我正在使用 Google Kubernetes Engine,其中叢集的節點池連接到實例模板定義的 Compute Engine 實例。我透過託管實例組控制這些實例模板。
對於問題:我看到我的實例模板被自動建立的一種後備實例模板取代。由於後備實例模板的機器類型較低,因此無法安排某些服務,導致叢集內出現中斷。
我可以在日誌資源管理器中找到具有與建立新後備實例範本相同的時間戳記的日誌(附有螢幕截圖)。 「logs-explorer.png」顯示服務帳戶因某些原因嘗試刪除甚至不存在的實例群組。日誌透過顯示錯誤來反映這一點。幾分鐘後,似乎創建了一個實例模板。如果我轉到計算引擎 -> 實例模板,它會顯示後備實例模板是在「2023 年 8 月 13 日上午 12:13:03」創建的,並且目前正在使用。這意味著它自動建立了此實例模板並將其設定為預設模板。
您認為這是實例模板的權限問題嗎?我發現回退實例模板(不應使用)是使用預設服務帳戶配置的,並且似乎始終有效。另一個實例模板(應該使用)配置有不同的服務帳戶([電子郵件受保護])並且似乎有些東西在那裡不起作用。它可以工作一段時間,但幾週後(在叢集的維護時段),會自動建立回退實例模板並用作預設模板。也許在維護時段期間,某些權限被重新獲取,並且某些內容無法正常運作。如果這是正確的方向,我應該向服務帳戶授予哪些權限?如果您認為這不是服務帳戶的權限問題,那麼還有什麼問題呢?
我還測試了更改服務帳戶的權限([電子郵件受保護])使用策略模擬器,但在測試變更時收到錯誤(「policy-simulator.png」),這表示策略模擬器無法確定存取嘗試的結果是否會在建議的允許原則下發生變更。
感謝閱讀,我非常感謝您的努力。親切的問候
答案1
我在 MIG 創建過程中發現以下部分可能與該問題相關: 米格部分
因此,只要有維護時段,就會使用初始實例模板。我會繼續調查。