Можно ли открыть порт, чтобы разрешить трафик от мастера GKE?

Мастер GKE работает в режиме высокой доступности, и виртуальная машина также не отображается на странице экземпляров виртуальных машин. Можно ли разрешить трафик на мастере GKE, открыв больше портов, кроме 443, которые уже открыты для API k8s.


google-cloud-platform google-kubernetes-engine gke-networking
person gagan    schedule 11.07.2020    source источник
comment
Это частный кластер или публичный кластер?   -  person jbielick    schedule 11.07.2020
comment
Если вы посмотрите на правила вашего брандмауэра, то для главных экземпляров GKE будет одно. Вы можете изменить или добавить это правило брандмауэра.   -  person jbielick    schedule 11.07.2020
comment
Его публичный кластер. Проверим правила брандмауэра. Будет ли хорошей практикой открываться для мастера? Какой будет альтернатива, Сервис типа LoadBalancer?   -  person gagan    schedule 11.07.2020
comment
Что вы хотите исполнить на мастере? Зачем использовать что-то еще, что 443? Это для CRD?   -  person guillaume blaquiere    schedule 11.07.2020
comment
Не на мастере, я выставил сервисы с помощью NodePort. Мне было любопытно, могу ли я получить к ним доступ с помощью ‹GKE_MASTER_IP›: ‹NODE_PORT›? Следовательно, я пытаюсь разрешить входящий трафик.   -  person gagan    schedule 12.07.2020

Ответы (1)


arrow_upward
2
arrow_downward

GKE - это управляемый кластер, и вы не можете вносить изменения в главные узлы. Плоскости управления не видны в экземплярах ВМ, и все взаимодействия должны выполняться с использованием kubectl.

Мастер - это единая конечная точка для вашего кластера. Все взаимодействия с кластером выполняются через вызовы Kubernetes API, а мастер запускает процесс Kubernetes API Server для обработки этих запросов. Вы можете выполнять вызовы Kubernetes API напрямую через HTTP / gRPC или косвенно, выполняя команды из клиента командной строки Kubernetes (kubectl) или взаимодействуя с пользовательским интерфейсом в облачной консоли.

Фактически, я не вижу причин для изменения правил брандмауэра в плоскостях управления, поскольку вся ваша рабочая нагрузка, включая службы и вход, будет выполняться в пулах узлов.

Использованная литература:

https://cloud.google.com/kubernetes-engine/docs/concepts/cluster-architecture

person Mr.KoopaKiller    schedule 13.07.2020