-
1 votesanswersviews
限制在KCP中使用IP访问GCP的GKE
我在Google Cloud Patform的容器引擎(GKE)和负载均衡器(GLB)之上运行kubernetes(k8s) . 我想将k8s入口的访问权限限制为IP白名单 . 这是我可以直接用k8s或GLB做的事情,还是我需要通过代理运行它来为我做这件事? -
0 votesanswersviews
服务不在kubernetes暴露
我在GKE中有部署和服务 . 我将部署公开为负载均衡器,但我无法通过服务(curl或浏览器)访问它 . 我得到一个: curl: (7) Failed to connect to <my-Ip-Address> port 443: Connection refused 我可以直接前进到pod,它工作正常: kubectl --namespace=redfalcon port-forw... -
0 votesanswersviews
在GCP上将Traefik设置为Kubernetes Ingress
我正在尝试使用此Traefik用户指南:https://docs.traefik.io/user-guide/kubernetes/ 用户指南和我的设置之间的主要区别在于指南假设我在Minikube上,而我正在尝试在Google Cloud Platform(GCP)上进行此设置 . 我是Kubernetes的新手,但我认为我对基本面有一个很好的处理 . 无论如何,关于上面的用户指南中提供的基于角... -
0 votesanswersviews
即使在kubernetes中公开服务后,也无法连接到外部负载均衡器
我有以下部署文件 apiVersion: apps/v1 kind: Deployment metadata: name: family-tree-deployment labels: app: familytree spec: replicas: 1 selector: matchLabels: app: familytree template: ... -
3 votesanswersviews
Kubernetes StatefulSets:外部DNS
Kubernetes StatefulSets使用稳定的网络ID创建内部DNS条目 . 文档在这里描述: StatefulSet中的每个Pod都从StatefulSet的名称和Pod的序号中派生其主机名 . 构造的主机名的模式是$(statefulset name) - $(ordinal) . 上面的示例将创建三个名为web-0,web-1,web-2的Pod . StatefulSet可... -
5 votesanswersviews
GKE负载均衡器 - 入口 - 服务 - 会话亲和力(粘性会话)
我在开发环境中使用了具有以下配置的minibike的粘性会话: 入口: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: gl-ingress annotations: nginx.ingress.kubernetes.io/affinity: cookie kubernetes.io/ingress.... -
1 votesanswersviews
GKE Kubernetes节点池升级非常慢
我正在试验集群或 生产环境 集群上的6个节点(在两个节点池中)测试集群中进行GKE集群升级 . 升级时,我只有12个副本nginx部署,nginx入口控制器和cert-manager(作为helm图表)安装每个节点池需要10分钟(3个节点) . 我很满意 . 我决定再试一次看起来更像我们设置的东西 . 我删除了nginx部署并添加了2个node.js部署,以下是头盔图:mongodb-0.4.27... -
4 votesanswersviews
Kubernetes NGINX Ingress Controller未获取TLS证书
我使用nginx-ingress控制器在GKE上设置了一个新的kubernetes集群 . TLS不起作用,它使用假证书 . 有很多配置细节,所以我做了一个回购 - https://github.com/jobevers/test_ssl_ingress 简而言之,步骤是 创建没有GKE负载均衡器的新集群 用我的密钥和证书创建一个秘密 创建一个nginx-ingress部署/ po... -
2 votesanswersviews
kubernetes gce ingress path通配符不代理正确uri(在容器内工作)
什么原因可能导致无法使用某些slug卷曲/使用其他API,例如:example.com/application/v2/xxxx . 我使用的docker图像来自http://vespa.ai/ https://github.com/vespa-engine/docker-image/blob/master/Dockerfile 我已正确设置nodeport和入口 我尝试了各种各样的,例如主机上的默... -
5 votesanswersviews
即使我是所有者和管理员,也无法在GKE中创建群集角色
创建新的GKE集群后,创建集群角色失败,并显示以下错误: Error from server (Forbidden): error when creating "./role.yaml": clusterroles.rbac.authorization.k8s.io "secret-reader" is forbidden: attempt to gran... -
0 votesanswersviews
具有访问特定Kubernetes集群的自定义角色
TL;DR . 我想将一个角色绑定到一个用户,然后指定用户只能访问(读/写)群集A,而不是群集B或C(A,B和C都在同一个Google Cloud项目下) . 在Google Cloud上,我有一个包含多个Kubernetes集群(基于GKE)的项目 . 我需要将审核员添加到特定的Kubernetes集群(并确保他无法访问项目中的其他GKE集群) . 到目前为止,我已经创建了“审计员”角色 ... -
2 votesanswersviews
如何排除GKE上频繁的Kubernetes节点重置问题?
