问题标签 [gke-networking]

我目前正在使用 Google 游戏服务器 ( https://cloud.google.com/game-servers ) 托管游戏服务。这基本上是在 GKE 中运行 Agones。除了 iPv6 之外，这在大多数情况下都非常有效。

我正在努力寻找有关如何使这种设置与 iPv6 兼容的任何建议。似乎这应该是答案https://cloud.google.com/load-balancing/docs/ipv6但 Agones 设置为在端口范围内运行服务器，因为它启动并关闭服务器，似乎我需要具有特定端口和与特定机器的非持久连接以使用谷歌负载均衡器解决方案。

作为参考，这是一个依赖于 socket.io 通信的 NodeJS 后端。

任何建议，将不胜感激。

我有一个具有 2 个以上节点的 GKE 集群（1.16）和一个 GKE Ingress HTTPS 负载均衡器。
我在上面部署了几个命名空间。
我想拒绝命名空间之间的所有流量，所以我使用的是在此处找到的配方。
但是，根据此文档（我的 externalTrafficPolicy 使用的是默认值Cluster）：

如果 externalTrafficPolicy 未设置为 Local，则网络策略还必须允许来自集群中其他节点 IP 的连接。

如何在我的 NetworkPolicy 定义中允许来自集群中其他节点 IP 的连接？
我目前的定义是：

我有一个 GKE 集群，它在端口 80 上运行 java spring boot docker 映像。我已将其公开为具有多个端口映射的负载均衡器，例如 80 -> 80 和 443 -> 80。

我可以看到正在服务的 http 和 https URL，但我只能在 http 端口上访问我的服务，但无法在 https 上访问。我收到“此站点无法提供安全连接”。

我知道我需要在此负载均衡器上放置一个证书以在 https 上公开，并且我有一个谷歌管理的证书。

我的问题是我不知道如何在负载均衡器上安装此证书，以便我也可以在 https 上访问我的应用程序。

在 GKE 中找到了 2 种安装 istio 的方法，不确定哪种是推荐的方法，有什么区别。 1. Installing via lots of commands shown in the Istio document 2. I have an existing GKE cluster, their is an option to edit the cluster and add-on as Istio enabled

虽然尝试了 2 种方式，但我在 GKE 集群工作负载 UI 控制台中看不到任何与 istio 相关的服务，如 citadel、galley、遥测，但如果我运行kubectl get pods -n istio-system 它们，我可以看到它在终端中运行它们在安装中是否有任何差异，这是推荐的安装方式？

我正在寻找一种向外界公开多个 GKE TCP 服务的通用方法。我想要在集群边缘终止的 SSL。如果可能的话，我也更喜欢基于客户端证书的身份验证。

我当前的用例是从私有数据中心（并且只能从那里）访问部署在 GKE 中的 PostgreSQL 服务。但基本上我对适用于任何基于 TCP 的服务的解决方案感兴趣，而无需内置 SSL 和身份验证。

一种选择是将 nginx 部署为 TCP 服务的反向代理，使用 LoadBalancer 类型的服务（L4，网络负载平衡器）公开 nginx，并使用 SSL 和客户端证书验证配置 nginx。

有没有更好、更 GKE 原生的方式来实现它？

我希望我的持久卷驻留在特定区域中，例如 us-central1-a，但我想通过 PVC 部署它，而不是直接创建 PV 对象。这在 GKE 中可能吗？

我使用以下命令创建了一个 GKE 集群：

我的 VPC 防火墙中没有出口规则 我在 VPC 路由下有一个自动创建的默认路由，适用于 GKE 节点并允许访问 Internet。

在 GKE 节点上，我可以：

但我不能：

但是我可以：

GKE 节点上的互联网连接发生了什么。我可以访问 docker hub 但不能访问www.amazon.com？这里有点困惑。

所以我们在 europe-west3 上有一个 VPC 宿主项目，在 europe-west1 上有一个服务项目。我正在尝试创建具有多个 nodePort 服务的 L7 Ingress。

我创建的集群使用来自宿主项目的共享 VPC 网络。所以我在共享 VPC 中有 3 个子网

1. 我的应用程序节点子网
2. myapp-pods-子网
3. myapp-internal-lb-subnets

当我尝试创建入口时。前端 lb 使用 myapp-node-subnets 中的 IP 之一，但我想要的是它应该使用 myapp-internal-lb-subnets。

--------部署--------

- - - -服务 - - - -

--------入口--------

基本上我想要这样的东西，但有多个后端服务和 HTTPS。

Kubernetes Ingress Controller 无法访问该站点

嗨，这是我第一次尝试使用 kubernetes 部署应用程序。我面临的问题是我希望能够将子域与我的 svc 链接，但是当我尝试导航到我得到的链接时

无法访问此站点

我将解释我为这些所做的步骤，可能是我出了点问题或遗漏了

1. 我安装ingress-controller在谷歌云平台

2. 在 GCP -> 网络服务 -> 云 DNS

   一个。我用谷歌 dns 指向 testcompany.com

   湾。我从上一步“ingress-nginx-controller”创建了一条指向公共 IP 的 A 记录

3. 我的服务清单

4. 我的入口清单

一切都是绿色的，它似乎正在工作，但是当我尝试访问该网址时，我得到了This site can’t be reached

更新 1

是否可以通过脚本从命令行/修改（添加/删除）现有主机？我想在第一次部署新应用程序时动态添加它们。我目前最终得到了这个脚本：

简而言之，它会下载现有的入口配置，检查应用程序是否已定义，如果未定义，则将其注入文件末尾，就在status:条目和重新应用配置之前。这与其说是一个很好的解决方案，不如说是一个 hack。

我想知道我是否可以配置入口以根据同一项目中服务上的一些注释动态加载主机和路径，或者我是否至少可以调用一些命令来添加或删除主机。