Opsi Isolasi Dan Konektivitas Bidang Kontrol Baru untuk Klaster Google Kubernetes Engine
Dahulu, Sekali waktu, semua klaster Google Kubernetes Engine (GKE) menggunakan pengalamatan IP publik untuk komunikasi antar node dan bidang kontrol. Setelah muncul masalah keamanan, GKE memperkenalkan klaster pribadi yang diaktifkan oleh VPC peering.
Untuk mengonsolidasikan jenis konektivitas, mulai Maret 2022, GKE menggunakan Private Service Connect (PSC) Google Cloud untuk komunikasi klaster publik baru antara control plane dan node cluster GKE. Pada akhir Desember, GKE menghadirkan framework berbasis PSC baru untuk konektivitas bidang kontrol GKE dari node cluster. Selain itu, GKE juga meluncurkan rangkaian fitur baru yang menyertakan isolasi kluster di bidang kontrol dan level kumpulan node: Klaster GKE.
Arsitektur baru Google Kubernetes Engine
Sejak GKE versi 1.23 dan yang lebih baru, semua klaster publik baru yang dibuat pada atau setelah tanggal 15 Maret 2022 mulai menggunakan infrastruktur PSC Google Cloud untuk berkomunikasi antara bidang kontrol klaster GKE dan node. PSC menyediakan kerangka kerja konsisten yang membantu menghubungkan berbagai jaringan melalui pendekatan jaringan layanan, memungkinkan produsen layanan dan konsumen berkomunikasi menggunakan alamat IP pribadi internal ke VPC.
Baca juga: Cost Estimator, Fitur Baru GKE untuk Perkiraan Biaya yang Lebih Akurat
Manfaat terbesar dari perubahan ini adalah membantu pengguna dalam menggunakan fitur yang mengaktifkan PSC untuk klaster GKE.
Photo Credit: Google Cloud Blog
Serangkaian kemampuan isolasi klaster baru ini merupakan bagian dari evolusi menuju postur klaster GKE yang lebih skalabel dan aman. Sebelumnya, klaster GKE pribadi diaktifkan dengan VPC peering. Dengan rangkaian fitur ini, kini Anda memiliki kemampuan untuk:
- Memperbarui bidang kontrol klaster GKE untuk membatasi akses ke endpoint pribadi.
- Membuat atau memperbarui kumpulan node cluster GKE dengan node publik atau pribadi.
- Mengaktifkan atau menonaktifkan akses bidang kontrol klaster GKE dari IP milik Google.
Selain itu, infrastruktur PSC baru dapat memberikan penghematan biaya. Secara tradisional, komunikasi bidang kontrol dikenakan biaya untuk klaster publik sebagai biaya IP publik normal. Dengan infrastruktur PSC, GKE menghilangkan biaya komunikasi antara bidang kontrol dan node klaster Anda, sehingga menjadi lebih terjangkau.
Berikut adalah beberapa kapabilitas baru yang bisa Anda nikmati.
- Izinkan akses ke bidang kontrol hanya melalui endpoint pribadi
Pengguna klaster pribadi telah lama memiliki kemampuan untuk membuat bidang kontrol dengan endpoint publik dan pribadi. Kini GKE memperluas fleksibilitas yang sama ke klaster GKE publik berdasarkan PSC. Dengan ini, Anda bisa memiliki akses khusus pribadi ke bidang kontrol GKE, tapi semua kumpulan node tetap bersifat publik.
Model ini memberikan postur keamanan yang lebih ketat untuk bidang kontrol, sambil membiarkan Anda memilih node cluster yang dibutuhkan, berdasarkan penerapan. Untuk mengaktifkan akses hanya ke endpoint pribadi di bidang kontrol, gunakan perintah gcloud berikut:
gcloud container clusters update CLUSTER_NAME \
–enable-private-endpoint
- Konfigurasikan akses dari Google Cloud
Photo Credit: DilokaStudio (Freepik)
Dalam beberapa skenario, pengguna telah mengidentifikasi beban kerja di luar klaster GKE mereka. Misalnya, aplikasi yang berjalan di Cloud Run atau VM GCP apa pun yang bersumber dari IP publik Google Cloud diizinkan untuk mencapai bidang kontrol klaster. Untuk memitigasi potensi masalah keamanan, GKE dilengkapi dengan fitur yang memungkinkan Anda mengalihkan akses ke bidang kontrol klaster dari sumber tersebut.
Untuk menghapus akses IP publik Google Cloud ke bidang kontrol, gunakan perintah gcloud berikut:
gcloud container clusters update CLUSTER_NAME \
–no-enable-google-cloud-access
Baca juga: Inovasi Baru Google Sambut Era Baru Desain Sistem, Lebih Andal dan Aman
Dengan serangkaian fitur baru ini, semua komunikasi IP publik untuk klaster GKE Anda pun dapat dihapus. Itu artinya, Anda dapat menjadikan klaster GKE sepenuhnya pribadi.
Selain itu, Anda dapat menggunakan REST API atau Terraform Providers untuk benar-benar membangun klaster GKE berbasis PSC baru dengan kumpulan default node untuk memiliki node pribadi. Hal ini dapat dilakukan dengan menyetel kolom enablePrivateNodes ke true.
Saat mengevaluasi apakah Anda siap untuk memindahkan tipe klaster GKE berbasis PSC ini untuk memanfaatkan isolasi klaster pribadi, perlu diingat bahwa endpoint pribadi bidang kontrol memiliki batasan berikut:
- Alamat pribadi di URL untuk webhook baru atau lama yang Anda konfigurasikan tidak didukung. Untuk mengurangi ketidakcocokan ini dan menetapkan alamat IP internal ke URL untuk webhook, siapkan webhook ke alamat pribadi dengan URL, buat layanan tanpa kepala tanpa pemilih dan titik akhir yang sesuai untuk tujuan yang diperlukan.
- Endpoint pribadi bidang kontrol saat ini tidak dapat diakses dari sistem lokal.
Baca juga: Apa Itu Metrik Bidang Kontrol Kubernetes yang Baru Diluncurkan Di GKE?
Google Kubernetes Engine atau GKE merupakan platform unggulan yang dimiliki oleh Google Cloud. Dapatkan solusi Google Cloud yang telah disesuaikan dengan penggunaan skala besar hanya di EIKON Technology. Kami merupakan authorized reseller resmi yang dipilih langsung oleh Google untuk melakukan distribusi di Indonesia. Untuk mulai berlangganan, hubungi kami di sini!