在 Application Design Center 中配置 GKE Standard 集群

GKE Standard 集群提供了一个受管环境，您可以使用 Google 基础架构在其中部署、管理和伸缩容器化应用。本文档介绍了使用应用设计中心创建 GKE Standard 集群时可以配置的连接和参数。配置参数基于 GKE 标准集群 Terraform 模块。

组件连接

下表列出了可连接到 GKE Standard 集群的组件，以及对应用及其生成的 Terraform 代码的相应更新。

组件	说明	背景信息
Google Kubernetes Engine 节点池	向集群配置添加节点池。	关于节点池

必需的配置参数

如果您的模板包含 GKE Standard 集群，则必须先配置以下参数，然后才能进行部署。

功能	参数名称	说明和限制条件信息	背景信息
	名称	集群的名称。	集群配置选项简介
	项目 ID	您要在其中创建 GKE Standard 集群的项目。	配置组件
	网络	网络	探索 GKE 网络文档和使用情形
	子网	子网	探索 GKE 网络文档和使用情形
主授权网络配置	CIDR 地址段显示名称	displayName	GKE 中的网络隔离简介
主授权网络配置	CIDR 地址段	cidrBlock	GKE 中的网络隔离简介
工作负载身份配置	工作负载池	workloadPool	使用 Workload Identity
	区域或可用区	创建集群的位置（区域或可用区）。	集群可用性

