GSP178

總覽

在 Kubernetes Engine 中，私人叢集可讓主要執行個體無法使用公開網際網路存取。私人叢集中的節點沒有公開 IP 位址，只有私人 IP 位址，因此工作負載會在隔離環境中執行。節點和主要執行個體會透過虛擬私有雲對接來通訊。

在 Kubernetes Engine API 中，位址範圍會顯示為無類別跨網域路由 (CIDR) 區塊。

在本實驗室中，您將瞭解如何建立私人 Kubernetes 叢集。

學習內容

• 建立私人 Kubernetes 叢集。

先備知識

• 學員應具備建立及啟動 Kubernetes 叢集的經驗，且熟悉 CIDR 範圍格式的 IP 位址。

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

工作 1：設定區域和可用區

1. 設定這個實驗室的專案區域：

gcloud config set compute/zone {{{project_0.default_zone | "Zone"}}}

2. 建立區域的變數：

export REGION={{{project_0.default_region | Region}}}

3. 建立可用區的變數：

export ZONE={{{project_0.default_zone | Zone}}}

詳情請參閱區域和可用區說明文件。

注意：如果在自己的機器上執行 gcloud，各個工作階段都會保留這些設定，但如果在 Cloud Shell 中，每次啟動新工作階段或重新連線時，都必須進行這項設定。

工作 2：建立私人叢集

1. 建立私人叢集時，您必須為執行 Kubernetes 主要執行個體元件的 VM 指定 /28 CIDR 範圍，還必須啟用 IP 別名。

接著，您要建立 private-cluster 叢集，並為主要執行個體指定 172.16.0.16/28 CIDR 範圍。啟用 IP 別名後，Kubernetes Engine 就可以自動為您建立子網路。

您要使用 --private-cluster、--master-ipv4-cidr 和 --enable-ip-alias 標記建立私人叢集。

2. 執行以下指令來建立叢集：

gcloud beta container clusters create private-cluster \ --enable-private-nodes \ --master-ipv4-cidr 172.16.0.16/28 \ --enable-ip-alias \ --create-subnetwork ""

測試已完成的工作

點選「Check my progress」確認工作已完成。如果成功建立私人叢集，您就會看見評估分數。

建立私人叢集

工作 3：查看子網路和次要位址範圍

1. 列出預設網路中的子網路：

gcloud compute networks subnets list --network default

2. 在輸出內容中，找出已為叢集成功建立的子網路名稱，例如 gke-private-cluster-subnet-xxxxxxxx。請儲存叢集名稱，以便在後續步驟中使用。

3. 現在執行下列指令，取得自動建立叢集的資訊，並將 [SUBNET_NAME] 替換為您的子網路：

gcloud compute networks subnets describe [SUBNET_NAME] --region=$REGION

輸出內容會顯示 GKE 私人叢集名稱的主要位址範圍，以及次要範圍：

... ipCidrRange: 10.0.0.0/22 kind: compute#subnetwork name: gke-private-cluster-subnet-163e3c97 ... privateIpGoogleAccess: true ... secondaryIpRanges: - ipCidrRange: 10.40.0.0/14 rangeName: gke-private-cluster-pods-163e3c97 - ipCidrRange: 10.0.16.0/20 rangeName: gke-private-cluster-services-163e3c97 ...

在輸出內容中，您可以看到一個用於 Pod 的次要範圍，以及另一個用於 Service 的次要範圍。

請注意，privateIPGoogleAccess 已設為 true。這可讓只具備私人 IP 位址的叢集主機與 Google API 和 Service 通訊。

工作 4：啟用主要執行個體授權網路

此時，只有以下範圍的 IP 位址可存取主要執行個體：

• 子網路的主要範圍。這是用於節點的範圍。
• 用於 Pod 的子網路次要範圍。

如要向主要執行個體提供額外的存取權，您必須授權指定的位址範圍。

建立 VM 執行個體

1. 建立來源執行個體，用於檢查 Kubernetes 叢集的連線能力：

gcloud compute instances create source-instance --zone=$ZONE --scopes 'https://www.googleapis.com/auth/cloud-platform'

測試已完成的工作

點選「Check my progress」確認工作已完成。如果已成功建立 VM 執行個體，就會看到評估分數。

建立 VM 執行個體

2. 執行下列指令，取得 source-instance 的 <External_IP>：

gcloud compute instances describe source-instance --zone=$ZONE | grep natIP

輸出範例：

natIP: 35.192.107.237

3. 複製並儲存 <nat_IP> 位址，供後續步驟使用。

4. 執行下列指令來授權外部位址範圍，將 [MY_EXTERNAL_RANGE] 替換為先前輸出內容的外部位址 CIDR 範圍 (您的 CIDR 範圍為 natIP/32)。將 CIDR 範圍設為 natIP/32，我們就能將一個特定 IP 位址加入許可清單：

gcloud container clusters update private-cluster \ --enable-master-authorized-networks \ --master-authorized-networks [MY_EXTERNAL_RANGE] 注意：在正式環境中，請將 [MY_EXTERNAL_RANGE] 替換為您網路的外部地址 CIDR 範圍。

