GKE オートパイロット クラスターがあり、2 つの異なるオンプレミス VPN を介して 2 つの SQL データベースに接続する必要があるワークロードをデプロイしました。ネットワークは別のプロジェクトにあり、共有 VPC です。
GKE の構成は次のとおりです。
- プライベートクラスター
- サブネット コントロール プレーン 172.20.0.0/28、ポッド 172.18.0.0/16、サービス 172.19.0.0/16
- データプレーン v2 が有効
2 つの VPN にはそれぞれ 1 つのトンネル (HA なし) があり、IkeV1 バージョンを使用します。VPN
をポッドとサービスのサブネットとは異なる 2 つのサブネット (それぞれ 172.21.0.16/29 と 172.21.0.24/29) に接続しました。GKE
ピア接続を更新して、「エクスポートされたルート」の下に実際に表示される新しいルートをインポートしました。
2 つのサブネット内に VM を作成すると、データベースには正しく接続できますが、ポッドからは接続できません。
私が行っていることは正しいでしょうか、つまり、VPN をクラスターのサブネットとは異なるサブネットに接続しているのでしょうか?
それとも、クラスターのネットワークに接続する方が正しいのでしょうか?
私も試してみましたこれ解決策はありますが、GKE Autopilotを使用しているため機能しません。またこれip-masq-agent ポッドを削除できないため、機能しません。
解決: VPN のタイプを Classic から 1 つのトンネルを持つ HA に変更することで解決しました。これにより、Classic VPN で行ったように、GKE クラスタ ピア接続にインポートされる動的ルートが有効になりました。ポッドから SQL データベースに接続しようとしましたが、すべて正常に動作しました。