Un cluster privato è un cluster nativo di Virtual Private Cloud (VPC) che dipende solo dagli indirizzi IP interni. Ciò significa che i nodi e i pod sono isolati da internet per impostazione predefinita. Questa pagina spiega come utilizzare Cloud Code per connetterti a cluster privati con e senza accesso all'endpoint pubblico e consentire ai cluster privati di accedere alle risorse dall'esterno Google Cloud.
Per informazioni sui cluster privati, consulta Cluster privati. Per i passaggi per configurare i cluster privati, consulta Creare un cluster privato.
Aggiungere un cluster GKE privato a KubeConfig
L'aggiunta di un cluster privato in Cloud Code ha il seguente comportamento:
Per i cluster con l'endpoint pubblico abilitato, l'aggiunta del cluster imposta l'indirizzo del cluster in KubeConfig sull'IP esterno.
Per i cluster con l'endpoint pubblico disattivato, l'aggiunta del cluster imposta l'indirizzo del cluster in KubeConfig sull'IP VPC interno del cluster.
Per aggiungere una rete autorizzata a un cluster esistente, assicurati di essere connesso a una rete autorizzata, poiché questo cluster ha le reti autorizzate abilitate.
Per saperne di più sulla connessione alle VM senza indirizzi IP esterni, consulta Connessione sicura alle istanze VM. Per gestire/eliminare le istanze che hai creato, consulta Istanze VM.
Per connettersi correttamente al cluster privato, Cloud Code deve essere in esecuzione su una macchina nella rete del cluster o essere in grado di accedere alla rete del cluster, ad esempio utilizzando un server proxy, Cloud Interconnect o Cloud VPN.
Per i passaggi per creare cluster GKE in Cloud Code e aggiungere cluster GKE esistenti a Cloud Code, consulta Creare e configurare un cluster GKE. Cloud Code apre la Google Cloud console per creare il cluster.
Dopo aver creato il cluster, configura Cloud NAT per abilitare le connessioni a internet in uscita dal cluster, se non è stato configurato durante la creazione del cluster. Per gestire/eliminare le reti che hai creato, consulta Reti VPC.
Risolvere i problemi di connessione ai cluster privati
Se l'ambiente di sviluppo non è configurato correttamente per accedere a un cluster privato, vengono visualizzati consigli su come risolvere il problema nei seguenti contesti:
Nella sezione Kubernetes espansa, i cluster a cui Cloud Code non riesce a connettersi vengono visualizzati con un'icona di errore accanto al nome del cluster. Per visualizzare possibili soluzioni alternative e una spiegazione più lunga del potenziale problema, fai clic sul nome del cluster.
Quando provi a eseguire operazioni su un cluster inaccessibile a causa di potenziali problemi con la configurazione del cluster privato, una notifica mostra un messaggio di errore con una spiegazione più lunga del potenziale problema e delle possibili soluzioni alternative.
Configurare un server proxy per un cluster
Se l' API del piano di controllo non è disponibile pubblicamente, ad esempio in un cluster GKE con l' endpoint pubblico disattivato, puoi configurare Cloud Code per inviare le richieste al piano di controllo tramite un server proxy sulla stessa rete o VPC del cluster:
- Configura un server proxy sulla stessa rete del cluster, se non l'hai già fatto. Per i passaggi per configurare una VM Compute Engine come server proxy di base, consulta Accedere in remoto a un cluster privato utilizzando un bastion host. Per ulteriori dettagli, consulta Creare cluster privati Google Kubernetes Engine con proxy di rete per l'accesso al controller.
- Fai clic con il tasto destro del mouse sul nome di un cluster che hai
aggiunto a Cloud Code e poi fai clic su
Configura il proxying di Kubectl per il cluster. Segui le istruzioni per inserire il nome del server proxy, che viene memorizzato nel campo
proxy-urldel cluster. La visualizzazione Kubernetes si ricarica per mostrare il cluster connesso.
Annullare il proxying di Kubernetes
Fai clic con il tasto destro del mouse sul nome di un cluster che hai configurato per il proxying di Kubernetes e poi fai clic su Annulla il proxying di Kubectl per il cluster. Cloud Code interrompe il proxying delle richieste per il cluster annullando l'impostazione del campo proxy-url in KubeConfig.
Accedere alle risorse esterne Google Cloud dai cluster
Tutte le configurazioni dei cluster privati GKE non forniscono ai nodi l'accesso a internet. Di conseguenza, i cluster non possono raggiungere le API sulla rete internet pubblica. I cluster vengono configurati automaticamente con l'accesso privato Google, che, ad esempio, consente ai cluster di estrarre le immagini da Artifact Registry. Le API e i registri di immagini esterni non sono accessibili senza una configurazione aggiuntiva per consentire le connessioni a internet in uscita dai nodi. Google Cloud Per fornire queste connessioni, puoi configurare Cloud NAT sul tuo VPC da Cloud Code:
- Esegui il comando Concedi ai nodi GKE privati l'accesso a internet in uscita facendo clic con il tasto destro del mouse su un cluster o dalla tavolozza dei comandi (premi
Ctrl/Cmd+Shift+Po fai clic su Visualizza > Tavolozza comandi). - Nel terminale, modifica i
gcloud compute routers createe igcloud beta compute routers nats createcomandi per specificare i valori per la tua applicazione. - Per eseguire i comandi, premi
Enter. - Per gestire/eliminare i router che hai creato, consulta Router Cloud.