この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

プライベートクラスター

GKEでは、 プライベートクラスターは、ノードが内部IPアドレスのみを割り当てられ、入出力トラフィックから隔離されたクラスターです。GKEのプライベートクラスターでは、コントロールプレーンエンドポイントを公開アドレスまたはプライベートアドレスとして設定するオプションがあります。これは他のKubernetesプロバイダーとは異なり、プライベートコントロールプレーンエンドポイントを持つクラスターを「プライベートクラスター」と呼ぶ場合でも、ノードへの入出力トラフィックが許可されていることがあります。組織のネットワークおよびセキュリティ要件に応じて、公開コントロールプレーンエンドポイントの有無にかかわらず、プライベートノードを持つクラスターを作成できます。RancherからプロビジョニングされたGKEクラスターは、「クラスターオプション」(「詳細オプションを表示」内)で「プライベートクラスター」を選択することにより、内部IPアドレスのみを持つノードを使用できます。「プライベートエンドポイントを有効にする」を選択することで、コントロールプレーンエンドポイントをプライベートに設定できます。

プライベートノード

プライベートクラスターのノードは内部IPアドレスのみを持つため、クラスターエージェントをインストールできず、Rancherはクラスターを完全に管理できません。これはいくつかの方法で克服できます。

Cloud NAT

Cloud NATは 料金が発生します

組織にとって外部インターネットアクセスの制限が問題でない場合、Googleの Cloud NATサービスを使用して、プライベートネットワーク内のノードがインターネットにアクセスできるようにし、Docker Hubから必要なイメージをダウンロードし、Rancher管理サーバーに接続できるようにします。これは最も簡単な解決策です。

プライベートレジストリ

このシナリオは公式にはサポートされていませんが、Cloud NATサービスの利用だけでは十分でない場合のために説明されています。

ノードへの入出力トラフィックの制限が要件である場合、エアギャップされたインストール手順に従って、クラスターが配置されるVPC上にプライベートコンテナイメージregistryを設定し、クラスターのノードがクラスターエージェントを実行するために必要なイメージにアクセスしてダウンロードできるようにします。コントロールプレーンエンドポイントもプライベートである場合、Rancherは直接アクセスが必要です。

プライベートコントロールプレーンエンドポイント

クラスターに公開エンドポイントがある場合、Rancherはクラスターにアクセスでき、追加の手順は必要ありません。ただし、クラスターに公開エンドポイントがない場合、Rancherがクラスターにアクセスできるように考慮する必要があります。

Cloud NAT

Cloud NATは 料金が発生します

上記の通り、ノードへのインターネットアクセスを制限することが問題でない場合、Googleの Cloud NATサービスを使用してノードがインターネットにアクセスできるようにすることができます。クラスターのプロビジョニング中、Rancherはクラスターで実行するための登録コマンドを提供します。新しいクラスターのための kubeconfigをダウンロードし、クラスターで提供されたkubectlコマンドを実行してください。このコマンドを実行するためにクラスターにアクセスするには、一時的なノードを作成するか、VPC内の既存のノードを使用するか、クラスターのノードの1つにSSHでログインするか、SSHトンネルを作成することができます。

直接アクセス

Rancherサーバーがクラスターのコントロールプレーンと同じVPCで実行されている場合、コントロールプレーンのプライベートエンドポイントに直接アクセスできます。クラスターのノードは、上記のようにイメージをダウンロードするためにプライベートレジストリにアクセスする必要があります。

また、Googleの Cloud VPNCloud Interconnect VLANなどのサービスを使用して、組織のネットワークとGoogle VPC間の接続を容易にすることができます。