我可以将请求从另一个VPC路由到GKE专用主服务器吗?我似乎找不到任何方法来设置GCP路由器来实现这一目标:
这里有解决方案吗?
PS:除了创建独立代理或使用第三方路由器外……
答案 0 :(得分:2)
我有多个gcp项目,kube群集位于单独的项目中。
由于仅通过添加项目级别的网络规则就无法路由其他项目的VPC,这将极大地改变您的问题的上下文。
对于跨项目VPC对等,您需要设置VPC Network Peering。
我希望我的CI(位于不同的项目中)能够访问私有kube master。
为此,每个GKE专用群集都有Master Authorized Networks,它们基本上是IP地址/ CIDR,允许与主端点进行身份验证以进行管理。
如果您的CI具有统一的地址,或者管理员具有固定的IP,则可以将其添加到这些网络中,以便他们可以向主服务器进行身份验证。
如果这些客户端没有统一的地址,则根据您的特定情况,您可能需要某种SNAT来“ 统一”您的请求源以匹配授权地址。 / p>
此外,您可以建立一个没有公共地址的私有集群。这将允许访问主端点到群集VPC中分配的节点。但是:
Google仍然有一个用于群集管理目的的外部IP地址,但是任何人都无法访问该IP地址。
答案 1 :(得分:0)
Google终于添加了自定义路由导出到具有主子网的VPC对等连接。这样问题就解决了,您可以从其他VPC或通过VPN访问私有主机。