Как указать IP-адрес узла для работающего кластера gke

У меня есть работающий (производственный) кластер GKE, который остается на VPC по умолчанию (10.158.0.0/20 для нас). Внутри кластера, чтобы избежать конфликта IP-адресов в некоторых VPN, мы решили использовать 192.168.0.0/20 и 192.168.16.0/20 для внутреннего модуля и служб.

Это работает нормально, но теперь мне нужно создать конкретный POD (с IP-адресом 192) для доступа к системе в VPN (с конечным IP-адресом 172.16). Я знаю, что могу найти IP-адрес, связанный с созданным узлом, и добавить его в VPN, однако, когда это автоматическое масштабирование до более чем одного узла, будет новый другой IP-адрес, и поэтому мне придется снова обновить VPN. и опять же, я хочу этого избежать.

Есть ли способ сделать это без воссоздания всего кластера в новой другой подсети? Например, какой-то шлюз или что-то, на что я могу направить модуль, а затем направить шлюз в желаемый VPN-туннель? ИЛИ, возможно, направить сеть 192 в туннель VPN? Это тоже сработает.

Спасибо


google-cloud-platform google-kubernetes-engine google-vpc google-cloud-vpn
person Mateus Interciso    schedule 15.10.2020    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Основываясь на информации, я предполагаю, что ваш кластер является частным, потому что вы используете VPN, если это так, вы должны объявить CIDR для модулей и служб (192.168.0.0/20 и 192.168.16.0/20) через свой туннель, а также управлять авторизованными сетями.

person Rocky    schedule 15.10.2020
comment
Это наверняка сработает, но наш клиент не допустит, чтобы такой большой диапазон был в VPN. Я подумываю создать машину для NAT запросов и добавить эту машину в VPN, однако для создания маршрута мне нужно добавить сетевой тег в кластер GKE, и я до сих пор не нашел способа сделать это, не воссоздавая кластер. - person Mateus Interciso; 18.10.2020
comment
Если вы думаете о NAT, возможно, используя маскарад IP агент может работать на вас и, таким образом, избежать повторного создания кластера. Кластер GKE использует маскировку IP, поэтому места назначения за пределами кластера получают пакеты только с IP-адресов узлов, а не IP-адресов Pod. Принимайте пакеты только с IP-адресов узлов, поэтому вам нужно будет только объявить диапазон IP-узлов (диапазон IP-узлов - это сеть или подсеть, которую использует ваш кластер). - person Rocky; 19.10.2020
comment
Хорошо, я посмотрю, смогу ли я попробовать это! - person Mateus Interciso; 19.10.2020

arrow_upward
0
arrow_downward

Итак, создание машины как NAT на основе этот пост в блоге работал, с маршрутизацией и всем остальным. Я тоже пробовал использовать IP Masquerading, и это тоже сработало, но поскольку идея состоит в том, чтобы получить больше узлов по мере необходимости, клиент не хотел этого, поэтому нам пришлось придерживаться NAT.

Спасибо за помощь!

person Mateus Interciso    schedule 26.10.2020