|
Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official. |
Clusters Privados
No GKE, clusters privados são clusters cujos nós estão isolados do tráfego de entrada e saída, atribuindo-lhes apenas endereços IP internos. Clusters privados no GKE têm a opção de expor o endpoint do plano de controle como um endereço acessível publicamente ou como um endereço privado. Isso é diferente de outros provedores de Kubernetes, que podem se referir a clusters com endpoints de plano de controle privados como "clusters privados", mas ainda permitem tráfego de e para os nós. Você pode querer criar um cluster com nós privados, com ou sem um endpoint de plano de controle público, dependendo dos requisitos de rede e segurança da sua organização. Um cluster GKE provisionado a partir do Rancher pode usar nós isolados selecionando "Cluster privado" nas Opções do Cluster (sob "Mostrar opções avançadas"). O endpoint do plano de controle pode opcionalmente ser tornado privado selecionando "Habilitar Endpoint Privado".
Nós Privados
Como os nós em um cluster privado têm apenas endereços IP internos, eles não poderão instalar o agente do cluster e o Rancher não poderá gerenciar totalmente o cluster. Isso pode ser superado de algumas maneiras.
Cloud NAT
|
Cloud NAT irá incorrer em cobranças. |
Se restringir o acesso à internet de saída não for uma preocupação para sua organização, use o serviço Cloud NAT do Google para permitir que os nós na rede privada acessem a internet, permitindo que eles baixem as imagens necessárias do Docker Hub e contatem o servidor de gerenciamento do Rancher. Esta é a solução mais simples.
Registro Privado
|
Este cenário não é oficialmente suportado, mas é descrito para casos em que usar o serviço Cloud NAT não é suficiente. |
Se restringir tanto o tráfego de entrada quanto o de saída para os nós for um requisito, siga as instruções de instalação air-gapped para configurar um registro de imagens de contêiner privado registro na VPC onde o cluster será, permitindo que os nós do cluster acessem e baixem as imagens necessárias para executar o agente do cluster. Se o endpoint do plano de controle também for privado, o Rancher precisará de acesso direto a ele.
Endpoint Privado do Plano de Controle
Se o cluster tiver um endpoint público exposto, o Rancher poderá alcançar o cluster, e nenhuma etapa adicional precisará ser tomada. No entanto, se o cluster não tiver um endpoint público, devem ser feitas considerações para garantir que o Rancher possa acessar o cluster.
Cloud NAT
|
Cloud NAT irá incorrer em cobranças. |
Como mencionado acima, se restringir o acesso à internet para os nós não for uma preocupação, o serviço Cloud NAT do Google pode ser utilizado para permitir que os nós acessem a internet. Enquanto o cluster estiver sendo provisionado, o Rancher fornecerá um comando de registro para ser executado no cluster. Baixe o kubeconfig para o novo cluster e execute o comando kubectl fornecido no cluster. Obter acesso ao cluster para executar este comando pode ser feito criando um nó temporário ou utilizando um nó existente na VPC, ou fazendo login em um dos nós do cluster ou criando um túnel SSH através dele.
Acesso Direto
Se o servidor Rancher for executado na mesma VPC que o plano de controle do cluster, ele terá acesso direto ao endpoint privado do plano de controle. Os nós do cluster precisarão ter acesso a um registro privado para baixar imagens, conforme descrito acima.
Você também pode usar serviços do Google, como Cloud VPN ou Cloud Interconnect VLAN, para facilitar a conectividade entre a rede da sua organização e sua VPC do Google.