kubernetes Connexion ssh refusée sur gcloud

Question

J'essaye de me connecter à un pod fonctionnant à l'intérieur d'un cluster GKE - Je peux ssh dans les nœuds du cluster, mais quand j'essaie la commande suivante pour entrer dans un bash dans un pod, Je reçois une erreur:

kubectl --namespace=prod exec -it test-webserver-3998817321-728hj -- /bin/bash 

-> erreur du serveur: back-end de numérotation d'erreur: ssh: rejeté: échec de la connexion (Connection timed out)

Comment se connecter à un pod en cours d'exécution au sein d'un cluster gke en utilisant commande kubectl? Y a-t-il quelque chose de mal configuré avec mon pare-feu? J'ai la règle ssh suivante:

NAME  NETWORK DIRECTION PRIORITY ALLOW DENY 
sshaccess default INGRESS 1000  tcp:22,icmp 

Lorsque j'essaie la commande ci-dessus sur un cluster local, je peux facilement me connecter.

Parfois, cela fonctionne, et parfois non. Autant que je comprends, le Loadbalancer (Ingress) pourrait être responsable de ce comportement?

Answer 1

J'ai reçu exactement le même message d'erreur et pour moi aussi, ça marche parfois et parfois non.

Dans mon cas, cela a été causé par une mauvaise configuration du pare-feu. J'ai restreint la plupart du trafic sortant avec sortie, sauf le port 443. J'ajoute une règle qui autorise le trafic sortant du noeud k8s vers les adresses IP internes (adresses IP dans le même sous-réseau) pour chaque port. Si votre cas est également causé par l'interdiction de sortie de k8s vers des nœuds internes, créez de nouvelles règles de pare-feu pour autoriser la transaction.

gcloud compute firewall-rules create <firewall-name> --network <network-name> --action allow --rules tcp --direction egress --destination-ranges <internal-ip range> --target-tags <server-ip from which transaction goes out.>