GKE オートパイロット クラスターがあり、そのサービス用にロード バランサーを設定しようとしています。注意点: クラスターの Ingress を定義して LB と関連するすべての構成を作成する代わりに、LB を手動で定義する必要があります。
GKE は必要なすべての NEG を作成し、既存のクラスターをバックエンドとしてそれらにポイントするだけで、正常に動作します。
問題: ルールはターゲットとしてタグを受け取ることを想定していますが、自動操縦 GKE は自動的に作成されたタグなど、ノードに関するすべての情報を非表示にするため、ヘルスチェック ネットワークがポッドに到達できるようにするファイアウォール ルールを手動で作成できません。
これは、GKE Ingress コントローラによって作成されたファイアウォール ルールの例です。
Name: gke-autopilot-gke-cluster-XXXXX-xxxxx-egress
Target: gke-autopilot-gke-cluster-XXXXXX-node
VPC/サブネット全体を対象とするファイアウォール ルールを作成することはできますが、ノードが取得するタグがわからない場合、オートパイロット クラスター内でノードの粒度を実現するにはどうすればよいでしょうか。
答え1
自動的に作成されたファイアウォール ルールは、次のコマンドで表示できます。
gcloud compute firewall-rules list --filter="name=gke-autopilot" --format=json
ただし、以下のコマンドを使用してファイアウォール ルールを更新し、必要なターゲット タグを追加できます。
gcloud compute firewall-rules update firewall-rule-name \ --target-tags=tag-name
タグは Google によって管理されるため、任意の Autopilot ノードに設定することはできません。代わりに、クラスタを標準のクラスタとして構成する必要があります。