可选配置参数

以下参数为可选参数。如需显示高级参数，请在配置区域中选择显示高级字段。

功能	参数名称	说明和限制条件信息	背景信息
	说明	description
	节点位置	locations	节点的位置和分布
	删除防护	是否禁止 Terraform 销毁集群。只有当 Terraform 状态中此字段为 false 时，才能成功使用 terraform destroy 或 terraform apply 删除此集群。	deletion_protection
主授权网络配置	Gcp Public Cidrs Access Enabled	gcpPublicCidrsAccessEnabled	GKE 中的网络隔离简介
主授权网络配置	专用端点强制执行已启用	privateEndpointEnforcementEnabled	GKE 中的网络隔离简介
插件配置	HTTP 负载均衡	HttpLoadBalancing	适用于应用负载平衡器的 GKE Ingress
	Pod 横向自动扩缩	horizontalPodAutoscaling	Pod 横向自动扩缩
	网络政策配置	networkPolicyConfig	使用网络政策控制 Pod 和服务之间的通信
	Istio 配置	已停用	使用 Istio 保护 Kubernetes 服务
	Istio Auth	auth	身份验证概览
	DNS 缓存配置	DnsCacheConfig	设置 NodeLocal DNSCache
	Config Connector 配置	configConnectorConfig	使用 GKE 插件进行安装
	GCE Persistent Disk CSI 驱动程序配置	gcePersistentDiskCsiDriverConfig	使用 Compute Engine 永久性磁盘 CSI 驱动程序
	Kalm 配置	kalmConfig	什么是 Kalm
	GCP Filestore CSI 驱动程序配置	GcpFilestoreCsiDriverConfig	使用 Filestore CSI 驱动程序访问 Filestore 实例
	GKE Backup Agent Config	GkeBackupAgentConfig	Backup for GKE
	GCS Fuse CSI 驱动程序配置	GcsFuseCsiDriverConfig	关于适用于 GKE 的 Cloud Storage FUSE CSI 驱动程序
	有状态 HA 配置	StatefulHaConfig	使用 Stateful HA Operator 提高有状态应用的可用性
	Parallelstore CSI 配置	ParallelstoreCsiDriverConfig	关于 Google Kubernetes Engine Parallelstore CSI 驱动程序
	Ray Operator 配置	RayOperatorConfig	Ray on GKE 简介
	Ray 集群日志记录配置	RayClusterLoggingConfig	收集和查看 Google Kubernetes Engine 上的 Ray 集群的日志和指标
	Ray 集群监控配置	RayClusterMonitoringConfig
	集群 IPv4 CIDR	clusterIpv4Cidr	创建 VPC 原生集群
集群自动扩缩	已启用	enableNodeAutoprovisioning	GKE 集群自动扩缩简介
	资源限制	resourceLimits	GKE 集群自动扩缩简介
	自动配置默认值	AutoprovisioningNodePoolDefaults	节点池自动创建简介
	安全强化型实例配置	ShieldedInstanceConfig	使用安全强化型 GKE 节点
	自动升级	autoUpgrade	自动升级节点
	自动修复	autoRepair	节点自动修复
	升级设置	UpgradeSettings	自动升级节点
	自动配置位置	autoprovisioningLocations[]	GKE 集群自动扩缩简介
	自动扩缩配置文件	AutoscalingProfile	GKE 集群自动扩缩简介
Binary Authorization	评估模式	BinaryAuthorization	使用 Binary Authorization
服务外部 IP 配置	已启用	ServiceExternalIpsConfig	使用服务公开应用
网格证书	启用证书	meshCertificates
数据库加密		DatabaseEncryption	在应用层对 Secret 加密
	每个节点的默认 Pod 数量上限	defaultMaxPodsConstraint	配置每个节点的最大 Pod 数量
	启用 Kubernetes Alpha 版	enableKubernetesAlpha	Alpha 版集群
启用 K8s Beta 版 API	已启用的 API	K8sBetaApisConfig	将 Kubernetes Beta 版 API 与 GKE 集群搭配使用
	启用 TPU	enableTpu	关于 GKE 中的 Cloud TPU
	启用旧版 ABAC	LegacyAbac	更新旧版身份验证方法
	启用安全强化型节点	ShieldedNodes	使用安全强化型 GKE 节点
	初始节点数	initialNodeCount	添加和管理节点池
IP 分配政策		IpAllocationPolicy	VPC 原生集群
日志记录配置	启用组件	enableComponents	GKE 日志简介
	日志记录服务	loggingService	排查 GKE 中的日志记录问题
维护政策		MaintenancePolicy	维护期和排除项
主身份验证		clientCertificateConfig	向 Kubernetes API 服务器进行身份验证
	最低主版本	min_master_version	版本控制和升级
监控配置	启用组件	enableComponents	配置指标收集
	监控服务	monitoringService	配置指标收集
网络政策		NetworkPolicy	使用网络政策控制 Pod 和服务之间的通信
节点配置	机密节点	ConfidentialNodes	通过机密 GKE 节点加密使用中的工作负载数据
	磁盘大小（以 Gb 为单位）	diskSizeGb	GKE 节点大小配置简介
	磁盘类型	diskType	本地临时存储预留
	启用机密存储	enableConfidentialStorage	通过机密 Google Kubernetes Engine 节点加密使用中的工作负载数据
	本地 SSD 加密模式	LocalSsdEncryptionMode	GKE 的本地 SSD 简介
