Google Container Engine的建立

作者: -

在Google Cloud上使用Container Engine服務來建置Container Cluster是非常方便的事,原因是因為在GKE上,他幫忙我們處理掉了網路的串接、效能管理、對外IP的連線與防火牆的授權等等... GKE是怎麼完成的呢?下面讓我們一步一步的,用比較詳細的流程來看一下每個階段Google做了什麼...


首先我們先建立一個GKE cluster環境,用yourls這個名稱來建立... 建立後,可以在GKE console中看到下面的資訊:


接下來,點進yourls的cluster時候,可以看到下面的資訊... 包含cluster的master與slave以及cluster的location,k8s的版本與cluster size等資訊...


在GKE cluster size小於10台的情況下Google會代管您的Master node,讓管理上可以忽略Master Node的部分,也可以省下Master Node的費用...


另外,下面有列出node pool的資訊,其中GKE上預設node與master的版本相同,而如果要做升級動作,可以針對node與master分開執行,這樣可以讓環境彼此間的影響比較小...


當Cluster架設好,我們會想... 那,就通了嗎?以Google Compute Engine的經驗,我們需要設定firewall讓cluster的環境打通,來看看firewall上的設定...


在firewall上,GKE幫我們建立了幾個設定..

  • gke-yourls…-all: 允許GKE內部Container的網段可以直接連線彼此

  • gke-yourls…-ssh: 允許master node可以讓外部ssh連線進入

  • gke-yourls…-vms: 允許GKE Host VM彼此之間可以互通


透過上述設定,可以讓一個GKE的Cluster可以正常運作... 接下來可以看一個應用程式部署的情況下,在網路上會有哪些改變... ^^


From: IndustrialClouds.net

留言

張貼留言

這個網誌中的熱門文章

透過Cloud Shell輕鬆呼叫Google API

作者: -
圖片
我們知道Google有提供API Explore的工具,讓所有Google的API都可以快速的在API Explore上瀏覽API的呼叫與結果,讓開發上非常方便....  下面介紹透過Google的Cloud SDK工具來進行API的呼叫作業... 話說,懶得安裝的話,可以直接使用Cloud Shell喲~ 透過安裝的話,通常透過下面幾個動作即可完成安裝與認證... 安裝Google Cloud SDK…   curl https://sdk.cloud.google.com | bash   認證 Cloud SDK…   gcloud auth login   幫Google的SDK工具設定application default login...   gcloud auth application-default login   如果跟我一樣懶得安裝,可以透過Cloud SDK... 首先,開啟Cloud Shell,進入可以執行的畫面... 在Cloud Shell中,由於內建所安裝的Cloud SDK已經載入了使用者的權限,因此可以方便的呼叫相關的SDK與取得Token... 取得 access token…   gcloud auth application- default print-access-token   接著,我們可以選定一個所要呼叫的Google API進行呼叫 ….,這邊以Google BigQuery為例,可以呼叫 /bigquery/v2/projects/:projectid/datasets 來取得API的結果... 呼叫的內容中,需要在Header處加上Authorization的Bearer token,即是上面取得的access token...   $ curl -H "Authorization:Bearer `gcloud auth application-default print-access-token`" https: // www.googleapis.com/bigquery/v2/projects/mitac-simonsu-2017/datasets { "kind" : "bigquery#datasetList" , "
閱讀完整內容

GCE上實作Bastion Gateway的HA架構

作者: -
圖片
概念 NAT(或稱Bastion主機)的架構在自建機房中常常可以見到,我們也可以將該架構在雲端環境上建置來使用... 而Google雲端的環境中,可以透過network與routing的方式搭配來建置一個具有HA(High Availability)的NAT環境,讓NAT不是單點提供服務... 下面是架構的簡單描述: 建置過程 設定網路與防火牆基本規則 首先,建議使用自建Network,好處是可以自訂內部的路由與相關防火牆規則,且可以避免影響其他主機。 gcloud compute networks create kankan-ha-nat \     --mode legacy \     --range 10.10.10.0/24     為了可以測試狀態,我們允許port 22的ssh連線,因此建立允許 tcp 22 port 連線的防火牆規則... gcloud compute firewall-rules create kankan-ha-nat- allow -ssh \ --allow tcp:22 --network kankan-ha-nat 在NAT server的建置上,我們需要讓內外部連線可以透通,因此將tcp:1-65535, udp:1-65535, icmp等協定打開,讓內部的網段( 10.10.10.0/24) 可以透過NAT server來連線外部網路。 gcloud compute firewall-rules create kankan-ha-nat- allow -internal \ --allow tcp:1-65535,udp:1-65535,icmp \ --source-ranges 10.10.10.0/24 --network kankan-ha-nat 建立NAT server 然後我們將NAT server建立起來: gcloud compute instances create nat-gateway-asia-east1-a --network kankan-ha-nat --can-ip-forward \ --zone asia-east1-a \ --image-family debian-8 \ --image-project debian-cloud \ --tags nat 為
閱讀完整內容