プライベートGCPネットワークサブネットでGoogle Container Engine（GKE）を起動できますか？

Question

プライベートGCPネットワークサブネットでGoogle Container Engine（GKE）を起動しようとしています。

私はカスタムGoogle Cloud VPCを作成していますが、そのVPCの下にカスタムプライベートネットワークアクセスサブネットも作成しています。

1）プライベートサブネットでGKEクラスタを作成しても、私のKubernetesノードはパブリックIPで割り当てられています。それはなぜそうですか？ GoogleドキュメントのプライベートインスタンスはプライベートIPを取得する必要があります。

2）プライベートでクラスタを作成した場合、コンテナアプリケーションをGoogle SQLインスタンスに接続できますか？

3）GKEクラスタを起動するための推奨事項は、プライベートサブネットではなく、パブリックサブネットのみで起動する必要がありますか？

Answer 1

多くのR & Dがあり、フォーラムからいくつかの回答がありました。

GKEは、あなたがインターネットへのデフォルトルートを持っていないネットワークでクラスタを作成できるようにする必要があります。プライベートサブネットでクラスタを起動できますが、GKEクラスタインスタンスはパブリックサブネットとしてのみ扱います。

GKEはパブリックIPを使用してホストマスターにアクセスします。

GKEクラスタを考慮したセキュリティ面では、ファイアウォール内のすべてのポートがインターネット経由でクラスタにアクセスすることを拒否できます。