Clusters privés

Si restreindre l’accès sortant à Internet n’est pas une préoccupation pour votre organisation, utilisez le service Cloud NAT de Google pour permettre aux nœuds du réseau privé d’accéder à Internet, leur permettant de télécharger les images requises depuis Docker Hub et de contacter le serveur de gestion Rancher. C’est la solution la plus simple.

Si restreindre à la fois le trafic entrant et sortant vers les nœuds est une exigence, suivez les instructions d’installation pour environnements isolés physiquement afin de configurer une image de conteneur privée registre sur le VPC où se trouvera le cluster, permettant aux nœuds du cluster d’accéder et de télécharger les images dont ils ont besoin pour exécuter l’agent de cluster. Si le point de terminaison du plan de contrôle est également privé, Rancher aura besoin d’un accès direct à celui-ci.

Comme mentionné ci-dessus, si la restriction de l’accès Internet sortant aux nœuds n’est pas une préoccupation, le service Cloud NAT de Google peut être utilisé pour permettre aux nœuds d’accéder à Internet. Pendant que le cluster est en cours de provisionnement, Rancher fournira une commande d’enregistrement à exécuter sur le cluster. Téléchargez le kubeconfig pour le nouveau cluster et exécutez la commande kubectl fournie sur le cluster. Accéder au cluster pour exécuter cette commande peut se faire en créant un nœud temporaire ou en utilisant un nœud existant dans le VPC, ou en se connectant ou en créant un tunnel SSH à travers l’un des nœuds du cluster.

Si le serveur Rancher est exécuté sur le même VPC que le plan de contrôle du cluster, il aura un accès direct au point de terminaison privé du plan de contrôle. Les nœuds du cluster devront avoir accès à un registre privé pour télécharger des images comme décrit ci-dessus.

Vous pouvez également utiliser des services de Google tels que Cloud VPN ou Cloud Interconnect VLAN pour faciliter la connectivité entre le réseau de votre organisation et votre VPC Google.