	Ephemeral Storage Local Ssd Config	EphemeralStorageLocalSsdConfig	GKE 的本地 SSD 简介
	Fast Socket	FastSocket	使用 NCCL Fast Socket 提高工作负载效率
	本地 NVMe SSD 块配置	LocalNvmeSsdBlockConfig	GKE 的本地 SSD 简介
	辅助启动磁盘	secondaryBootDisks	使用辅助启动磁盘预加载数据或容器映像
	GCFS 配置	GcfsConfig	使用映像流式传输拉取容器映像
	虚拟网卡	virtualNic	Pod 的多网络支持简介
	Guest Accelerator	acceleratorConfig	在 GKE Standard 节点池中运行 GPU
	标签	labels	创建和管理集群和节点池标签
	资源标签	resourceLabels	创建和管理集群和节点池标签
	最长运行时间	maxRunDuration	限制自动创建的节点的运行时间
	灵活启动	flexStart	通过灵活启动（带已排队的预配）运行大规模工作负载
	本地 SSD 数量	localSsdCount	GKE 的本地 SSD 简介
	机器类型	machineType	为节点池选择机器类型
	元数据	元数据	虚拟机元数据简介
	Min Cpu Platform	minCpuPlatform	选择满足最低要求的 CPU 平台
	OAuth 范围	oauthScopes	GKE 中的访问权限范围
	抢占式	抢占式	使用抢占式虚拟机运行容错工作负载
	预留亲和性	reservationAffinity	使用预留的可用区级资源
	Spot	spot	Spot 虚拟机
	沙盒配置	sandboxConfig	GKE Sandbox
	启动磁盘 KMS 密钥	boot_disk_kms_key	使用客户管理的加密密钥 (CMEK)
	服务账号	serviceAccount	GKE 中的服务账号简介
	安全强化型实例配置	ShieldedInstanceConfig	使用安全强化型 GKE 节点
	存储池	storage_pools	用于 GKE 集群的存储概览
	标记	标记	使用标签管理 GKE 资源
	Resource Manager 标记	resourceManagerTags	标记概述
	Taint	NodeTaint	在 GKE 中配置工作负载隔离
	工作负载元数据配置	workloadMetadataConfig	从 GKE 工作负载向 Google Cloud API 进行身份验证
	节点 Kubelet 配置	NodeKubeletConfig	自定义 NDE 系统配置
	Linux 节点配置	LinuxNodeConfig	LinuxNodeConfig
	Windows 节点配置	windowsNodeConfig	使用 Windows Server 节点池创建集群
	Containerd 配置	ContainerdConfig	Containerd 节点映像
	节点组	node_group	使用单租户节点隔离 GKE 工作负载
	单租户配置	soleTenantConfig	使用单租户节点隔离 GKE 工作负载
节点池自动配置	不安全的 Kubelet 只读端口已启用	insecureKubeletReadonlyPortEnabled	在 GKE 集群中停用 kubelet 只读端口
	Resource Manager 标记	resourceManagerTags	标记概述
	广告联盟代码	标记	标记概述
	Linux 节点配置	LinuxNodeConfig	Linux cgroup 模式配置选项
节点池	集群	cluster-1	关于节点池
	项目	project
	区域数	location
	名称	name
	名称前缀	name_prefix
	节点数	node_count
	Kubernetes 版本	version
	节点位置	locations[]
	初始节点数	initialNodeCount
	每个节点的 Pod 数上限	maxPodsConstraint	配置每个节点的 Pod 数上限
	自动扩缩	已启用	节点池自动扩缩
	节点数下限	minNodeCount
	节点数上限	maxNodeCount
	节点数下限总计	totalMinNodeCount
	节点数上限总计	totalMaxNodeCount
	位置信息政策	locationPolicy
	自动修复	autoRepair	节点自动修复
	自动升级	autoUpgrade	自动升级节点
	磁盘大小（以 Gb 为单位）	diskSizeGb	关于节点池
	磁盘类型	diskType	关于节点池
	启用机密存储	enableConfidentialStorage	通过机密 Google Kubernetes Engine 节点加密使用中的工作负载数据
	本地 SSD 加密模式	localSsdEncryptionMode	GKE 的本地 SSD 简介
	映像类型	imageType	节点映像
	标签	labels	创建和管理集群和节点池标签
	资源标签	resourceLabels	创建和管理集群和节点池标签
	最长运行时间	maxRunDuration	限制自动预配的节点的运行时间
	灵活启动	flexStart	使用灵活启动运行大规模工作负载
	本地 SSD 数量	localSsdCount	GKE 的本地 SSD 简介
	机器类型	machineType	机器系列资源和比较指南
	元数据	元数据	虚拟机元数据简介
	Min Cpu Platform	minCpuPlatform	选择满足最低要求的 CPU 平台
	OAuth 范围	oauthScopes[]	GKE 中的访问权限范围
	抢占式	抢占式	使用抢占式虚拟机运行容错工作负载
	Spot	spot	Spot 虚拟机
	启动磁盘 KMS 密钥	boot_disk_kms_key	使用客户管理的加密密钥 (CMEK)
	服务账号	serviceAccount	GKE 中的服务账号简介
	存储池	storage_pools	用于 GKE 集群的存储概览
	标记	标记	使用标签管理 GKE 资源
	Resource Manager 标记	resourceManagerTags	标记概述
	节点组	node_group	使用单租户节点隔离 GKE 工作负载
	机密节点	已启用	通过机密 GKE 节点加密使用中的工作负载数据
	临时存储配置	EphemeralStorageLocalSsdConfig	GKE 的本地 SSD 简介
	本地 SSD 数量	localSsdCount	GKE 的本地 SSD 简介
	本地 SSD 数量	localSsdCount	GKE 的本地 SSD 简介
