클러스터의 노드 풀이 인스턴스 템플릿으로 정의된 Compute Engine 인스턴스에 연결된 Google Kubernetes Engine을 사용하고 있습니다. 관리형 인스턴스 그룹을 통해 이러한 인스턴스 템플릿을 제어하고 있습니다.
문제: 내 인스턴스 템플릿이 자동으로 생성되는 일종의 대체 인스턴스 템플릿으로 대체된 것을 확인했습니다. 대체 인스턴스 템플릿은 머신 유형이 낮기 때문에 일부 서비스를 예약할 수 없어 클러스터 내에서 중단이 발생합니다.
새 대체 인스턴스 템플릿이 생성된 타임스탬프와 동일한 타임스탬프가 있는 로그를 로그 탐색기에서 찾을 수 있었습니다(스크린샷 첨부). "logs-explorer.png"는 어떤 이유로 서비스 계정이 존재하지도 않는 인스턴스 그룹을 삭제하려고 시도함을 보여줍니다. 로그는 오류를 표시하여 이를 반영합니다. 몇 분 후에 인스턴스 템플릿이 생성된 것 같습니다. Compute Engine -> 인스턴스 템플릿으로 이동하면 대체 인스턴스 템플릿이 "2023년 8월 13일 오전 12시 13분 3초"에 생성되었으며 현재 사용 중이라고 표시됩니다. 이는 이 인스턴스 템플릿이 자동으로 생성되어 기본값으로 설정되었음을 의미합니다.
인스턴스 템플릿에 대한 권한 문제라고 생각하시나요? 사용하면 안 되는 대체 인스턴스 템플릿이 기본 서비스 계정으로 구성되어 있고 일관되게 작동하는 것 같습니다. 사용해야 하는 다른 인스턴스 템플릿은 다른 서비스 계정([이메일 보호됨]) 거기에서 뭔가 작동하지 않는 것 같습니다. 특정 시간 동안 작동하지만 몇 주 후에(클러스터 유지 관리 기간 동안) 대체 인스턴스 템플릿이 자동으로 생성되어 기본값으로 사용됩니다. 어쩌면 유지 관리 기간 동안 일부 권한을 다시 가져오고 무언가가 제대로 작동하지 않을 수도 있습니다. 그것이 올바른 방향이라면 서비스 계정에 어떤 권한을 부여해야 합니까? 서비스 계정의 권한 문제가 아니라고 생각한다면 또 어떤 문제가 있을 수 있나요?
또한 서비스 계정([이메일 보호됨])을 사용하여 정책 시뮬레이터를 사용했지만 변경 사항("policy-simulator.png")을 테스트하는 동안 오류가 발생했습니다. 이는 정책 시뮬레이터가 제안된 허용 정책에 따라 액세스 시도 결과가 변경되는지 여부를 결정할 수 없음을 의미합니다.
읽어주셔서 감사드리며 귀하의 노력에 진심으로 감사드립니다. 감사합니다
답변1
MIG 생성 중에 문제와 관련이 있을 수 있는 다음 섹션을 발견했습니다. 마이그레이션 섹션
이러한 이유로 유지 관리 기간이 있을 때마다 초기 인스턴스 템플릿이 사용되었습니다. 계속 조사하겠습니다.