Esta página se ha traducido con Cloud Translation API.

Acerca de los clústeres privados

Autopilot Standard

En esta página se explica cómo funcionan los clústeres privados en Google Kubernetes Engine (GKE). También puedes consultar cómo crear clústeres privados.

Los clústeres privados usan nodos que no tienen direcciones IP externas. Esto significa que los clientes de Internet no pueden conectarse a las direcciones IP de los nodos. Los clústeres privados son ideales para cargas de trabajo que, por ejemplo, requieren un acceso controlado debido a las normativas de privacidad y seguridad de los datos.

Los clústeres privados están disponibles en los modos Standard y Autopilot.

Arquitectura de clústeres privados

A diferencia de los clústeres públicos, los clústeres privados tienen un endpoint interno y otro externo del plano de control.

En el siguiente diagrama se muestra un resumen de la arquitectura de un clúster privado:

Estos son los componentes principales de un clúster privado:

Plano de control: el plano de control tiene un endpoint interno para la comunicación interna del clúster y un endpoint externo. Puedes inhabilitar el endpoint externo.
Nodos: los nodos solo usan direcciones IP internas, lo que los aísla de Internet público.
Red de VPC: es una red virtual en la que creas subredes con intervalos de direcciones IP internas específicamente para los nodos y los pods del clúster.
Acceso privado de Google: esta opción está habilitada en la subred del clúster y permite que los nodos con direcciones IP internas accedan a las Google Cloud APIs y los servicios esenciales sin necesidad de direcciones IP públicas. Por ejemplo, se requiere Acceso privado de Google para que los clústeres privados accedan a imágenes de contenedor de Artifact Registry y envíen registros a Cloud Logging. La función Acceso privado de Google está habilitada de forma predeterminada en los clústeres privados, excepto en los clústeres de VPC compartida, que requieren que se habilite manualmente.

El plano de control en clústeres privados

Todos los clústeres de GKE tienen un servidor de la API de Kubernetes gestionado por el plano de control.

El plano de control se ejecuta en una máquina virtual (VM) que se encuentra en una red VPC de un proyecto gestionado por Google. Un clúster regional tiene varias réplicas del plano de control, cada una de las cuales se ejecuta en su propia VM.

En los clústeres privados, la red VPC del plano de control está conectada a la red VPC del clúster mediante el emparejamiento de redes VPC. Tu red de VPC contiene los nodos del clúster, y la red de VPC gestionada por Google Google Cloud contiene el plano de control del clúster.

El tráfico entre los nodos y el plano de control se enruta por completo mediante direcciones IP internas. Si usas el emparejamiento entre redes de VPC para conectar la red de VPC de tu clúster a una red de terceros, esta última no podrá acceder a los recursos de la red de VPC del plano de control. Esto se debe a que el emparejamiento entre redes de VPC solo admite la comunicación entre redes emparejadas directamente, y la tercera red no se puede emparejar con la red del plano de control. Para obtener más información, consulta las restricciones del emparejamiento entre redes de VPC.

Endpoints en clústeres privados

El plano de control de un clúster privado tiene un endpoint interno además de un endpoint externo.

El endpoint interno es una dirección IP interna de la red de VPC del plano de control. En un clúster privado, los nodos siempre se comunican con el endpoint interno del plano de control. En función de tu configuración, puedes gestionar el clúster con herramientas como kubectl, que también se conectan al endpoint privado. Cualquier VM que use la misma subred que tu clúster privado también puede acceder al endpoint interno.

El endpoint externo es la dirección IP externa del plano de control. De forma predeterminada, las herramientas como kubectl se comunican con el plano de control en su endpoint externo.

Opciones de acceso a endpoints de clústeres

Puede controlar el acceso a los endpoints mediante una de las siguientes configuraciones:

Acceso a endpoint externo inhabilitado: esta es la opción más segura, ya que impide todo acceso a Internet al plano de control. Esta opción es adecuada si has configurado tu red on-premise para conectarte aGoogle Cloud mediante Cloud Interconnect o Cloud VPN.

Si inhabilitas el acceso a los endpoints externos, debes configurar authorizedNetworks para el endpoint interno. Si no lo haces, solo podrás conectarte al punto de conexión interno desde los nodos del clúster o las VMs que estén en la misma subred que el clúster. Con este ajuste, las redes autorizadas deben ser direcciones IP internas.

