kubernetes - 为什么 GKE 私有集群的出站访问不明确?
问题描述
我最近创建了一个用于运行 Web 服务的私有 GKE kubernetes 集群,发现它被完全锁定,不应该有任何出站互联网访问,但可以访问 GCP 服务。我很高兴将容器图像推送到私有 GCP 存储库。
然而,我觉得奇怪的是,在安装了一些公共域 helm 图表后,一些图像是从 docker hub 和其他公共注册表中提取的,而另一些则不是。
我正在使用抢占式节点,因此我之前部署的一些图表已经替换了底层节点,并且替换显示了图像拉取错误。
这是由于 GKE 服务的多租户特性造成的吗?也许某些主机可能已经缓存了图像,因此实际上并没有拉动图像?
一个例子
mongo:3.6
一个吊舱挂了超过 24 小时,然后最终被三个吊舱拉动,但它是 docker hub 参考
解决方案
所以看起来谷歌反映了许多流行的公共回购。这就解释了为什么即使没有互联网访问也可以提取许多更常见的公共图像,您基本上只是从 Google 的存储库中提取(您通过对 API 的私有访问来访问)。
我猜某些图像没有被镜像,而那些图像是悬挂的。
推荐阅读
- command-line - 如何忽略 7-zip 命令行警告并继续?
- docker - docker 容器会即时获取代码更改吗?
- java - Android Studio 不断导入 import sun.jvm.hotspot.utilities.IntArray
- rust - 将向量中的每个元素与下一个元素进行比较
- c# - .net core 3.0 无法加载文件或程序集'System.Web.Http Version=5.2.7.0'
- python - 将需要修改的函数放在装饰器的什么位置
- php - 提供的 id 不存在 - php 中的 razorpay
- cors - .NET Core 3.0 中的 CORS
- javascript - 初学者问题:(可选)promise 结合箭头/访问结果/错误值
- pipe - Bazel 构建命令模棱两可的标准输出/标准错误,而管道