У меня есть этот кластер GKE autopilot, и я пытаюсь настроить балансировщик нагрузки для его служб. Предостережение: вместо определения Ingress для кластера, который создал бы LB и все связанные конфигурации, мне приходится вручную определять LB.
GKE создает все необходимые мне NEG, и я просто указываю существующему кластеру на них как на бэкэнды, и это отлично работает.
Проблема: я не могу вручную создать правило брандмауэра, разрешающее сетям проверки работоспособности достигать модулей, поскольку правило ожидает получения ТЕГА в качестве своей цели, но автопилот GKE скрывает всю информацию, относящуюся к его узлам, например, автоматически созданные теги.
Это пример правила брандмауэра, созданного контроллером входа GKE:
Name: gke-autopilot-gke-cluster-XXXXX-xxxxx-egress
Target: gke-autopilot-gke-cluster-XXXXXX-node
Я мог бы создать правило брандмауэра, нацеленное на всю VPC/подсеть, но как добиться детализации узлов в кластере автопилота, если я не знаю TAG, который получат узлы?
решение1
Автоматически созданное правило брандмауэра можно просмотреть с помощью следующей команды:
gcloud compute firewall-rules list --filter="name=gke-autopilot" --format=json
Однако для обновления правил брандмауэра и добавления желаемых целевых тегов можно использовать следующую команду:
gcloud compute firewall-rules update firewall-rule-name \ --target-tags=tag-name
Поскольку теги поддерживаются Google, их невозможно установить в каком-либо узле автопилота; вместо этого вам необходимо настроить свой кластер как стандартный.