Konfigurasi cluster pribadi lanjutan

Halaman ini menjelaskan beberapa konfigurasi lanjutan yang mungkin Anda inginkan saat membuat cluster pribadi. Untuk mempelajari konfigurasi dasar cluster pribadi, lihat Membuat cluster pribadi.

Memberikan akses internet keluar kepada node pribadi

Agar dapat memberikan akses internet keluar untuk node pribadi Anda, seperti untuk mengambil gambar dari registry eksternal, gunakan Cloud NAT untuk membuat dan mengonfigurasi Cloud Router. Cloud NAT memungkinkan cluster pribadi membuat koneksi keluar melalui internet untuk mengirim dan menerima paket.

Cloud Router memungkinkan semua node Anda di region tersebut menggunakan Cloud NAT untuk semua rentang IP primer dan alias. Cloud Router juga otomatis mengalokasikan alamat IP eksternal untuk gateway NAT.

Untuk mengetahui petunjuk cara membuat dan mengonfigurasi Cloud Router, lihat Membuat konfigurasi Cloud NAT menggunakan Cloud Router dalam dokumentasi Cloud NAT.

Membuat cluster pribadi di jaringan VPC Bersama

Untuk mempelajari cara membuat cluster pribadi di jaringan VPC Bersama, lihat Membuat cluster pribadi di VPC Bersama.

Mengakses endpoint pribadi bidang kontrol secara global

Endpoint pribadi bidang kontrol diimplementasikan oleh Load Balancer Jaringan passthrough internal di jaringan VPC bidang kontrol. Klien yang bersifat internal atau terhubung melalui tunnel Cloud VPN dan lampiran VLAN Cloud Interconnect dapat mengakses Load Balancer Jaringan passthrough internal.

Secara default, klien ini harus berlokasi di region yang sama dengan load balancer.

Jika Anda mengaktifkan akses global bidang kontrol, Load Balancer Jaringan passthrough internal dapat diakses secara global: VM klien dan sistem lokal dapat terhubung ke endpoint pribadi bidang kontrol, sesuai dengan konfigurasi jaringan yang diizinkan, dari wilayah mana pun.

Untuk mengetahui informasi selengkapnya tentang Load Balancer Jaringan passthrough internal dan akses global, lihat Load balancer internal dan jaringan yang terhubung.

Mengaktifkan akses global endpoint pribadi bidang kontrol

Secara default, akses global tidak diaktifkan untuk endpoint pribadi bidang kontrol saat Anda membuat cluster pribadi. Untuk mengaktifkan akses global bidang kontrol, gunakan alat berikut berdasarkan mode cluster Anda:

  • Untuk cluster Standard, Anda dapat menggunakan Google Cloud CLI atau konsol Google Cloud.
  • Untuk cluster Autopilot, Anda dapat menggunakan resource Terraform google_container_cluster.

Konsol

Untuk membuat cluster pribadi baru dengan akses global bidang kontrol aktif, lakukan langkah-langkah berikut:

  1. Buka halaman Google Kubernetes Engine di konsol Google Cloud.

    Buka Google Kubernetes Engine

  2. Klik Buat lalu di bagian Standar atau Autopilot, klik Konfigurasi.

  3. Masukkan Nama.

  4. Di panel navigasi, klik Networking.

  5. Pilih Cluster pribadi.

  6. Centang kotak Aktifkan Akses global bidang kontrol.

  7. Konfigurasikan kolom lain sesuai keinginan Anda.

  8. Klik Create.

Guna mengaktifkan akses global bidang kontrol untuk cluster pribadi yang ada, lakukan langkah-langkah berikut:

  1. Buka halaman Google Kubernetes Engine di konsol Google Cloud.

    Buka Google Kubernetes Engine

  2. Di samping cluster yang ingin diedit, klik Tindakan, lalu klik Edit.

  3. Di bagian Networking, di samping Akses global bidang kontrol, klik Edit.

  4. Pada dialog Edit akses global bidang kontrol, centang kotak Aktifkan Akses global bidang kontrol.

  5. Klik Simpan Perubahan.

gcloud

Tambahkan flag --enable-master-global-access untuk membuat cluster pribadi dengan akses global ke endpoint pribadi bidang kontrol yang aktif:

gcloud container clusters create CLUSTER_NAME \
    --enable-private-nodes \
    --enable-master-global-access