我在GKE中有一个测试集群(它运行我的非必要开发服务) . 我正在为群集使用以下GKE功能: 可抢占节点(~4x f1-micro) 专用入口节点 节点自动升级 节点自动修复 自动缩放节点池 区域集群 stackdriver healthchecks 我因此创建了可预占的节点池(在3个区域内自动缩放3到6个实际节点): gcloud beta container n... -
3 votesanswersviews
不使用gcloud工具将kubectl的本地实例连接到GKE集群?
有没有人知道如何在不在本地使用 gcloud 工具的情况下将 kubectl 的本地实例连接到Google Kubernetes Engine(GKE)群集? For example: 如果在此命令中使用 gcloud 工具: gcloud container clusters get-credentials NAME [--zone=ZONE, -z ZONE] [GCLOUD_WIDE_FLA... -
2 votesanswersviews
GKE kubernetes命名空间卡在终止中
我们有一个集群似乎永远不想完全删除名称空间,现在无法重新创建自定义指标命名空间,以便能够收集自定义指标以正确设置HPA . 我完全理解我可以使用所有自定义度量资源创建另一个命名空间,但是稍微关注群集的整体运行状况,因为命名空间陷入了“终止”状态 $ kubectl get ns NAME STATUS AGE cert-manager Active ... -
-2 votesanswersviews
Kubernetes网络利用率指标
我正在Google Compute Engine GCE上运行Kubernetes集群GKE . 通过Heapster,我能够得到不同的network metrics,例如发送或接收的字节,或错误率 . 但是,为了更好地理解我的应用程序(Pods)瓶颈,了解如何利用Node的网络是至关重要的 . 是否可以查询网络利用率,否则哪些指标确实表明我的网络 Health 状况? -
2 votesanswersviews
kkenetes on gke /为什么强制使用负载均衡器?
通过GKE进入kubernetes,目前通过裸机上的kubeadm尝试 . 在以后的环境中,不需要任何特定的负载均衡器;使用nginx-ingress和ingresses让一个服务到www . 相反,在gke上,使用相同的nginx-ingress,或使用提供的gke,你总是会得到一个计费负载均衡器 . 这是什么原因,因为它似乎最终不需要? -
0 votesanswersviews
在GKE上使用NGINX Ingress Controller的奇怪之处
为了在GKE上公开我们的应用,我们一直在使用利用谷歌L7负载均衡器的“gce”进站 . 由于各种原因,我们希望切换到TCP负载 balancer 器公开的Nginx控制器 . 设置正常,但有一些奇怪的工件 . $ kubectl get service ingress-nginx-static -n ingress-nginx -o yaml apiVersion: v1 kind: Servic... -
0 votesanswersviews
在Google Kubernetes Engine上访问Redis群集
我已经使用Kubernetes提供的examples在Google Kubernetes Engine上部署了Redis群集 . 它按预期工作 . 我试图从客户端应用程序连接到此群集 . 我知道Redis不提供加密,也不建议将群集暴露给全世界,并且它旨在从私有和可信网络访问 . 如果默认情况下,redis绑定到loopback接口,那么如何将标准(Go或Python)客户端库连接到群集? -
6 votesanswersviews
GKE是否支持静态IP的nginx-ingress?
