GKEクラスタ構築メモ

1. 目的

• GKEクラスタを構築する

2. 事前準備

• gcloud
• kubectl

3. 手順

3.1 静的IPアドレス取得

gcloud compute addresses create ${NAME} --project=${PROJERCT_NAME} --region=asia-northeast1

Cloud Router

3.2 NAT設定

3.3 VPC作成

3.4 クラスタ作成

3.5 istio インストール

• 15017ポートの通信を許可 [*1]

プライベートGKEクラスターの場合

自動的に作成されたファイアウォールルールはポート15017を開きません。これは、パイロット検出検証Webhookで必要です。

gcloud compute --project=${PRJ_NAME} firewall-rules create ALLOW-15017 --direction=INGRESS --priority=1000 --network=${NETWORK} --action=ALLOW --rules=tcp:15017 --source-ranges=0.0.0.0/0 --target-tags=ALLOW-15017

踏み台インスタンス設定

• GCEで適当にインスタンスを作成する
• 先に作っておいたVPCに参加させる
• グローバルIPは付与しない（Cloud IAPでトンネリングする）

JWT証明書発行

• JWT用のサービスアカウントを作成
• サービスアカウントからJWT公開鍵を確認
• 参考:
  • 認証機能付きAPIが簡単に作れるCloud Endpoints入門2 JWTトークン認証 | apps-gcp.com
  • サービス アカウントキーの作成と管理  |  Cloud IAM のドキュメント  |  Google Cloud

脚注

• [1] Istio / Google Kubernetes Engine

参考資料

• なるべくCLIでGKEクラスタを作成してみる - Qiita
• ステップ 1: GKE クラスタを作成する  |  Apigee Docs
• Istio / Google Kubernetes Engine
• Istio / Authorization with JWT
• GCPにセキュアな踏み台サーバーを作成する. GCPのIdentity-Aware… | by Taiga Murakami | google-cloud-jp | Medium
• [GCP] VPC Service Controls と Cloud Identity-Aware Proxy の相性が悪い件について - Qiita
• BeyondCorp Remote Accessを支える技術 #1 GCP Cloud IAP connectorを試してみた | Developers.IO
• エッジからメッシュへ: GKE Ingress を介したサービス メッシュ アプリケーションの公開  |  ソリューション