Anda juga dapat mengaktifkan akses global ke endpoint pribadi bidang kontrol untuk cluster pribadi yang sudah ada:

gcloud container clusters update CLUSTER_NAME \
    --enable-master-global-access

Memverifikasi akses global endpoint pribadi bidang kontrol

Anda dapat memverifikasi bahwa akses global ke endpoint pribadi bidang kontrol diaktifkan dengan menjalankan perintah berikut dan melihat outputnya.

gcloud container clusters describe CLUSTER_NAME

Outputnya mencakup bagian privateClusterConfig tempat Anda dapat melihat status masterGlobalAccessConfig.

privateClusterConfig:
  enablePrivateNodes: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12
  masterGlobalAccessConfig:
    enabled: true

Mengakses endpoint pribadi bidang kontrol dari jaringan lain

Saat membuat cluster pribadi GKE dan menonaktifkan endpoint publik bidang kontrol, Anda harus mengelola cluster dengan alat seperti kubectl menggunakan endpoint pribadi bidang kontrolnya. Anda dapat mengakses endpoint pribadi bidang kontrol cluster dari jaringan lain, termasuk jaringan berikut:

  • Jaringan lokal yang terhubung ke jaringan VPC cluster menggunakan tunnel Cloud VPN atau lampiran VLAN Cloud Interconnect
  • Jaringan VPC lain yang terhubung ke jaringan VPC cluster menggunakan tunnel Cloud VPN

Diagram berikut menunjukkan jalur perutean antara jaringan lokal dan node bidang kontrol GKE:

Diagram yang menunjukkan pemilihan rute antara VPC lokal dan bidang kontrol cluster

Agar sistem di jaringan lain dapat terhubung ke endpoint pribadi bidang kontrol cluster, selesaikan persyaratan berikut:

  1. Identifikasi dan catat informasi jaringan yang relevan untuk cluster dan endpoint pribadi bidang kontrolnya.

    gcloud container clusters describe CLUSTER_NAME \
   --location=COMPUTE_LOCATION \
   --format="yaml(network, privateClusterConfig)"

    Ganti kode berikut:

    Dari output perintah, identifikasi dan catat informasi berikut untuk digunakan pada langkah berikutnya:

    • network: Nama atau URI untuk jaringan VPC cluster.
    • privateEndpoint: Alamat IPv4 endpoint pribadi bidang kontrol atau rentang CIDR IPv4 yang mencakup (masterIpv4CidrBlock).
    • peeringName: Nama koneksi Peering Jaringan VPC yang digunakan untuk menghubungkan jaringan VPC cluster ke jaringan VPC bidang kontrol.

    Outputnya mirip dengan hal berikut ini:

    network: cluster-network
privateClusterConfig:
  enablePrivateNodes: true
  masterGlobalAccessConfig:
    enabled: true
  masterIpv4CidrBlock: 172.16.1.0/28
  peeringName: gke-1921aee31283146cdde5-9bae-9cf1-peer
  privateEndpoint: 172.16.1.2
  publicEndpoint: 34.68.128.12

  2. Pertimbangkan untuk mengaktifkan akses global endpoint pribadi bidang kontrol agar paket dapat masuk dari region mana pun di jaringan VPC cluster. Dengan mengaktifkan akses global endpoint pribadi bidang kontrol, Anda dapat terhubung ke endpoint pribadi menggunakan tunnel Cloud VPN atau lampiran VLAN Cloud Interconnect yang terletak di region mana pun, bukan hanya di region cluster.

  3. Buat rute untuk alamat IP privateEndpoint atau rentang alamat IP masterIpv4CidrBlock di jaringan lain. Karena alamat IP endpoint pribadi bidang kontrol selalu cocok dalam rentang alamat IPv4 masterIpv4CidrBlock, membuat rute untuk alamat IP privateEndpoint atau rentang cakupannya akan menyediakan jalur untuk paket dari jaringan lain ke endpoint pribadi bidang kontrol jika:

    • Jaringan lainnya terhubung ke jaringan VPC cluster menggunakan lampiran VLAN Cloud Interconnect atau terowongan Cloud VPN yang menggunakan rute dinamis (BGP): Gunakan pemberitahuan rute kustom Cloud Router. Untuk informasi selengkapnya, lihat Menayangkan Rentang IP Kustom dalam dokumentasi Cloud Router.

