我有一個 GKE Autopilot 集群,其中部署了一個工作負載,需要透過兩個不同的本地 VPN 連接到兩個 SQL 資料庫。該網路位於另一個專案上,並且是共用 VPC。
GKE配置是這樣的:
- 私有叢集
- 子網路控制平面 172.20.0.0/28,pod 172.18.0.0/16,服務 172.19.0.0/16
- 啟用資料平面 v2
兩個 VPN 各有一個隧道(無 HA)並使用 IkeV1 版本。
我將 VPN 連接到與 pod 和服務的子網路不同的兩個子網,分別為 172.21.0.16/29 和 172.21.0.24/29。
我更新了 GKE 對等連接以導入我在“導出的路由”下實際看到的新路由。
如果我在兩個子網路內建立虛擬機,我可以正確連接到資料庫,但不能從 Pod 連接。
我所做的是否正確,即將 VPN 連接到與叢集的子網路不同的子網路?
或者將它們連接到叢集的網路會更正確嗎?
我也嘗試過這解決方案,但它不起作用,因為我使用的是 GKE Autopilot。也這不起作用,因為我無法刪除 ip-masq-agent pod。
解決方案:我已透過將 VPN 類型從經典更改為具有一條隧道的 HA 來解決。這啟用了動態路由,就像我對經典 VPN 所做的那樣,這些路由會匯入到 gke 叢集對等連線中。我嘗試從 Pod 連接 Sql 資料庫,一切正常。