Halaman ini menjelaskan cara kerja cluster pribadi di Google Kubernetes Engine (GKE). Anda juga dapat mempelajari cara membuat cluster pribadi.
Cluster pribadi menggunakan node yang tidak memiliki alamat IP eksternal. Artinya, klien di internet tidak dapat terhubung ke alamat IP node. Cluster pribadi ideal untuk beban kerja yang—misalnya—memerlukan akses terkontrol karena peraturan keamanan dan privasi data.
Cluster pribadi tersedia dalam mode Standar atau Autopilot.
Arsitektur cluster pribadi
Tidak seperti cluster publik, cluster pribadi memiliki endpoint internal bidang kontrol dan endpoint eksternal bidang kontrol.
Diagram berikut memberikan ringkasan arsitektur untuk cluster pribadi:
Berikut ini adalah komponen inti dari cluster pribadi:
Bidang kontrol: Bidang kontrol memiliki endpoint internal untuk komunikasi cluster internal dan endpoint eksternal. Anda dapat memilih untuk menonaktifkan endpoint eksternal.
Node: Node hanya menggunakan alamat IP internal, sehingga mengisolasinya dari internet publik.
Jaringan VPC: Ini adalah jaringan virtual tempat Anda membuat subnet dengan rentang alamat IP internal, khusus untuk node dan Pod cluster.
Akses Google Pribadi: Akses ini diaktifkan di subnet cluster dan memungkinkan node dengan alamat IP internal menjangkau Google Cloud API dan layanan penting tanpa memerlukan alamat IP publik. Misalnya, Akses Google Pribadi diperlukan agar cluster pribadi dapat mengakses image container dari Artifact Registry dan untuk mengirim log ke Cloud Logging. Akses Google Pribadi diaktifkan secara default di cluster pribadi, kecuali untuk cluster VPC Bersama yang memerlukan pengaktifan manual.
Bidang kontrol dalam cluster pribadi
Setiap cluster GKE memiliki server Kubernetes API yang dikelola oleh bidang kontrol.
Bidang kontrol berjalan di virtual machine (VM) yang berada di Jaringan VPC dalam project yang dikelola Google. Cluster regional memiliki beberapa replika bidang kontrol, yang masing-masing berjalan di VM-nya sendiri.
Dalam cluster pribadi, jaringan VPC bidang kontrol terhubung ke jaringan VPC cluster Anda dengan Peering Jaringan VPC. Jaringan VPC berisi node cluster, dan Jaringan VPC Google Cloud yang dikelola Google berisi bidang kontrol cluster.
Traffic antara node dan bidang kontrol dirutekan sepenuhnya menggunakan alamat IP internal. Jika Anda menggunakan Peering Jaringan VPC untuk menghubungkan jaringan VPC cluster ke jaringan ketiga, jaringan ketiga tidak dapat menjangkau resource di Jaringan VPC bidang kontrol. Hal ini karena Peering Jaringan VPC hanya mendukung komunikasi antara jaringan yang di-peering langsung, dan jaringan ketiga tidak dapat di-peering dengan jaringan bidang kontrol. Untuk mengetahui informasi selengkapnya, lihat Pembatasan Peering Jaringan VPC.
Endpoint dalam cluster pribadi
Bidang kontrol untuk cluster pribadi memiliki endpoint internal selain endpoint eksternal.
Endpoint internal adalah alamat IP internal di jaringan VPC
bidang kontrol. Dalam cluster pribadi, node selalu berkomunikasi dengan
endpoint internal bidang kontrol. Bergantung pada konfigurasi, Anda juga dapat mengelola cluster dengan alat seperti kubectl
yang juga terhubung ke endpoint pribadi. Setiap VM yang menggunakan subnet yang sama dengan cluster pribadi Anda juga dapat mengakses endpoint internal.
Endpoint eksternal adalah alamat IP eksternal bidang kontrol. Secara default,
alat seperti kubectl
berkomunikasi dengan bidang kontrol pada endpoint eksternalnya.
Opsi untuk akses ke endpoint cluster
Anda dapat mengontrol akses ke endpoint menggunakan salah satu konfigurasi berikut:
External endpoint access disabled: Ini adalah opsi yang paling aman karena mencegah semua akses internet ke bidang kontrol. Ini adalah pilihan yang bagus jika Anda telah mengonfigurasi jaringan lokal untuk terhubung ke Google Cloud menggunakan Cloud Interconnect atau Cloud VPN.