    • Jaringan lainnya terhubung ke jaringan VPC cluster menggunakan tunnel VPN Klasik yang tidak menggunakan rute dinamis: Anda harus mengonfigurasi rute statis di jaringan lain.

  4. Konfigurasi jaringan VPC cluster untuk mengekspor rute kustomnya dalam hubungan peering ke jaringan VPC bidang kontrol. Google Cloud selalu mengonfigurasi jaringan VPC bidang kontrol untuk mengimpor rute kustom dari jaringan VPC cluster. Langkah ini memberikan jalur untuk paket dari endpoint pribadi bidang kontrol kembali ke jaringan lain.

    Untuk mengaktifkan ekspor rute kustom dari jaringan VPC cluster Anda, gunakan perintah berikut:

    gcloud compute networks peerings update PEERING_NAME \
    --network=CLUSTER_VPC_NETWORK \
    --export-custom-routes

    Ganti kode berikut:

    • PEERING_NAME: nama untuk peering yang menghubungkan jaringan VPC cluster ke jaringan VPC bidang kontrol
    • CLUSTER_VPC_NETWORK: nama atau URI jaringan VPC cluster

    Jika ekspor rute kustom diaktifkan untuk VPC, pembuatan rute yang tumpang-tindih dengan rentang IP Google Cloud dapat merusak cluster Anda.

    Untuk mengetahui detail selengkapnya tentang cara memperbarui pertukaran rute untuk koneksi Peering Jaringan VPC yang ada, lihat Memperbarui koneksi peering.

    Rute kustom di jaringan VPC cluster mencakup rute yang tujuannya adalah rentang alamat IP di jaringan lain, misalnya, jaringan lokal. Untuk memastikan rute ini menjadi efektif sebagai rute kustom peering di jaringan VPC bidang kontrol, lihat Tujuan yang didukung dari jaringan lain.

Tujuan yang didukung dari jaringan lain

Rentang alamat yang dikirim jaringan lain ke Cloud Router di jaringan VPC cluster harus mematuhi kondisi berikut:

  • Meskipun VPC cluster Anda mungkin menerima rute default (0.0.0.0/0), jaringan VPC bidang kontrol selalu menolak rute default karena sudah memiliki rute default lokal. Jika jaringan lain mengirimkan rute default ke jaringan VPC Anda, jaringan lain tersebut juga harus mengirim tujuan tertentu dari sistem yang perlu terhubung ke endpoint pribadi bidang kontrol. Untuk detail selengkapnya, lihat Urutan pemilihan rute.

  • Jika jaringan VPC bidang kontrol menerima rute yang secara efektif menggantikan rute default, rute tersebut akan memutus konektivitas ke API dan layanan Google Cloud, sehingga mengganggu bidang kontrol cluster. Sebagai contoh representatif, jaringan lain tidak boleh mengiklankan rute dengan tujuan 0.0.0.0/1 dan 128.0.0.0/1. Lihat poin sebelumnya untuk alternatif.

Pantau batas Cloud Router, terutama jumlah maksimum tujuan unik untuk rute yang dipelajari.

Melindungi cluster pribadi dengan Kontrol Layanan VPC

Untuk lebih mengamankan cluster pribadi GKE, Anda dapat melindunginya menggunakan Kontrol Layanan VPC.

Kontrol Layanan VPC memberikan keamanan tambahan untuk cluster pribadi GKE Anda guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan Kontrol Layanan VPC, Anda dapat menambahkan project ke perimeter layanan yang melindungi resource dan layanan dari permintaan yang berasal dari luar perimeter.

Untuk mempelajari perimeter layanan lebih lanjut, lihat Detail dan konfigurasi perimeter layanan.

Jika menggunakan Artifact Registry dengan cluster pribadi GKE di perimeter layanan Kontrol Layanan VPC, Anda harus mengonfigurasi perutean ke IP virtual terbatas untuk mencegah pemindahan data yang tidak sah.