	数据缓存计数	dataCacheCount	GKE 的本地 SSD 简介
	Fast Socket	FastSocket	使用 NCCL Fast Socket 提高工作负载效率
	本地 NVMe SSD 块配置	LocalNvmeSsdBlockConfig	GKE 的本地 SSD 简介
	日志记录变体	variant	调整日志吞吐量
	磁盘映像	diskImage	使用辅助启动磁盘预加载数据或容器映像
	Mode	mode	使用辅助启动磁盘预加载数据或容器映像
	GCFS 配置	GcfsConfig	使用映像流式传输拉取容器映像
	Gvnic	virtualNic	Pod 的多网络支持简介
	Guest 加速器类型	acceleratorType	在 GKE Standard 节点池中运行 GPU
	计数	acceleratorCount	在 GKE Standard 节点池中运行 GPU
	GPU 驱动程序版本	gpuDriverVersion	在 GKE Standard 节点池中运行 GPU
	GPU 分区大小	gpuPartitionSize	在 GKE Standard 节点池中运行 GPU
	GPU 共享策略	gpuSharingStrategy	GKE 中的 GPU 共享策略简介
	每个 GPU 的共享客户端数量上限	maxSharedClientsPerGpu	GKE 中的 GPU 共享策略简介
	使用预留类型	consumeReservationType	使用预留的可用区级资源
	键	key
	值	values[]
	沙盒类型	sandboxConfig	GKE Sandbox
	启用安全启动	enableSecureBoot	使用安全强化型 GKE 节点
	启用完整性监控	enableIntegrityMonitoring	使用安全强化型 GKE 节点
Taint	NodeTaint	在 GKE 中配置工作负载隔离
工作负载元数据模式	mode	从 GKE 工作负载向 Google Cloud API 进行身份验证
Kubelet 配置	NodeKubeletConfig	自定义 NDE 系统配置
Linux 节点配置	LinuxNodeConfig	LinuxNodeConfig
Windows 节点配置	windowsNodeConfig	使用 Windows Server 节点池创建集群
Containerd 配置	ContainerdConfig	Containerd 节点映像
单租户配置	soleTenantConfig	使用单租户节点隔离 GKE 工作负载
网络配置	NodenetworkConfig	VPC 原生集群
升级设置	upgradeSettings	配置节点升级策略
布置政策	PlacementPolicy	为 GKE 节点定义紧凑放置
已排队的预配	QueuedProvisioning	通过灵活启动（带已排队的预配）运行大规模工作负载
节点池默认值	节点配置默认值	NodePoolDefaults	配置节点池自动创建
	Node 版本	version	GKE 版本控制和支持
通知配置	已启用 Pub/Sub	PubSub	集群通知
	主题	主题
	过滤事件类型	filter
机密节点	已启用	ConfidentialNodes	通过机密 Google Kubernetes Engine 节点加密使用中的工作负载数据
Pod 安全政策配置	已启用	podSecurityPolicyConfig	PodSecurityPolicy 弃用
Pod 自动扩缩	HPA Profile	PodAutoscaling	Pod 横向自动扩缩
Pod 纵向自动扩缩	已启用	VerticalPodAutoscaling	Pod 纵向自动扩缩
Secret Manager 配置	已启用	SecretManagerConfig	通过 Secret 管理保护数据
身份验证器组配置	安全组	AuthenticatorGroupsConfig	为 RBAC 配置 Google 群组
控制平面端点配置	DNS 端点配置		GKE 中的网络隔离简介
专用集群配置		PrivateClusterConfig	创建专用集群
集群遥测	类型	clusterTelemetry
发布版		ReleaseChannel	发布渠道简介
	移除默认节点池	remove_default_node_pool
	资源标签	resourceLabels	创建和管理集群和节点池标签
费用管理配置	已启用	CostManagementConfig	获取 GKE 资源分配和集群费用的关键支出分析
资源使用情况导出配置	已启用	ResourceUsageExportConfig	了解集群资源用量
工作负载身份配置	工作负载池	workloadPool	使用 Workload Identity
Identity Service 配置	已启用	IdentityServiceConfig	使用外部身份提供方向 GKE 进行身份验证
	启用节点内可见性	enableIntranodeVisibility	设置节点内可见性
	启用 L4 Ilb 子集	enableL4ilbSubsetting	创建内部负载均衡器
	停用 L4 LB 防火墙协调	disableL4LbFirewallReconciliation	适用于 GKE LoadBalancer Service 的用户管理防火墙规则
	启用多网络	enableMultiNetworking	Pod 的多网络支持简介
	传输加密配置	InTransitEncryptionConfig	GKE 中的 FIPS 验证加密简介
	启用 FQDN 网络政策	enableFqdnNetworkPolicy	使用 FQDN 网络政策控制 Pod 出站流量
	启用 Cilium 集群级网络政策	enableCiliumClusterwideNetworkPolicy	使用网络政策控制集群级通信
	专用 IPv6 Google 访问通道	PrivateIpv6GoogleAccess	VPC 原生集群
	数据路径提供程序	DatapathProvider	使用 GKE Dataplane V2
默认 SNAT 状态		defaultSnatStatus	IP 伪装代理
DNS 配置		DNSConfig	使用 Cloud DNS for GKE
网关 API 配置		GatewayAPIConfig	关于 Gateway API
保护配置		ProtectConfig
安全状况配置		SecurityPostureConfig	安全状况信息中心简介
舰队	项目	Fleet	舰队管理
工作负载替代项配置	启用备选版本	WorkloadALTSConfig
企业配置	所需层级	EnterpriseConfig
	超时	超时