a internet saliente para los nodos, se puede utilizar el servicio de Cloud NAT de Google para permitir que los nodos accedan a internet. Mientras se está aprovisionando el clúster, Rancher proporcionará un comando de registro que se debe ejecutar en el clúster. Descarga el kubeconfig para el nuevo clúster y ejecuta el comando kubectl proporcionado en el clúster. Obtener acceso al clúster para ejecutar este comando se puede hacer creando un nodo temporal o utilizando un nodo existente en la VPC, o iniciando sesión o creando un túnel SSH a través de uno de los nodos del clúster.
Acceso directo
Si el servidor Rancher se ejecuta en la misma VPC que el plano de control del clúster, tendrá acceso directo al punto final privado del plano de control. Los nodos del clúster necesitarán tener acceso a un Registro Privado para descargar imágenes como se describió anteriormente.
También se pueden utilizar servicios de Google como Cloud VPN o Cloud Interconnect VLAN para facilitar la conectividad entre la red de la organización y la VPC de Google.