我有一个项目,其中包含自定义模式 VPC 网络、欧盟地区的 CloudVPN(具有静态路由的 IKEv2)和 AU 地区的 GKE 集群。这里是 CloudVPN 配置:
我的 VPN 端点 OnPrem 是 Cisco ASA 9.1,隧道为 CloudVPN 运行,而对于 ASA,以下 SA 已启动(我不明白为什么只有 10.128.0.0/255.128.0.0):
local ident (addr/mask/prot/port): (10.128.0.0/255.128.0.0/0/0)
remote ident (addr/mask/prot/port): (10.144.0.16/255.255.255.240/0/0)
我已经为 kube-dns 配置了 OnPrem DNS(可在 VPN 中访问),但如果我尝试解析 OnPrem 服务,我将无法解决。
我看到从 GKE 节点退出的 UDP 数据包,我有到 VPN GW 的路由和必要的 FW 规则,我还看到了有关 ACL 应用数据包的 ASA 日志。但我没有看到 CloudVPN/ASA 试图拉动相关 SA 和数据包以从 ASA 退出。
如果我从 OnPrem DNS 服务器 ping GKE 实例,则相关 VPN SA 会启动,之后,我的容器能够解析 OnPrem 服务!
我无法理解这种行为,有人知道如何解决这个问题吗?