Estoy usando Google Kubernetes Engine, donde el grupo de nodos de mi clúster está conectado a instancias de Compute Engine definidas por plantillas de instancias. Estoy controlando estas plantillas de instancias mediante grupos de instancias administrados.
Al problema: veo que mi plantilla de instancia se reemplaza con una especie de plantilla de instancia alternativa que se crea automáticamente. Como la plantilla de instancia alternativa es de un tipo de máquina inferior, se produce una interrupción dentro de nuestro clúster ya que algunos servicios no se pueden programar.
Pude encontrar registros en el Explorador de registros con la misma marca de tiempo en la que se creó la nueva plantilla de instancia alternativa (captura de pantalla adjunta). "logs-explorer.png" muestra que la cuenta de servicio, por algún motivo, intenta eliminar un grupo de instancias que ni siquiera existe. Los registros reflejan esto mostrando un error. Unos minutos más tarde parece que se crea una plantilla de instancia. Si voy a Compute Engine -> Plantillas de instancia, muestra que la plantilla de instancia alternativa se creó el "13 de agosto de 2023 a las 12:13:03 a. m." y se usa actualmente. Esto significa que creó automáticamente esta plantilla de instancia y la configuró como predeterminada.
¿Crees que es un problema de permisos en las plantillas de instancias? Veo que la plantilla de instancia alternativa (que no debería usarse) está configurada con la cuenta de servicio predeterminada y parece funcionar de manera consistente. La otra plantilla de instancia (que debe usarse) está configurada con una cuenta de servicio diferente ([correo electrónico protegido]) y parece que algo no funciona allí. Funciona durante un tiempo determinado, pero después de algunas semanas (durante la ventana de mantenimiento del clúster), se crea una plantilla de instancia alternativa y se utiliza de forma predeterminada de forma automática. Tal vez durante la ventana de mantenimiento se vuelvan a obtener algunos permisos y algo no funcione como debería. Si esa es la dirección correcta, ¿qué permisos debo otorgar a la cuenta de servicio? Si cree que no se trata de un problema de permisos en la cuenta de servicio, ¿qué más podría ser el problema?
También probé cambiar los permisos a la cuenta de servicio ([correo electrónico protegido]) con Policy Simulator pero recibió errores al probar los cambios ("policy-simulator.png"), lo que significa que Policy Simulator no pudo determinar si el resultado del intento de acceso cambiaría según la política de permiso propuesta.
Gracias por leer y realmente aprecio tu esfuerzo. Atentamente
Respuesta1
Encontré la siguiente sección durante la creación de MIG que podría estar relacionada con el problema: sección mig
Por esa razón, se utilizó la plantilla de instancia inicial siempre que había una ventana de mantenimiento. Seguiré investigando.