kubernetes - 无法从同一子网上的 k8s pod 访问 GCE 实例

问题描述

10.101.64.0/19我在网络 A 和子网 SA 上有一个具有容器范围的集群，范围为10.101.0.0/18。在同一个子网上，GCE 中有一个带有 IP 的 VM，10.101.0.4它可以从集群内很好地 ping 通，例如从具有10.101.0.3. 但是，如果我去这个节点上的一个 pod 获得地址10.101.67.191（这是预期的 - 这个节点分配地址10.101.67.0/24或其他东西），我不会从我想从这个 pod 访问的那个 VM 得到有意义的答案。在 icmp 上使用 tcpdump，我可以看到当我从 pod ping 那个 VM 机器时，ping 到达那里，但我没有在 pod 中收到 ACK。似乎VM只是把它扔掉了。

知道如何解决吗？一些路由或防火墙？我在 kubernetes 创建的默认子网中使用相同的拓扑，但我找不到任何相关的东西可以解释这一点（有一些路由和防火墙规则可能会影响它，但我在尝试模仿它们时没有成功我的子网）

标签： kubernetes