google-cloud-platform - GKE 节点的互联网连接
问题描述
我使用以下命令创建了一个 GKE 集群:
gcloud container clusters create experiment --num-nodes=1 --network default --subnetwork default --enable-private-nodes --enable-private-endpoint --enable-ip-alias --master-ipv4-cidr 172.16.0.16/28 --no-enable-basic-auth --no-issue-client-certificate
我的 VPC 防火墙中没有出口规则 我在 VPC 路由下有一个自动创建的默认路由,适用于 GKE 节点并允许访问 Internet。
在 GKE 节点上,我可以:
$ docker pull nginx
Using default tag: latest
latest: Pulling from library/nginx
bb79b6b2107f: Pull complete
111447d5894d: Pull complete
a95689b8e6cb: Pull complete
1a0022e444c2: Pull complete
32b7488a3833: Pull complete
Digest: sha256:ed7f815851b5299f616220a63edac69a4cc200e7f536a56e421988da82e44ed8
Status: Downloaded newer image for nginx:latest
docker.io/library/nginx:latest
docker pull ubuntu
Using default tag: latest
latest: Pulling from library/ubuntu
6a5697faee43: Pull complete
ba13d3bc422b: Pull complete
a254829d9e55: Pull complete
Digest: sha256:fff16eea1a8ae92867721d90c59a75652ea66d29c05294e6e2f898704bdb8cf1
Status: Downloaded newer image for ubuntu:latest
docker.io/library/ubuntu:latest
但我不能:
$ wget https://www.amazon.com
--2020-10-31 19:22:44-- https://www.amazon.com/
Resolving www.amazon.com... 13.226.21.44
Connecting to www.amazon.com|13.226.21.44|:443...
但是我可以:
$ wget https://www.google.com
--2020-10-31 19:23:15-- https://www.google.com/
Resolving www.google.com... 172.217.212.147, 172.217.212.99, 172.217.212.106, ...
Connecting to www.google.com|172.217.212.147|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: 'index.html.1'
index.html.1 [ <=> ] 12.48K --.-KB/s in 0s
2020-10-31 19:23:15 (72.1 MB/s) - 'index.html.1' saved [12782]
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.128.0.1 0.0.0.0 UG 1024 0 0 eth0
10.108.2.0 0.0.0.0 255.255.255.0 U 0 0 0 cbr0
10.128.0.1 0.0.0.0 255.255.255.255 UH 1024 0 0 eth0
169.254.123.0 0.0.0.0 255.255.255.0 U 0 0 0 docker0
GKE 节点上的互联网连接发生了什么。我可以访问 docker hub 但不能访问www.amazon.com?这里有点困惑。
解决方案
GKE 节点上的互联网连接发生了什么。我可以访问 docker hub 但不能访问www.amazon.com?这里有点困惑。
我知道乍一看可能有点令人困惑,因为您可能认为您确实可以访问Docker Hub。好吧,事实上你没有。
你试过curl https://hub.docker.com/
吗?我猜你没有。如果你这样做了,你会注意到它也失败了。
你可以在这里阅读:
私有集群中的节点没有对公共 Internet 的出站访问权限。他们对 Google API 和服务(包括 Container Registry)的访问权限有限。
那么,这里到底发生了什么?
您不是直接从Docker Hub中提取图像,而是从由Google Container Registry维护的镜像中提取图像。您可以通过一种非常简单的方式对其进行检查。如果你拉nginx
(等于nginx:latest
)它可以完美地工作,但是如果你尝试拉,假设nginx:1.14.2
它会失败。这是因为GCR不会在Docker Hub上保留所有可用图像的旧版本。官方文档中也提到了:
您不能直接从 Docker Hub 获取图像。相反,请使用 Container Registry 上托管的映像。请注意,虽然 Container Registry 的 Docker Hub 镜像 可以从私有集群访问,但不应完全依赖它。镜像只是一个缓存,因此会定期删除镜像,私有集群无法回退到 Docker Hub。
我前段时间在此答案中对其进行了深入解释,因此您可能还想看一下。官方文档中也有很好的解释。
但是我可以:
$ wget https://www.google.com
来吧,你在 GCP 平台上,所以你是google.com
从谷歌的网络中访问的,这可能不是在这个特定的云平台上测试与公共互联网连接的最佳选择。
推荐阅读
- mongodb - 在 golang 和 mongodb 中从两个具有匹配阶段的集合中获取数据
- c# - 如何对构建事件进行 REST api 调用
- spring-integration - 具有 Loop 和多个 HTTP 和异步 SQS 的 Spring Integration 块流
- powerbi - DAX 根据日期过滤器检索组内具有最大值的行
- javascript - 如何在 sapui5 中设计消息 Toast
- c++ - c++:移动赋值运算符和继承
- asp.net-core-mvc - 将现有 ASP.NET Core 3 应用程序迁移到 Orchard Core
- polymer - 能够跟踪 Web 组件的使用情况
- reactjs - react-select:禁用下拉列表
- angular - Angular 6 - 在点击事件时将字符串值传递给变量