GSP233

總覽

在 Terraform 中，provider 是上游 API 的邏輯抽象層。本實驗室將說明如何設定 Kubernetes 叢集，並在其中部署負載平衡器類型的 Nginx Service。

目標

在本實驗室中，您將瞭解如何執行下列工作：

• 使用 Terraform 部署 Kubernetes 叢集和 Service。

事前準備

如要完成本實驗室，您應具備下列經驗：

• 熟悉 Kubernetes Service
• 熟悉 kubectl CLI。

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

Kubernetes Service

Service 是指在叢集上執行的 pod 群組。Service 的資源消耗量少，且叢集內可有多項 Service。Kubernetes Service 可有效支援微服務架構。

Service 提供叢集內標準化的重要功能：負載平衡、應用程式間的服務探索，以及支援零停機的應用程式部署功能。

每個 Service 都有 pod 標籤查詢，可定義將處理 Service 資料的 pod。這個標籤查詢通常會比對由一或多個複製控制器建立的 pod。藉由部署軟體，透過 Kubernetes API 更新 Service 的標籤查詢，即可實現強大的路由情境。

為何選擇 Terraform？

雖然您可以使用 kubectl 或對應至 API 呼叫的類似 CLI 工具，管理 YAML 檔案中描述的所有 Kubernetes 資源，但使用 Terraform 自動化調度管理有幾項優點：

• 單一語言：您可以使用相同的設定語言，佈建 Kubernetes 基礎架構，並將應用程式部署到其中。
• 偏移偵測：terraform plan 一律會比較特定時間的實際情況，以及您想套用的設定，顯示彼此差異。
• 完整生命週期管理：Terraform 不僅能建立資源，還提供單一指令來建立、更新及刪除已追蹤的資源，甚至不必檢查 API 即可識別這些資源。
• 同步回饋：雖然非同步行為通常很有用，但有時會適得其反，因使用者要自行判斷作業結果 (失敗或建立資源的詳情)。舉例來說，您必須等到負載平衡器完成佈建，才能取得 IP/主機名稱，因此無法建立指向該負載平衡器的任何 DNS 記錄。
• 關係圖：Terraform 可瞭解資源之間的關係，有助於調度資源，例如 Terraform 不會在 Kubernetes 叢集存在之前，嘗試在該叢集建立 Service。

工作 1：複製程式碼範例

1. 在 Cloud Shell 中，首先請使用下列指令複製程式碼範例：

gcloud storage cp -r gs://spls/gsp233/* .

2. 使用下列指令前往 tf-gke-k8s-service-lb 目錄：

cd tf-gke-k8s-service-lb

工作 2：瞭解程式碼

1. 執行下列指令，查看 main.tf 檔案的內容：

cat main.tf

輸出內容範例：

... variable "region" { type = string description = "Region for the resource." } variable "location" { type = string description = "Location represents region/zone for the resource." } variable "network_name" { default = "tf-gke-k8s" } provider "google" { region = var.region } resource "google_compute_network" "default" { name = var.network_name auto_create_subnetworks = false } resource "google_compute_subnetwork" "default" { name = var.network_name ip_cidr_range = "10.127.0.0/20" network = google_compute_network.default.self_link region = var.region private_ip_google_access = true } ...

• 系統已定義 region、zone 和 network_name 的變數，將用於建立 Kubernetes 叢集。
• Google Cloud provider 可讓我們在這個專案建立資源。
• 有多個資源已定義，用於建立適合的網路和叢集。
• 最後，執行 terraform apply，您會看到一些輸出內容。

