Телеграмм чат группы gcp

21:10пожаловаться #1

В общем, с самих нод доступ есть внутри сети по Internal IP. Но почему-то внутри подов доступ пропал.

Master version: 1.10.11-gke.1
Пул, на котором все ок: 1.8.12-gke.0
Пул, на котором не ок: 1.10.9-gke.7

21:12пожаловаться #2

Видимо, я что-то упустил, ноды обновились и у меня перестало работать)

21:13пожаловаться #3

Stas in gcp_ru

а чтобы не обновить кластера?

21:24пожаловаться #4

Why a pod can't connect to another network? (In the new version of Kubernetes)

Нашел проблему:
1. https://serverfault.com/questions/922158/why-a-pod-cant-connect-to-another-network-in-the-new-version-of-kubernetes

2. https://cloud.google.com/kubernetes-engine/docs/troubleshooting#autofirewall

Server Fault

I have two projects in GCP:
With Kubernetes Nodes v1.8.8-gke.0. and a database outside of Kubernetes but in the default network. All pods can connect to this server and all ports
With Kubernetes N...

23:03пожаловаться #5

А кто-нибудь в чате есть, кто из подов ходит по Internal ip в vms в одной сети?

23:16пожаловаться #6

Timur Kalandarov

А кто-нибудь в чате есть, кто из подов ходит по Internal ip в vms в одной сети?

Есть, 1.11(.5/6🤔) в проде, база в VM, алертов не вижу

23:54пожаловаться #7

Нетворкинг настройки старые, не vpc native

23:54пожаловаться #8

Я наткнулся на

If your cluster is running Kubernetes version 1.9.x, the automatic firewall rules have changed to disallow workloads in a GKE cluster to initiate communication with other Compute Engine VMs that are outside the cluster but on the same network.

23:55пожаловаться #9

Сейчас вот сделал firewall rules, должно было помочь, но не помогло)

23:56пожаловаться #10

Все равно не могу из пода достучаться в базу.

23:56пожаловаться #11

Timur Kalandarov

Я наткнулся на

If your cluster is running Kubernetes version 1.9.x, the automatic firewall rules have changed to disallow workloads in a GKE cluster to initiate communication with other Compute Engine VMs that are outside the cluster but on the same network.

может обновиться уже? там вроде были критичные CVE

23:57пожаловаться #12

2019 March 09

1. Я обновил мастер до 1.12.5-gke.5 и один пул до cos-1.12.5-gke.5, второй остался на cos-1.8.12-gke.0.

2. Сделал фаервол-правило по Pod address range для vms, на которых БД крутится.

3. Поды в первом пуле с cos-1.12.5-gke.5 все равно не могут подключиться к БД. Во втором с cos-1.8.12-gke.0 могут.

00:02пожаловаться #13

А между собой могут? 1.12 и 1.8

00:04пожаловаться #14

Чет какая-то дичь. Часть виртуалок пингуется из пода, а часть нет. Сеть одна, firewall rule с доступом на все IP в сети.

10:21пожаловаться #15