那些遇到过的问题

在配置私有GKE集群时了解--master-ipv4-cidr

Chr*_*zel 4 google-kubernetes-engine gke-networking

我试图进一步了解在Google的Kubernetes Engine中配置私有集群时到底发生了什么。

Google在此处提供了一个示例,该示例提供了一个私有集群,其中控制平面服务(例如Kubernetes API)位于172.16.0.16/28子网中。

https://cloud.google.com/kubernetes-engine/docs/how-to/private-clusters

gcloud beta container clusters create pr-clust-1 \ --private-cluster \ --master-ipv4-cidr 172.16.0.16/28 \ --enable-ip-alias \ --create-subnetwork ""

当我运行此命令时,我看到:

  • 现在,我的VPC中有几个gke子网属于节点和服务的群集子网。它们在10.xxx/8范围内。
  • 我在172.16 / 16地址空间中没有任何子网。
  • 我确实有一些似乎相关的新配对规则和路线。例如,存在一个新路由“ peering-route-a08d11779e9a3276”,目标地址范围为“ 172.16.0.16/28”,下一跳为“ gke-62d565a060f347e0fba7-3094-3230-peer”。然后,该对等角色指向“ gke-62d565a060f347e0fba7-3094-bb01-net”

bash$ gcloud compute networks subnets list | grep us-west1 default us-west1 default 10.138.0.0/20 gke-insti3-subnet-62d565a0 us-west1 default 10.2.56.0/22

(venv) Christophers-MacBook-Pro:Stratus-Cloud christophermutzel$ gcloud compute networks peerings list NAME NETWORK PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE STATE_DETAILS gke-62d565a060f347e0fba7-3094-3230-peer default gke-prod-us-west1-a-4180 gke-62d565a060f347e0fba7-3094-bb01-net True ACTIVE [2018-08-23T16:42:31.351-07:00]: Connected.

gke-62d565a060f347e0fba7-3094-bb01-net是否是Google为GKE服务管理的Kubernetes管理终结点所在的对等VPC(控制平面范围为172.16 / 16)?

此外-我的请求如何发送到Kubernetes API服务器?

小智 7

GKE 的专用群集功能取决于VPC网络的“ 别名IP范围”功能,因此在创建专用群集时会发生多种情况:

  • --enable-ip-alias标志告诉GKE使用具有两个辅助IP范围的子网:一个用于pod,一个用于服务。这使VPC网络可以了解群集中的所有IP地址并适当地路由流量。

  • --create-subnetwork标志告诉GKE创建一个新的子网(在您的情况下为gke-insti3-subnet-62d565a0)并自动选择其主要范围和辅助范围。请注意,您可以自己使用--cluster-ipv4-cidr和选择辅助范围--services-ipv4-cidr。或者,你甚至可以自己创建子网,并告诉GKE与标志使用它--subnetwork--cluster-secondary-range-name以及--services-secondary-range-name

  • --private-cluster标志告诉GKE在Google拥有的项目中创建一个新的VPC网络(在您的情况下为gke-62d565a060f347e0fba7-3094-bb01-net),然后使用VPC Network Peering将其连接到您的VPC网络。Kubernetes管理端点位于您指定的范围内--master-ipv4-cidr(在您的情况下为172.16.0.16/28)。在Google拥有的项目中还会创建一个内部负载均衡器,这就是您的工作程序节点与之通信的对象。在区域群集的情况下,此ILB允许在多个VM之间实现流量负载平衡。您可以privateEndpoint在此输出的字段中找到此内部IP地址gcloud beta container clusters describe。要了解的重要一点是,由于两个网络之间的VPC对等关系,因此主VM和工作节点VM之间的所有通信都是通过内部IP地址进行的。

  • 您的私有集群具有一个外部IP地址,您可以endpoint在的输出中找到该字段gcloud beta container clusters describe。工作节点未使用此功能,但通常由客户使用,例如使用远程管理其集群kubectl

  • 您可以使用“ 主授权网络”功能来限制哪些IP范围(内部和外部)可以访问管理端点。强烈建议为私有群集使用此功能,并且在使用gcloudCLI 创建群集时,默认情况下启用此功能。

希望这可以帮助!

归档时间:

查看次数:

1589 次

最近记录:

6 年,11 月 前
相关归档
如何使用client_disconnected_before_any_response调试失败的请求 13
Kafka 无法与 zookeeper 连接,并出现错误“超时等待连接状态:CONNECTING” 10
在GKE上运行的Ruby的Stackdriver错误报告 7
使用 Workload Identity 从 GKE 向 Google Cloud Firestore 进行身份验证 7
是否可以将Docker hub公开托管的映像部署到Kubernetes Container Engine,而无需将其上传到Containers Registery? 6
从Google Dataflow访问在GKE中运行的HTTP服务 6
在另一个项目中使用 GKE 中的 Google 容器注册表 3
在GCP上使用Pubsub时如何解决身份验证范围不足的问题 3
如何使用kubectl获取复制控制器的PodSpec? 2
如何使用 helm 从目录创建 ConfigMap 2
难疑归档
在jQuery中添加表行 2331
比较Git中的两个分支? 2149
如何一致地跨浏览器对齐复选框及其标签 1668
什么是移动语义? 1614
检查变量是否是JavaScript中的字符串 1550
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
静态只读与const 1349
macOS Mojave Update后,Git无法正常工作(xcrun:错误:无效的活动开发者路径(/ Library/Developer/CommandLineTools) 1190
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
如何从git存储库中删除目录? 1138