私は Google Kubernetes Engine を使用しており、クラスタのノードプールはインスタンス テンプレートで定義された Compute Engine インスタンスに接続されています。これらのインスタンス テンプレートはマネージド インスタンス グループで制御しています。
問題: インスタンス テンプレートが、自動的に作成された一種のフォールバック インスタンス テンプレートに置き換えられていることがわかります。フォールバック インスタンス テンプレートはマシン タイプが低いため、一部のサービスをスケジュールできず、クラスター内で停止が発生します。
ログ エクスプローラーで、新しいフォールバック インスタンス テンプレートが作成されたのと同じタイムスタンプのログを見つけることができました (スクリーンショットを添付)。 「logs-explorer.png」は、サービス アカウントが何らかの理由で、存在しないインスタンス グループを削除しようとしていることを示しています。ログにはエラーが表示され、これが反映されています。数分後、インスタンス テンプレートが作成されたようです。Compute Engine -> インスタンス テンプレートに移動すると、フォールバック インスタンス テンプレートが「2023 年 8 月 13 日 12:13:03 AM」に作成され、現在使用されていることが示されています。つまり、このインスタンス テンプレートが自動的に作成され、デフォルトとして設定されたということです。
インスタンステンプレートの権限の問題だと思いますか?フォールバックインスタンステンプレート(使用すべきではない)はデフォルトのサービスアカウントで構成されており、一貫して機能しているようです。もう1つのインスタンステンプレート(使用すべき)は、別のサービスアカウントで構成されています([メールアドレス]) ですが、何かが機能していないようです。一定期間は機能しますが、数週間後 (クラスターのメンテナンス期間中) にフォールバック インスタンス テンプレートが作成され、自動的にデフォルトとして使用されます。メンテナンス期間中に一部の権限が再取得され、何かが正常に機能していない可能性があります。これが正しい方向である場合、サービス アカウントにどの権限を付与すればよいですか? サービス アカウントの権限の問題ではないと思われる場合、他に何が問題なのでしょうか?
サービスアカウントへの権限変更もテストしました([メールアドレス]) を Policy Simulator で実行しましたが、変更のテスト中にエラーが発生しました ("policy-simulator.png")。これは、Policy Simulator が、提案された許可ポリシーの下でアクセス試行の結果が変化するかどうかを判断できなかったことを意味します。
読んでくれてありがとう。あなたの努力に本当に感謝しています。よろしくお願いいたします
ピクチャー: ログエクスプローラー、ポリシーシミュレータ
答え1
MIG の作成中に、問題に関連している可能性がある次のセクションを見つけました。 migセクション
そのため、メンテナンス期間があるときは常に初期インスタンス テンプレートが使用されていました。引き続き調査します。