測試已完成的工作

點選「Check my progress」確認工作已完成。如果您已成功授權外部位址範圍，就會看到評估分數。

授權外部位址範圍

您已能透過外部位址範圍存取主要執行個體，接著要安裝 kubectl，用它取得叢集資訊。舉例來說，您可以使用 kubectl 確認節點並未含有外部 IP 位址。

1. 執行下列指令，使用 SSH 連至 source-instance：

gcloud compute ssh source-instance --zone=$ZONE

2. 按下 Y 鍵即可繼續操作。按下 Enter 鍵，略過通關密語問題。

3. 在 SSH 殼層中安裝 Cloud SDK 的 kubectl 元件：

sudo apt-get install kubectl

4. 執行下列指令，從 SSH 殼層設定 Kubernetes 叢集的存取權：

sudo apt-get install google-cloud-sdk-gke-gcloud-auth-plugin gcloud container clusters get-credentials private-cluster --zone=$ZONE 注意：請確認獲派的可用區已在 ZONE 變數中匯出。

5. 確認叢集節點沒有外部 IP 位址。

kubectl get nodes --output yaml | grep -A4 addresses

輸出內容會顯示節點有內部 IP 位址，但沒有外部位址：

... addresses: - address: 10.0.0.4 type: InternalIP - address: "" type: ExternalIP ...

6. 以下是可用來確認節點沒有外部 IP 位址的另一個指令：

kubectl get nodes --output wide

輸出內容顯示 EXTERNAL-IP 的空白資料欄：

STATUS ... VERSION EXTERNAL-IP OS-IMAGE ... Ready v1.8.7-gke.1 Container-Optimized OS from Google Ready v1.8.7-gke.1 Container-Optimized OS from Google Ready v1.8.7-gke.1 Container-Optimized OS from Google

7. 輸入下列指令來關閉 SSH 殼層：

exit

工作 5：清除

1. 刪除 Kubernetes 叢集：

gcloud container clusters delete private-cluster --zone=$ZONE

2. 按下 Y 鍵即可繼續操作。

測試已完成的工作

點選「Check my progress」確認工作已完成。如果您成功刪除 Kubernetes 叢集，就會看到評估分數。

刪除 Kubernetes 叢集：

工作 6：建立使用自訂子網路的私人叢集。

上一節 Kubernetes Engine 已為您自動建立子網路。在本節中，您將自行建立子網路，接著建立私人叢集。 您的子網路有一個主要位址範圍，以及兩個次要位址範圍。

1. 建立子網路和次要範圍：

gcloud compute networks subnets create my-subnet \ --network default \ --range 10.0.4.0/22 \ --enable-private-ip-google-access \ --region=$REGION \ --secondary-range my-svc-range=10.0.32.0/20,my-pod-range=10.4.0.0/14

測試已完成的工作

點選「Check my progress」確認工作已完成。如果您已成功在 區域中建立子網路和次要範圍，就會看到評估分數。

在 區域中建立子網路和次要範圍

2. 建立使用子網路的私人叢集：

gcloud beta container clusters create private-cluster2 \ --enable-private-nodes \ --enable-ip-alias \ --master-ipv4-cidr 172.16.0.32/28 \ --subnetwork my-subnet \ --services-secondary-range-name my-svc-range \ --cluster-secondary-range-name my-pod-range \ --zone=$ZONE

測試已完成的工作

點選「Check my progress」確認工作已完成。如果已成功建立使用子網路的私人叢集，就會看到評估分數。

建立使用子網路的私人叢集

3. 擷取來源執行個體的外部位址範圍：

gcloud compute instances describe source-instance --zone=$ZONE | grep natIP

輸出範例：

natIP: 35.222.210.67

4. 複製並儲存 <nat_IP> 位址，供後續步驟使用。

5. 執行下列指令來授權外部位址範圍，將 [MY_EXTERNAL_RANGE] 替換為先前輸出內容的外部位址 CIDR 範圍 (您的 CIDR 範圍為 natIP/32)。將 CIDR 範圍設為 natIP/32，我們就能將一個特定 IP 位址加入許可清單：

gcloud container clusters update private-cluster2 \ --enable-master-authorized-networks \ --zone=$ZONE \ --master-authorized-networks [MY_EXTERNAL_RANGE]

測試已完成的工作

點選「Check my progress」確認工作已完成。如果您已成功為自訂子網路中的私人叢集授權外部位址範圍，就會看到評估分數。

為自訂子網路中的私人叢集授權外部位址範圍

6. 執行下列指令，使用 SSH 連至 source-instance：

gcloud compute ssh source-instance --zone=$ZONE

7. 執行下列指令，從 SSH 殼層設定 Kubernetes 叢集的存取權：

gcloud container clusters get-credentials private-cluster2 --zone=$ZONE 注意：請確認獲派的可用區已在 ZONE 變數中匯出。

8. 確認叢集節點沒有外部 IP 位址。

kubectl get nodes --output yaml | grep -A4 addresses

輸出內容會顯示節點有內部 IP 位址，但沒有外部位址：

... addresses: - address: 10.0.4.3 type: InternalIP ...

此時，只有以下範圍的 IP 位址可存取主要執行個體：

• 子網路的主要範圍。這是用於節點的範圍，在此示例中為 10.0.4.0/22。
• 用於 Pod 的子網路次要範圍，在此示例中為 10.4.0.0/14。

恭喜！

您已瞭解如何建立私人 Kubernetes 叢集。

後續行動/瞭解詳情

• 參考下列實驗室：
  • 建立高處理量 VPN
  • 在 Kubernetes Engine 中使用 Jenkins 持續推送軟體更新

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2024 年 4 月 15 日

實驗室上次測試日期：2023 年 9 月 20 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。