Как я могу подключиться к IP-адресу кластера Kubernetes Workload из внешней сети через Google Cloud Classic VPN?

У нас есть кластер Kubernetes, работающий на GKE, с использованием собственного VPC, созданного для этого с подсетью 10.184.0.0/20. Этот кластер имеет рабочую нагрузку, которой назначен внешний балансировщик нагрузки для общего доступа, а также внутренний IP-адрес кластера для внутренней связи. Подсеть сервисов 10.0.0.0/20.

На том же VPC есть настройка Google Cloud Classic VPN для доступа к частной сети.

У нас есть еще одна локальная система, которая подключается через вышеупомянутую VPN через туннель. Локальная сеть может пинговать узлы в VPC через их частные IP-адреса в подсети 10.184.0.0/20, но позволяет пинговать / telnet на IP-адрес кластера, который находится в подсети 10.0.0.0/20.

Возможно ли этого добиться?


kubernetes google-kubernetes-engine google-vpc google-cloud-vpn
person zulugraffi    schedule 28.09.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это действительно возможно, поскольку ваш туннель уже запущен, и вы можете пинговать свои узлы, я предполагаю, что вы не можете получить доступ к модулю и диапазонам услуг из вашего локального приложения, что означает, что вы рекламируете только основной 10.184.0.0/ 20 CIDR, но не второстепенные, я прав?

Вы можете легко проверить это, запустив проверка подключения, он будет моделировать трафик между источником и местом назначения (в этом случае источником является IP-адрес вашей локальной сети, а местом назначения должен быть IP-адрес службы) с учетом нескольких продуктов (правила брандмауэра, VPC пиринг, маршруты, VPN-туннели и т. д.) и сообщит вам, если что-то не так / отсутствует в вашей среде.

Если вам не хватает этих диапазонов в конфигурации VPN, вам потребуется создайте его заново и обязательно добавьте вторичные диапазоны в селекторах трафика (или используйте широкий CIDR 0.0.0.0/0).

Наконец, помните, что вам нужно раскрыть свои приложения с помощью сервисов (IP-адрес кластера, NodePort, балансировщик нагрузки) и повторите попытку из локальной сети.

person alejandrooc    schedule 28.09.2020