Tengo este clúster de piloto automático de GKE y estoy intentando configurar un equilibrador de carga para sus servicios. La advertencia es: en lugar de definir un Ingress para el clúster, lo que crearía el LB y todas las configuraciones relacionadas, tengo que definir manualmente un LB.
GKE crea todos los NEG que necesito y simplemente les apunto el clúster existente como backends, y funciona bien.
El problema: no puedo crear manualmente una regla de firewall que permita que las redes de verificación de estado lleguen a los pods porque la regla espera recibir una TAG como objetivo, pero el piloto automático de GKE oculta toda la información de referencia. sus nodos, por ejemplo, las etiquetas creadas automáticamente.
Este es un ejemplo de regla de firewall creada por el controlador de ingreso de GKE:
Name: gke-autopilot-gke-cluster-XXXXX-xxxxx-egress
Target: gke-autopilot-gke-cluster-XXXXXX-node
Podría crear una regla de firewall dirigida a toda la VPC/subred, pero ¿cómo lograr la granularidad de los nodos dentro de un clúster de piloto automático si no sé el TAG que obtendrán los nodos?
Respuesta1
La regla de firewall creada automáticamente se puede ver con el siguiente comando:
gcloud compute firewall-rules list --filter="name=gke-autopilot" --format=json
Aunque el siguiente comando se puede utilizar para actualizar las reglas del firewall y agregar las etiquetas de destino deseadas:
gcloud compute firewall-rules update firewall-rule-name \ --target-tags=tag-name
Dado que Google mantiene las etiquetas, no es factible configurarlas en ningún nodo de piloto automático; en su lugar, debe configurar su clúster como estándar.