Kubernetes 集群配置

本文档介绍了可用于 Kubernetes 集群的配置选项。您可以创建在单个项目中运行或跨多个项目运行的 Kubernetes 集群,以符合您在 Google Distributed Cloud (GDC) air-gapped 中管理容器工作负载的策略。集群配置还为管理操作提供基于不同权限的控制,因此 GDC 可以管理您的容器工作负载设置,或者您可以根据自己的使用情形手动配置这些设置,以获得更大的灵活性。

本文档面向以下受众群体:

  • 平台管理员群组中的 IT 管理员,负责创建 Kubernetes 集群来托管容器工作负载。

  • 应用运维人员组中的应用开发者,负责在气隙环境中开发容器应用。

如需了解详情,请参阅 GDC 气隙环境文档的受众群体

配置选项

在 GDC 中,有两种集群配置可提供不同级别的管理和灵活性:

  • 共享集群:由平台管理员群组管理的多项目 Kubernetes 集群,可在组织级别提供一整套集成式托管服务。
  • 标准集群:由应用运营方群组管理的单项目自助式 Kubernetes 集群,可为可能与共享环境中的托管式服务发生冲突的自定义工作负载提供更大的灵活性。

下表介绍了共享 Kubernetes 集群和标准 Kubernetes 集群之间的区别:

功能 共享集群 Standard 集群
所有者 平台管理员群组 应用运维人员群组
集群管理员 平台管理员群组 平台管理员群组或应用运维人员群组
租用 多个项目 单项目
生命周期管理 创建、读取、更新、删除和升级 创建、读取、更新、删除和升级
监控 Prometheus 与 Kubernetes 的 Grafana 信息中心 Prometheus 与 Kubernetes 的 Grafana 信息中心
跨项目的入站和出站 由 GDC 管理 可配置
备份和恢复 集群、项目和工作负载 集群、项目和工作负载
Kubernetes 命名空间管理 由 GDC 管理 可配置
自定义资源和控制器 由 GDC 管理 可配置
日志记录 由 GDC 管理 由 GDC 管理
审核和结算 由 GDC 管理 可配置
资源类型 仅限区域 仅限区域
Surface 支持 GDC 控制台、API 和 Terraform API 和 Terraform
托管式服务 包含一组不可配置的受保护服务。 包含一组最基本的服务,可提供更灵活的服务。
应用商店服务 包括与 Marketplace 服务的集成。 无法集成。

如需了解详情,请参阅以下集群配置部分。

共享集群

共享集群提供了一个由系统管理的集群,其中包含一组受保护的服务,例如 Istio、Gatekeeper、托管 Harbor 服务和 Nginx。集群的系统管理方法提供在 platform 命名空间中运行的意见性 Kubernetes 集群配置,并且可以附加到您的任何现有项目。

由于共享集群可以跨多个项目,因此其范围为组织级,这意味着其对某些受众群体的可用性有限。平台管理员组主要负责创建和管理共享集群,应用开发者几乎不会进行监督。

跨项目的入站和出站网络流量由 GDC 管理。网络政策通常使用项目网络政策来处理。

共享集群的主要应用场景如下:

  • 您需要一个默认提供全套受管理功能且几乎无需自定义的集群。
  • 您希望跨多个项目管理容器工作负载。
  • 您没有从现有云环境迁移工作负载的要求。

如需详细了解如何创建共享集群,请参阅创建共享集群

标准集群

标准集群提供可配置的 Kubernetes 集群,其中包含一组最少量的服务,例如 Prometheus 和 Grafana。标准集群仅包含必要的 Kubernetes 容器工作负载功能所需的基本服务,让您可以安装其他服务,以便根据自己的使用情形自定义集群。

标准集群的范围仅限于项目,这使得受限于项目的应用开发者可以直接控制集群的运行方式。应用运维人员组主要负责创建和管理标准集群,平台管理员的监督很少。

在许多情况下,应用开发者使用标准 Kubernetes 网络 API 控制集群网络,而不是依赖于 GDC 特定的网络配置。不过,标准集群可以配置部分 GDC 特有的网络配置,例如:

标准集群的主要应用场景如下:

  • 您需要一个默认提供最少服务的集群,以便进行全面配置来满足您的需求。
  • 您希望更好地控制更深层的 Kubernetes 构造,例如自定义资源定义或命名空间。
  • 您只想在单个项目中管理容器工作负载。
  • 您在现有云环境中有现有的容器工作负载,想要将其迁移到 GDC 气隙环境。

如需详细了解如何创建标准集群,请参阅创建标准集群

后续步骤