在Google容器引擎上使用deny-all时的正确出口规则

Question

我在弄清楚必须允许Google容器引擎的出口规则正常工作。

我目前使用以下规则：

gcloud beta compute firewall-rules create "outbound-deny" \ 
    --action DENY --rules all --direction "EGRESS" --priority "65531" \ 
    --network "secure-vpc" --destination-ranges "0.0.0.0/0" 
gcloud beta compute firewall-rules create "outbound-internal" \ 
    --allow all --direction "EGRESS" --priority "65530" \ 
    --network "secure-vpc" --destination-ranges "10.0.0.0/8" 

有了这些规则，创建此网络中的群集将出现故障。它确实创建了所有的机器，网络规则等。kubernetes集群仍然不会将节点报告为活动状态。

Answer 1

我认为你需要允许流量到K8s Master。检索它：

MASTER_IP=$(gcloud container clusters describe $CLUSTER --zone $ZONE --format="value(endpoint)")