Kubernetes 集群配置

本文档介绍了可用于 Kubernetes 集群的配置选项。您可以创建在单个项目中运行或跨多个项目运行的 Kubernetes 集群,以符合您在 Google Distributed Cloud (GDC) 气隙环境中管理容器工作负载的策略。集群配置还为管理操作提供基于不同权限的控制,因此您的容器工作负载设置可以由 GDC 管理,也可以根据您的使用情形手动配置,从而实现更高的灵活性。

本文档适用于平台管理员组中的 IT 管理员(负责创建 Kubernetes 集群以托管容器工作负载),以及应用运维人员组中的应用开发者(负责在气隙环境中开发容器应用)。 如需了解详情,请参阅 GDC 气隙环境文档的受众群体

配置选项

在 GDC 中,有两种集群配置可提供不同级别的管理和灵活性:

  • 共享集群:由平台管理员群组管理的多项目 Kubernetes 集群,可在组织级提供一整套集成式托管服务。
  • 标准集群:由应用运营方群组管理的单项目自助式 Kubernetes 集群,可为可能与共享环境中的托管式服务发生冲突的自定义工作负载提供更大的灵活性。

下表介绍了共享 Kubernetes 集群和标准 Kubernetes 集群之间的差异:

功能 共享集群 Standard 集群
所有者 平台管理员群组 应用运维人员群组
集群管理员 平台管理员群组 平台管理员群组或应用运维人员群组
租用 多个项目 单项目
生命周期管理 创建、读取、更新、删除和升级 创建、读取、更新、删除和升级
监控 Prometheus 与 Kubernetes 的 Grafana 信息中心 Prometheus 与 Kubernetes 的 Grafana 信息中心
跨项目的入站和出站 由 GDC 管理 可配置
备份和恢复 集群、项目和工作负载 集群、项目和工作负载
Kubernetes 命名空间管理 由 GDC 管理 可配置
自定义资源和控制器 由 GDC 管理 可配置
日志记录 由 GDC 管理 由 GDC 管理
审核和结算 由 GDC 管理 可配置
资源类型 仅限可用区 仅限可用区
Surface 支持 GDC 控制台、API 和 Terraform API 和 Terraform
代管式服务 包含一组不可配置的受保护服务。 包含一组最基本的服务,可提供更灵活的服务。
应用商店服务 包括与 Marketplace 服务的无缝集成。 无法集成。

如需了解详情,请参阅以下集群配置部分。

共享集群

共享集群提供由系统管理的集群,其中包含一套全面的受保护服务,例如 Istio、Gatekeeper、Managed Harbor Service、Nginx 等。集群的系统管理方法提供了一个在 platform 命名空间中运行的自成体系的 Kubernetes 集群配置,并且可以附加到您的任何现有项目。

由于共享集群可以跨多个项目,因此其范围为组织级,这意味着某些受众群体对其的可用性有限。平台管理员群组的主要任务是创建和管理共享集群,而应用开发者几乎不会进行监督。

跨项目的入站和出站网络流量由 GDC 管理。网络政策通常使用项目网络政策来处理。

共享集群的主要应用场景如下:

  • 您需要一个默认提供全套受管理功能且几乎无需自定义的集群。
  • 您希望跨多个项目管理容器工作负载。
  • 您没有从现有云环境迁移工作负载的要求。

如需详细了解如何创建共享集群,请参阅创建共享集群

标准集群

标准集群提供可配置的 Kubernetes 集群,其中包含一组最少量的服务,例如 Prometheus 和 Grafana。仅包含必要的服务,以提供必需的 Kubernetes 容器工作负载功能,让您可以根据自己的使用情形安装其他服务来定制集群。

标准集群仅在项目范围内有效,因此受限于项目的应用开发者可以直接控制其运行方式。应用运维人员组的主要任务是创建和管理共享集群,而平台管理员只需进行极少的监督。

在许多情况下,集群网络由应用开发者使用标准 Kubernetes 网络 API 控制,而不是依赖于 GDC 特定的网络配置。不过,标准集群可以配置部分 GDC 特有的网络配置,例如:

标准集群的主要应用场景如下:

  • 您需要一个默认提供最少服务的集群,以便进行全面的配置来满足您的需求。
  • 您希望更好地控制更深层的 Kubernetes 构造,例如自定义资源定义或命名空间。
  • 您只想在单个项目中管理容器工作负载。
  • 您在现有云环境中有现成的容器工作负载,想要将其迁移到 GDC 气隙环境。

如需详细了解如何创建标准集群,请参阅创建标准集群

后续步骤