Importante: Aunque inhabilite el acceso al endpoint externo, Google puede usar el endpoint externo del plano de control para gestionar el clúster, por ejemplo, para realizar mantenimiento programado y actualizaciones automáticas del plano de control.
Acceso de punto final externo habilitado y redes autorizadas habilitadas: en esta configuración, las redes autorizadas se aplican al punto final externo del plano de control. Esta opción es adecuada si necesitas administrar el clúster desde redes de origen que no estén conectadas a la red VPC del clúster mediante Cloud Interconnect o Cloud VPN.
Acceso de endpoint externo habilitado, redes autorizadas inhabilitadas: esta es la opción predeterminada y también la menos restrictiva. Como las redes autorizadas no están habilitadas, puedes administrar tu clúster desde cualquier dirección IP de origen siempre que te autentiques.

Reutilización del emparejamiento entre redes de VPC

Los clústeres privados creados después del 15 de enero del 2020 usan una conexión de emparejamiento entre redes de VPC común si los clústeres están en la mismaGoogle Cloud zona o región y usan la misma red de VPC.

En el caso de los clústeres zonales: el primer clúster privado que crees en una zona genera una nueva conexión de emparejamiento de redes de VPC a la red de VPC del plano de control. Los clústeres privados zonales adicionales que crees en la misma zona y red de VPC usarán la misma conexión de emparejamiento.
En el caso de los clústeres regionales: el primer clúster privado que crees en una región generará una nueva conexión de emparejamiento de redes de VPC a la red de VPC del plano de control. Los clústeres privados regionales adicionales que crees en la misma región y red VPC usarán la misma conexión de emparejamiento.

Los clústeres zonales y regionales usan sus propias conexiones de emparejamiento, aunque estén en la misma región. Por ejemplo:

Crea dos o más clústeres privados zonales en la zona us-east1-b y configúralos para que usen la misma red de VPC. Ambos clústeres usan la misma conexión de emparejamiento.
Crea dos o más clústeres privados regionales en la región us-east1 y configúralos para que usen la misma red de VPC que los clústeres zonales. Estos clústeres regionales usan la misma conexión de emparejamiento entre redes de VPC entre sí, pero necesitarán una conexión de emparejamiento diferente para comunicarse con los clústeres zonales.

Todos los clústeres privados creados antes del 15 de enero del 2020 usan una conexión de peering de red VPC única. Es decir, estos clústeres no usan la misma conexión de peering con otros clústeres zonales o regionales. Para habilitar la reutilización del peering de redes de VPC en estos clústeres, puedes eliminar un clúster y volver a crearlo. Al actualizar un clúster, no se reutiliza una conexión de emparejamiento entre redes de VPC.

Para comprobar si tu clúster privado usa una conexión de emparejamiento entre redes de VPC común, consulta Verificar la reutilización del emparejamiento entre VPCs.

Restricciones

Cada zona o región puede admitir un máximo de 75 clústeres privados si los clústeres tienen habilitada la reutilización del emparejamiento entre redes de VPC.

Nota: Para configurar más de 75 clústeres privados por ubicación, ponte en contacto con el Google Cloud equipo de Asistencia. Esto solo se aplica si tus clústeres tienen habilitada la reutilización del emparejamiento entre redes de VPC.

Por ejemplo, puedes crear hasta 75 clústeres zonales privados en us-east1-b y otros 75 clústeres regionales privados en us-east1. Esto también se aplica si usas clústeres privados en una red de VPC compartida.
El número máximo de conexiones a una red de VPC es 25, lo que significa que solo puedes crear clústeres privados con 25 ubicaciones únicas.
La reutilización del emparejamiento entre redes VPC solo se aplica a los clústeres que se encuentran en la misma ubicación. Por ejemplo, los clústeres regionales que se encuentran en la misma región o los clústeres zonales que se encuentran en la misma zona. Puedes tener un máximo de cuatro interconexiones de redes de VPC por región si creas clústeres regionales y zonales en todas las zonas de esa región.
En el caso de los clústeres creados antes del 15 de enero del 2020, cada red de VPC puede emparejarse con un máximo de 25 redes de VPC. Por lo tanto, en estos clústeres, hay un límite de 25 clústeres privados por red (siempre que los emparejamientos no se utilicen para otros fines).