GKE(自動駕駛)節點出站ip范圍
[英]GKE (autopilot) node outbound ip range
問題描述
長話短說:連接到 mongo atlas,並嘗試將最小的 ip 范圍列入白名單。
VPC 對等互連將無法工作,因為 Mongo 集群托管在 AWS 中,這只是 Mongo Atlas 的一個限制。 此外,我們的一些 mongo 集群是 M5(或更低版本),它們不支持 VPC 對等。
話雖如此,當我的 pod 嘗試連接到 Mongo 時,我不確定它們的公共/外部 ip 是什么。 如果不盡可能縮小出站ip范圍,還有什么選擇。
GKE 集群不是私有的,它是自動駕駛的
2 個解決方案
解決方案1
0 2023-01-28 11:41:50
使用 Autopilot,您不能使用使用kube-ip的廉價解決方案,這將允許您將公共 GCP static ips 關聯到您的 GKE 節點。 它是一個在您的 kube.netes 集群中運行的守護進程,並在必要時不斷檢查和關聯您之前購買的 GCP ips 到您的 GKE 節點。
借助 Autopilot,您可以做的是使用支持容器原生負載平衡的網絡端點組 (NEG) 抽象層。 它允許配置基於路徑或基於主機的路由到他們的后端 pod。 入口是免費的,但您需要為 GCP 負載平衡付費,這比在大多數情況下使用 kube-ip 保留幾個 ips 更廣泛。
這里有更多關於 GCP 的 NEG 的信息。 加上另一個相關的 stackexchange 問題。
解決方案2
0 2023-01-28 17:49:16
找到這兩篇文章,它們展示了如何將出口流量路由到單個 IP,它可用於將您的 GKE 從 Mongo Atlas 列入白名單:
或者
不幸的是,這兩個選項都只適用於非自動駕駛 GKE。 對於通過 Cloud NAT 路由 GKE 集群的出口流量,公共 Autopilot GKE 集群目前不支持所需的網絡行為。 集群的 IP 偽裝配置未配置為在集群內對從 Pod 發送到 inte.net 的數據包執行 SNAT。 目前,沒有辦法將 IP 偽裝代理配置為在連接到 Autopilot 集群中的 inte.net 時不偽裝 pod 范圍。 因此,公共 Autopilot GKE 集群中的 pod 出口流量將使用節點的外部 IP。
因此,要繼續使用 Cloud NAT,可以:
- 使用私有 GKE 集群,它可以處於 Autopilot 模式。
- 使用公共 GKE 集群,但不在 Autopilot 模式下。
GKE Autopilot 有時會殺死 Pod 嗎?有沒有辦法為關鍵服務阻止它?
[英]Does GKE Autopilot sometimes kill Pods and is there a way to prevent it for Critical Services?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
具有共享 vpc 的 GKE 自動駕駛儀 ip 耗盡
禁用 GKE 自動駕駛儀的日志記錄
請求的 GKE Autopilot 入口超時
GKE autopilot 中的 cilium 訪問
GPU 使用 Composer 2 和 GKE Autopilot 的工作負載?
GKE Autopilot 未連接到 Cloud Filestore
有沒有辦法在 GKE Autopilot 中分解成本?
403 禁止訪問 ESPv2、GKE AutoPilot、WIF
Autopilot GKE 集群 cpu/mem 不足
GKE Autopilot 有時會殺死 Pod 嗎?有沒有辦法為關鍵服務阻止它?
相關標簽