Eu tenho esse cluster de piloto automático do GKE e estou tentando configurar um balanceador de carga para seus serviços. A ressalva é: em vez de definir um Ingress para o cluster, o que criaria o LB e todas as configurações relacionadas, tenho que definir manualmente um LB.
O GKE cria todos os NEGs necessários e estou apenas apontando o cluster existente para eles como back-ends, e funciona bem.
O problema: não consigo criar manualmente uma regra de firewall que permita que as redes de verificação de integridade alcancem os pods porque a regra espera receber uma TAG como destino, mas o piloto automático do GKE oculta todas as informações de referência. seus nós, por exemplo, as tags criadas automaticamente.
Este é um exemplo de regra de firewall criada pelo controlador de entrada do GKE:
Name: gke-autopilot-gke-cluster-XXXXX-xxxxx-egress
Target: gke-autopilot-gke-cluster-XXXXXX-node
Eu poderia criar uma regra de firewall visando toda a VPC/sub-rede, mas como obter a granularidade do nó em um cluster de piloto automático se não souber a TAG que os nós obterão?
Responder1
A regra de firewall criada automaticamente pode ser visualizada pelo seguinte comando:
gcloud compute firewall-rules list --filter="name=gke-autopilot" --format=json
Embora o comando abaixo possa ser usado para atualizar as regras de firewall e adicionar as tags de destino desejadas:
gcloud compute firewall-rules update firewall-rule-name \ --target-tags=tag-name
Como as tags são mantidas pelo Google, não é viável defini-las em nenhum nó do piloto automático; em vez disso, você deve configurar seu cluster como padrão.