이 GKE Autopilot 클러스터가 있고 해당 서비스에 대한 로드 밸런서를 설정하려고 합니다. 주의할 점은 LB 및 모든 관련 구성을 생성하는 클러스터에 대한 수신을 정의하는 대신 LB를 수동으로 정의해야 한다는 것입니다.
GKE는 필요한 모든 NEG를 생성하고 기존 클러스터를 백엔드로 가리키기만 하면 제대로 작동합니다.
문제: 규칙은 TAG를 대상으로 수신할 것으로 예상하기 때문에 상태 확인 네트워크가 포드에 도달하도록 허용하는 방화벽 규칙을 수동으로 만들 수 없지만 자동 조종 장치 GKE는 모든 정보 참조를 숨깁니다. 해당 노드(예: 태그가 자동으로 생성됨).
다음은 GKE 인그레스 컨트롤러에서 생성된 방화벽 규칙의 예시입니다.
Name: gke-autopilot-gke-cluster-XXXXX-xxxxx-egress
Target: gke-autopilot-gke-cluster-XXXXXX-node
전체 VPC/서브넷을 대상으로 하는 방화벽 규칙을 생성할 수 있지만, 노드가 얻게 될 TAG를 모르는 경우 Autopilot 클러스터 내에서 노드 세분성을 달성하려면 어떻게 해야 합니까?
답변1
자동으로 생성된 방화벽 규칙은 다음 명령으로 볼 수 있습니다.
gcloud compute firewall-rules list --filter="name=gke-autopilot" --format=json
아래 명령을 사용하여 방화벽 규칙을 업데이트하고 원하는 대상 태그를 추가할 수 있습니다.
gcloud compute firewall-rules update firewall-rule-name \ --target-tags=tag-name
태그는 Google에서 관리하므로 자동 조종 노드에서 태그를 설정하는 것은 불가능합니다. 대신 클러스터를 표준 클러스터로 구성해야 합니다.