Ich verwende Google Kubernetes Engine, wobei der Knotenpool meines Clusters mit Compute Engine-Instanzen verbunden ist, die durch Instanzvorlagen definiert sind. Ich steuere diese Instanzvorlagen durch verwaltete Instanzgruppen.
Zum Problem: Ich sehe, dass meine Instanzvorlage durch eine Art Fallback-Instanzvorlage ersetzt wird, die automatisch erstellt wird. Da die Fallback-Instanzvorlage von einem niedrigeren Maschinentyp ist, führt dies zu einem Ausfall innerhalb unseres Clusters, da einige Dienste nicht geplant werden können.
Ich konnte im Logs Explorer Protokolle mit demselben Zeitstempel finden, an dem die neue Fallback-Instanzvorlage erstellt wurde (Screenshot angehängt). „logs-explorer.png“ zeigt, dass das Servicekonto aus irgendeinem Grund versucht, eine Instanzgruppe zu löschen, die nicht einmal existiert. Die Protokolle spiegeln dies wider, indem sie einen Fehler anzeigen. Einige Minuten später scheint eine Instanzvorlage erstellt worden zu sein. Wenn ich zu Compute Engine -> Instanzvorlagen gehe, wird angezeigt, dass die Fallback-Instanzvorlage am „13. August 2023, 00:13:03 Uhr“ erstellt wurde und derzeit verwendet wird. Dies bedeutet, dass diese Instanzvorlage automatisch erstellt und als Standard festgelegt wurde.
Glauben Sie, dass es sich um ein Berechtigungsproblem bei den Instanzvorlagen handelt? Ich sehe, dass die Fallback-Instanzvorlage (die nicht verwendet werden sollte) mit dem Standarddienstkonto konfiguriert ist und das scheint konsistent zu funktionieren. Die andere Instanzvorlage (die verwendet werden sollte) ist mit einem anderen Dienstkonto konfiguriert ([email geschützt]) und es scheint, dass dort etwas nicht funktioniert. Es funktioniert eine gewisse Zeit lang, aber nach einigen Wochen (während des Wartungsfensters des Clusters) wird automatisch eine Fallback-Instanzvorlage erstellt und als Standard verwendet. Möglicherweise werden während des Wartungsfensters einige Berechtigungen erneut abgerufen und etwas funktioniert nicht wie es sollte. Wenn das die richtige Richtung ist, welche Berechtigungen sollte ich dem Dienstkonto erteilen? Wenn Sie denken, dass es kein Berechtigungsproblem beim Dienstkonto ist, was könnte sonst das Problem sein?
Ich habe auch getestet, die Berechtigungen für das Servicekonto zu ändern ([email geschützt]) mit Policy Simulator, erhielt jedoch beim Testen der Änderungen Fehler („policy-simulator.png“), was bedeutet, dass Policy Simulator nicht bestimmen konnte, ob sich das Ergebnis des Zugriffsversuchs unter der vorgeschlagenen Zulassungsrichtlinie ändern würde.
Vielen Dank für das Lesen und ich weiß Ihre Bemühungen wirklich zu schätzen. Mit freundlichen Grüßen
Bilder: Protokoll-Explorer,Politiksimulator
Antwort1
Ich habe während der MIG-Erstellung folgenden Abschnitt gefunden, der mit dem Problem zusammenhängen könnte: MIG-Abschnitt
Aus diesem Grund wurde bei jedem Wartungsfenster die ursprüngliche Instanzvorlage verwendet. Ich werde das weiter untersuchen.