为什么从GKE私有集群进行出站歧义访问?

时间:2018-10-16 10:33:32

标签: kubernetes google-cloud-platform google-kubernetes-engine

我最近创建了一个私有GKE kubernetes集群来运行Web服务,发现它已经被完全锁定并且不应该具有任何出站Internet访问权限,但是可以访问GCP服务。我很乐意将容器映像推送到私有GCP存储库。

但是我发现奇怪的是,在安装了一些公共领域掌舵图之后,有些图像是从docker hub和其他公共注册表中提取的,而有些不是。

我使用的是可抢占式节点,因此我以前部署的某些图表已替换了基础节点,并且替换显示图像拉出错误。

这是由于GKE服务的多租户性质吗?也许某些主机可能已经缓存了图像,所以实际上不提取图像吗?

一个例子

mongo:3.6

在一个吊舱上悬挂了24小时以上,然后最终被三个吊舱拉住,但这是Docker枢纽参考

1 个答案:

答案 0 :(得分:4)

因此,看起来Google反映了许多受欢迎的公共存储库。这就解释了为什么即使没有Internet访问也可以提取许多更常见的公共图像,而您基本上只是从Google的回购(通过私有访问API来访问)中提取。

我猜某些图像没有被镜像,而那些是挂起的。