时间戳

首页 > 解决方案 > GKE 节点的互联网连接

google-cloud-platform - GKE 节点的互联网连接

问题描述

我使用以下命令创建了一个 GKE 集群:

gcloud container clusters create experiment --num-nodes=1 --network default --subnetwork default --enable-private-nodes --enable-private-endpoint --enable-ip-alias --master-ipv4-cidr 172.16.0.16/28 --no-enable-basic-auth --no-issue-client-certificate

我的 VPC 防火墙中没有出口规则 我在 VPC 路由下有一个自动创建的默认路由,适用于 GKE 节点并允许访问 Internet。

在 GKE 节点上,我可以:

    $ docker pull nginx
Using default tag: latest
latest: Pulling from library/nginx
bb79b6b2107f: Pull complete 
111447d5894d: Pull complete 
a95689b8e6cb: Pull complete 
1a0022e444c2: Pull complete 
32b7488a3833: Pull complete 
Digest: sha256:ed7f815851b5299f616220a63edac69a4cc200e7f536a56e421988da82e44ed8
Status: Downloaded newer image for nginx:latest
docker.io/library/nginx:latest



docker pull ubuntu
Using default tag: latest
latest: Pulling from library/ubuntu
6a5697faee43: Pull complete 
ba13d3bc422b: Pull complete 
a254829d9e55: Pull complete 
Digest: sha256:fff16eea1a8ae92867721d90c59a75652ea66d29c05294e6e2f898704bdb8cf1
Status: Downloaded newer image for ubuntu:latest
docker.io/library/ubuntu:latest

但我不能:

$ wget https://www.amazon.com
--2020-10-31 19:22:44--  https://www.amazon.com/
Resolving www.amazon.com... 13.226.21.44
Connecting to www.amazon.com|13.226.21.44|:443...

但是我可以:

  $ wget https://www.google.com
--2020-10-31 19:23:15--  https://www.google.com/
Resolving www.google.com... 172.217.212.147, 172.217.212.99, 172.217.212.106, ...
Connecting to www.google.com|172.217.212.147|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: 'index.html.1'
index.html.1                                   [ <=>                                                                                    ]  12.48K  --.-KB/s    in 0s      
2020-10-31 19:23:15 (72.1 MB/s) - 'index.html.1' saved [12782]





   route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.128.0.1      0.0.0.0         UG    1024   0        0 eth0
10.108.2.0      0.0.0.0         255.255.255.0   U     0      0        0 cbr0
10.128.0.1      0.0.0.0         255.255.255.255 UH    1024   0        0 eth0
169.254.123.0   0.0.0.0         255.255.255.0   U     0      0        0 docker0

GKE 节点上的互联网连接发生了什么。我可以访问 docker hub 但不能访问www.amazon.com?这里有点困惑。

标签: google-cloud-platformgoogle-kubernetes-enginegke-networking

解决方案

GKE 节点上的互联网连接发生了什么。我可以访问 docker hub 但不能访问www.amazon.com?这里有点困惑。

我知道乍一看可能有点令人困惑,因为您可能认为您确实可以访问Docker Hub。好吧,事实上你没有

你试过curl https://hub.docker.com/吗?我猜你没有。如果你这样做了,你会注意到它也失败了。

你可以在这里阅读:

私有集群中的节点没有对公共 Internet 的出站访问权限。他们对 Google API 和服务(包括 Container Registry)的访问权限有限。

那么,这里到底发生了什么?

您不是直接从Docker Hub中提取图像,而是从由Google Container Registry维护的镜像中提取图像。您可以通过一种非常简单的方式对其进行检查。如果你拉nginx(等于nginx:latest)它可以完美地工作,但是如果你尝试拉,假设nginx:1.14.2它会失败。这是因为GCR不会在Docker Hub上保留所有可用图像的旧版本。官方文档中也提到了:

您不能直接从 Docker Hub 获取图像。相反,请使用 Container Registry 上托管的映像。请注意,虽然 Container Registry 的 Docker Hub 镜像 可以从私有集群访问,但不应完全依赖它。镜像只是一个缓存,因此会定期删除镜像,私有集群无法回退到 Docker Hub。

我前段时间在答案中对其进行了深入解释,因此您可能还想看一下。官方文档中也有很好的解释。

但是我可以:

$ wget https://www.google.com

来吧,你在 GCP 平台上,所以你是google.com谷歌的网络中访问的,这可能不是在这个特定的云平台上测试与公共互联网连接的最佳选择。

推荐阅读