2. 執行下列指令，查看 k8s.tf 檔案的內容：

cat k8s.tf

輸出內容範例：

provider "kubernetes" { version = "~> 1.10.0" host = google_container_cluster.default.endpoint token = data.google_client_config.current.access_token client_certificate = base64decode( google_container_cluster.default.master_auth[0].client_certificate, ) client_key = base64decode(google_container_cluster.default.master_auth[0].client_key) cluster_ca_certificate = base64decode( google_container_cluster.default.master_auth[0].cluster_ca_certificate, ) } resource "kubernetes_namespace" "staging" { metadata { name = "staging" } } resource "google_compute_address" "default" { name = var.network_name region = var.region } resource "kubernetes_service" "nginx" { metadata { namespace = kubernetes_namespace.staging.metadata[0].name name = "nginx" } spec { selector = { run = "nginx" } session_affinity = "ClientIP" port { protocol = "TCP" port = 80 target_port = 80 } type = "LoadBalancer" load_balancer_ip = google_compute_address.default.address } } resource "kubernetes_replication_controller" "nginx" { metadata { name = "nginx" namespace = kubernetes_namespace.staging.metadata[0].name labels = { run = "nginx" } } spec { selector = { run = "nginx" } template { container { image = "nginx:latest" name = "nginx" resources { limits { cpu = "0.5" memory = "512Mi" } requests { cpu = "250m" memory = "50Mi" } } } } } } output "load-balancer-ip" { value = google_compute_address.default.address }

• 這個指令碼會使用 Terraform 設定 Kubernetes provider，並建立 Service、命名空間和 replication_controller 資源。
• 指令碼會傳回 nginx Service IP 做為輸出內容。

工作 3：初始化並安裝依附元件

terraform init 指令是用來初始化包含 Terraform 設定檔的工作目錄。

這個指令會執行多個不同的初始化步驟來完成事前準備，讓工作目錄能正常使用。建議重複執行這個指令，將設定變更同步至工作目錄，保持最新狀態：

1. 執行 terraform init 指令：

terraform init

輸出內容範例：

... * provider.google: version = "~> 3.8.0" * provider.kubernetes: version = "~> 1.10.0" Terraform has been successfully initialized! 您現在可以開始使用 Terraform 了。請嘗試執行 `terraform plan`，查看基礎架構所需的任何變更。現在所有 Terraform 指令都應該可以正常運作。如果您曾設定或變更 Terraform 的模組或後端設定，請重新執行這個指令，重新初始化工作目錄。如果您未執行這項操作，其他指令會偵測到，並在必要時提醒您。

2. 執行 terraform apply 指令來套用必要變更，以達到設定的目標狀態：

terraform apply -var="region={{{ project_0.default_region | "Region to be allocated" }}}" -var="location={{{ project_0.default_zone | "Zone to be allocated" }}}"

3. 查看 Terraform 的動作，並檢查將建立的資源。

4. 準備就緒後，請輸入 yes，開始執行 Terraform 動作。

完成後，輸出結果應該會類似下列內容。

輸出內容範例：

Apply complete! Resources: 7 added, 0 changed, 0 destroyed. Outputs: cluster_name = tf-gke-k8s cluster_region = "{{{project_0.default_region|REGION}}}" cluster_zone = "{{{project_0.default_region|ZONE}}}" load-balancer-ip = 35.233.177.223 network = https://www.googleapis.com/compute/beta/projects/qwiklabs-gcp-5438ad3a5e852e4a/global/networks/tf-gke-k8s subnetwork_name = tf-gke-k8s

確認 Terraform 建立的資源

1. 依序前往控制台的「導覽選單」>「Kubernetes Engine」。
2. 按一下「tf-gke-k8s」叢集，然後檢查設定。
3. 在左側面板，按一下「閘道、Service 與 Ingress」，然後檢查 nginx Service 狀態。
4. 按一下「端點」IP 位址，即可在新的瀏覽器分頁開啟「Welcome to nginx!」頁面。

點選「Check my progress」，確認工作已完成。如果已使用 Terraform 成功部署基礎架構，就會看到評估分數。

使用 Terraform 部署基礎架構

恭喜！

您成功在本實驗室使用 Terraform 初始化、規劃及部署 Kubernetes 叢集和 Service。

後續步驟/瞭解詳情

前往社群瞭解其他人的 Terraform 使用體驗。

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2026 年 3 月 10 日

實驗室上次測試日期：2026 年 3 月 10 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。