我一直在使用Google Cloud入口 . 还部署了 nginx-ingress 并尝试在GKE中使用static-ip地址进行设置 . 我们可以在同一群集中同时使用Google Cloud ingress和nginx-ingress吗? 我们如何在静态IP中使用nginx-ingress? 谢谢 -
2 votesanswersviews
kubernetes gke multiple ingresses single global ip
我在GKE上的k8上有多个MSA . 每个都在单独的子域上,如: msa1.example.com msa2.example.com 我在单个入口中有它: apiVersion: extensions/v1beta1 kind: Ingress metadata: name: main-ingress annotations: kubernetes.io/ingress... -
1 votesanswersviews
使用https时,GKE Ingress丢弃websocket连接
我有一个Ingress(默认的GKE),它在我的服务之前处理所有的SSL . 我的一项服务是WebSocket服务(python autobahn) . 当我使用LoadBalancer公开服务而没有通过抛出入口时,使用ws://我们工作的一切都很好 . 相反,当我使用NodePort公开它并通过入口时,即使没有客户端连接,我也经常看到连接丢失 . 这是autobahnlogs: WARNING:... -
1 votesanswersviews
GKE K8s LoadBalancer服务目标组
我为 nginx-ingress-controller 创建了一个 type=LoadBalancer 服务 . 它运行得很好,但我只是注意到我的 LoadBalancer 服务为我的集群中的所有节点创建了一个目标组,当然这些其他节点也会失败 healthcheck . Questions: 这是预期的行为吗? 如果没有;如何将其配置为仅定位特定节点池/实例组? P.S . :我已经... -
0 votesanswersviews
是否可以使用内部IP创建GKE入口控制器?
当我创建一个GKE入口控制器时,默认情况下它创建了一个公共IP . 是否可以使用内部IP创建GKE入口控制器? 我已将我的服务暴露为类型Ingress,我没有选项来指定我的ip必须是内部还是外部 . 但是,如果我将我的服务公开为LoadBalancer,我可以指定IP的类型 . 注释:cloud.google.com/load-balancer -type:“内部” -
1 votesanswersviews
带有GKE的外部OIDC提供商
我在数据中心有两个Kubernetes集群,我希望在公共 Cloud 中创建第三个集群 . 我的两个群集都使用Azure AD通过OIDC进行身份验证 . 我用以下内容启动我的API服务器: --oidc-issuer-url=https://sts.windows.net/TENAND_ID/ --oidc-client-id=spn:CLIENT_ID --oidc-username-clai... -
3 votesanswersviews
使用令牌通过服务帐户登录GKE
我试图通过服务帐户访问我在谷歌 Cloud 上的Kubernetes群集,但我无法使其工作 . 我有一个运行系统,有一些pod和入口 . 我希望能够更新部署的图像 . 我想使用这样的东西(远程): kubectl config set-cluster cluster --server="<IP>" --insecure-skip-tls-verify=true ku... -
0 votesanswersviews
GKE:具有推送订阅者的pod之间的Pubsub消息
我正在使用具有多个pod的GKE部署,我需要在pod之间发送和接收消息 . 我想用pubsub push subscribers . 我发现推送我需要为订阅者pod配置https访问 . 为了接收推送消息,您需要一个可公开访问的HTTPS服务器来处理POST请求 . 服务器必须提供由证书颁发机构签名且可由DNS路由的有效SSL证书 . 您还需要验证您拥有域(或具有对 endpoints 的等效访... -
1 votesanswersviews
Ingress不适用于Google Kubernets Engine(GKE)
下面给出了配置,我试图在Google Kubernetes Engine上部署 . 但部署后,我无法访问入口外部IP上的服务 . 如果我这样做,我可以访问该服务: $ kubectl exec POD_NAME # curl GET localhost:6078/todos 但是我无法通过入口访问它 . GKE UI显示错误,如: 同步时出错:评估入口规范时出错:无法找到服务"de... -
2 votesanswersviews
GKE的后端服务配额
我的问题是关于Google Kubernetes Engine的配额 . 我有一个运行4个pod的实例,每个pod都指的是一个包含3个容器的微服务(api): Spring Boot App esp: endpoints cloudsqlproxy 对于每个pod(微服务),我有一个部署yaml,其中包括nodeport服务 . 除此之外,还有一个入口映射所有这些服务 . 现在我需... -
0 votesanswersviews
如何在GKE上设置服务负载均衡器请求超时
我在类型为LoadBalancer的GKE上有一个Service,它指向运行nginx的GKE部署 . 我的nginx将所有超时设置为10分钟,但是在接收响应之前必须等待处理的HTTP / HTTPS请求在30秒后得到500个错误的截止 . 我的设置: http { proxy_read_timeout 600s; proxy_connect_timeout 600s; k... -
1 votesanswersviews
Ingress资源在多个命名空间中具有后端kubernetes服务
我在Google Kontainer引擎(GKE)中的不同命名空间中部署了两个应用程序 . 我想使用单个入口资源(Google Load Balancer)指向使用基于路径的路由的应用程序 . 是否有可能在单个入口资源后面的多个命名空间中拥有后端kubernetes服务 . 如果可能,怎么样?