我有這個 GKE 自動駕駛集群,我正在嘗試為其服務設定負載平衡器。需要注意的是:我必須手動定義 LB,而不是為叢集定義 Ingress(這將建立 LB 和所有相關配置)。
GKE 創建了我需要的所有 NEG,我只是將現有集群作為後端指向它們,而且它工作得很好。
問題:我無法手動建立允許運行狀況檢查網路到達 Pod 的防火牆規則,因為該規則期望接收 TAG 作為其目標,但自動駕駛儀 GKE 隱藏了所有資訊引用。它的節點,例如自動建立的標籤。
這是 GKE 入口控制器所建立的防火牆規則的範例:
Name: gke-autopilot-gke-cluster-XXXXX-xxxxx-egress
Target: gke-autopilot-gke-cluster-XXXXXX-node
我可以建立針對整個 VPC/子網路的防火牆規則,但如果我不知道節點將獲得的 TAG,如何在自動駕駛叢集內實現節點粒度?
答案1
自動建立的防火牆規則可以透過以下命令查看:
gcloud compute firewall-rules list --filter="name=gke-autopilot" --format=json
儘管可以使用以下命令更新防火牆規則並新增所需的目標標籤:
gcloud compute firewall-rules update firewall-rule-name \ --target-tags=tag-name
由於標籤是由Google維護的,因此在任何自動駕駛節點中設定它們是不可行的;相反,您必須將叢集配置為標準叢集。