Мы обновили существующий кластер разработки с 1.13.6-gke.13 до 1.14.6-gke.13, и наши модули больше не могут подключаться к нашей внутренней сети через наш Google Cloud VPN. Наш производственный кластер (все еще на 1.13) использует ту же сеть VPC и туннели VPN и все еще работает нормально. Единственное, что изменилось, - это обновление узла администрирования и пула узлов до версии 1.14 в кластере разработки.
Я открыл оболочку в модуле в кластере разработки и попытался проверить связь с IP-адресом внутреннего сервера, к которому нам нужен доступ. Ответа не получено. То же самое с модулем в нашем производственном кластере работает должным образом.
Я подключился к узлу кластера по ssh и смог пропинговать внутреннюю сеть. так что проблемы с сетью возникают только у модулей.
Доступ к публичным сервисам в кластере по-прежнему работает должным образом. Проверки работоспособности в порядке.
ОБНОВИТЬ:
Я создал новый пул узлов, используя последнюю версию 1.13, осушил модули из пула 1.14, и все в порядке, и все модули снова работают в пуле 1.13. Что-то определенно не так с 1.14. Еще неизвестно, является ли это причиной проблемы из-за какой-то новой опции конфигурации или просто ошибкой.
РАЗРЕШАЮЩАЯ СПОСОБНОСТЬ:
Здесь обсуждается маскировка IP, https://cloud.google.com/kubernetes-engine/docs/how-to/ip-masquerade-agent. Мое решение состояло в том, чтобы добавить подсети модулей для каждого из моих кластеров в список рекламируемых сетей в моих облачных маршрутизаторах VPN на GCP. Итак, теперь сети контейнеров могут проходить через VPN.
