kubernetes - Kubernetes Cloud SQL sidecar 连接超时。如何检查凭据是否有效？

问题描述

我正在尝试为 PostgreSQL 设置 Cloud SQL 代理 Docker 映像，如此处所述。我可以让我的应用程序连接到代理 docker 映像，但代理超时。我怀疑这是我的凭据或端口，那么如何调试并确定它是否有效？这就是我的项目

kubectl create secret generic cloudsql-instance-credentials --from-file=credentials.json=my-account-credentials.json

我的部署规范片段：

spec:
      containers:
        - name: mara ...
        - name: cloudsql-proxy
          image: gcr.io/cloudsql-docker/gce-proxy:1.11
          command: ["/cloud_sql_proxy",
                    "-instances=<MY INSTANCE NAME>=tcp:5432",
                    "-credential_file=/secrets/cloudsql/credentials.json"]
          volumeMounts:
            - name: cloudsql-instance-credentials
              mountPath: /secrets/cloudsql
              readOnly: true
      volumes:
        - name: cloudsql-instance-credentials
          secret:
            secretName: cloudsql-instance-credentials

我的 cloudsql-proxy 的日志显示超时：

2019/05/13 15:08:25 using credential file for authentication; email=646092572393-compute@developer.gserviceaccount.com
2019/05/13 15:08:25 Listening on 127.0.0.1:5432 for <MY INSTANCE NAME>
2019/05/13 15:08:25 Ready for new connections
2019/05/13 15:10:48 New connection for "<MY INSTANCE NAME>"
2019/05/13 15:10:58 couldn't connect to <MY INSTANCE NAME>: dial tcp <MY PRIVATE IP>:3307: getsockopt: connection timed out

问题：

• 我将 5432 指定为我的端口，但正如您在上面的日志中看到的那样，它达到了 3307。这正常吗？如果不正常，我该如何指定 5432？

• 如何检查我的凭据是否有问题？我的凭据文件来自我123-compute@developer.gserviceaccount.com 的服务帐户，当我转到我的云 sql 控制台时显示的服务帐户是p123-<somenumber>@gcp-sa-cloud-sql.iam.gserviceaccount.com. 他们好像不一样？这有什么区别吗？

如果我让 Cloud SQL 实例在公共 IP 上可用，它就可以工作。

标签： kubernetesgoogle-cloud-platformgoogle-cloud-sql