Jika akses endpoint eksternal dinonaktifkan, Anda harus mengonfigurasi jaringan yang diizinkan untuk endpoint internal. Jika tidak melakukannya, Anda hanya dapat terhubung ke endpoint internal dari node cluster atau VM di subnet yang sama dengan cluster. Dengan setelan ini, jaringan yang diizinkan harus berupa alamat IP internal.
Akses endpoint eksternal diaktifkan, jaringan yang diizinkan diaktifkan: Dalam konfigurasi ini, jaringan yang diizinkan diterapkan ke endpoint eksternal bidang kontrol. Ini adalah pilihan yang tepat jika Anda perlu mengelola cluster dari jaringan sumber yang tidak terhubung ke Jaringan VPC cluster Anda menggunakan Cloud Interconnect atau Cloud VPN.
Akses endpoint eksternal diaktifkan, jaringan yang diizinkan dinonaktifkan: Ini adalah default dan juga opsi yang paling tidak ketat. Karena jaringan yang diizinkan tidak diaktifkan, Anda dapat mengelola cluster dari alamat IP sumber mana pun selama Anda melakukan autentikasi.
Penggunaan ulang Peering Jaringan VPC
Cluster pribadi yang dibuat setelah 15 Januari 2020 menggunakan koneksi Peering Jaringan VPC umum jika cluster tersebut berada di zona atau region Google Cloud yang sama dan menggunakan jaringan VPC yang sama.
Untuk cluster zona: Cluster pribadi pertama yang Anda buat di suatu zona menghasilkan koneksi Peering Jaringan VPC baru ke jaringan VPC cluster. Cluster pribadi zona tambahan yang Anda buat di zona dan jaringan VPC yang sama menggunakan koneksi peering yang sama.
Untuk cluster regional: Cluster pribadi pertama yang Anda buat di region akan menghasilkan koneksi Peering Jaringan VPC baru ke jaringan VPC cluster. Cluster pribadi regional tambahan yang Anda buat di region dan jaringan VPC yang sama menggunakan koneksi peering yang sama.
Cluster zona dan regional menggunakan koneksi peering masing-masing, meskipun berada di region yang sama. Contoh:
Anda membuat dua atau lebih cluster pribadi zona di zona
us-east1-b
dan mengonfigurasinya untuk menggunakan jaringan VPC yang sama. Kedua cluster menggunakan koneksi peering yang sama.Anda dapat membuat dua atau beberapa cluster pribadi regional di region
us-east1
dan mengonfigurasinya untuk menggunakan jaringan VPC yang sama dengan cluster zona. Cluster regional ini menggunakan koneksi Peering Jaringan VPC yang sama satu sama lain, tetapi memerlukan koneksi peering yang berbeda agar dapat berkomunikasi dengan cluster zona.
Semua cluster pribadi yang dibuat sebelum 15 Januari 2020 menggunakan koneksi Peering Jaringan VPC yang unik. Dengan kata lain, cluster ini tidak menggunakan koneksi peering yang sama dengan cluster zona atau regional lainnya. Untuk mengaktifkan penggunaan kembali Peering Jaringan VPC pada cluster ini, Anda dapat menghapus dan membuat ulang cluster. Mengupgrade cluster tidak menyebabkan cluster tersebut menggunakan kembali koneksi Peering Jaringan VPC yang ada.
Untuk memeriksa apakah cluster pribadi Anda menggunakan koneksi Peering Jaringan VPC umum, lihat Memverifikasi penggunaan ulang peering VPC.
Pembatasan
Setiap zona atau region dapat mendukung maksimum 75 cluster pribadi jika cluster mengaktifkan penggunaan ulang Peering Jaringan VPC.
Penggunaan ulang Peering Jaringan VPC hanya berlaku untuk cluster di lokasi yang sama, misalnya cluster regional di region yang sama. Maksimum, Anda dapat memiliki empat Peering Jaringan VPC per region.
Untuk cluster yang dibuat sebelum 15 Januari 2020, setiap jaringan VPC dapat melakukan peering dengan hingga 25 jaringan VPC lain. Artinya, untuk cluster ini, ada batas maksimal 25 cluster pribadi per jaringan (dengan asumsi bahwa peering tidak digunakan untuk tujuan lain).
Langkah selanjutnya
- Baca ringkasan jaringan GKE.
- Pelajari cara membuat cluster pribadi.
- Pelajari cara membuat cluster VPC native.
- Pelajari cara men-deploy aplikasi Windows ke cluster pribadi.
- Pelajari peering VPC lebih lanjut.