kubernetes ssh Verbindung verweigert auf gcloud

Question

Ich versuche, eine Verbindung zu einem Pod in einem GKE-Cluster läuft - Ich kann ssh in die Knoten innerhalb des Clusters, aber wenn ich den folgenden Befehl versuchen, in eine Bash innerhalb eines Pod zu bekommen, ich erhalte eine Fehlermeldung:

kubectl --namespace=prod exec -it test-webserver-3998817321-728hj -- /bin/bash 

-> Fehler vom Server: error Wahl Backend: ssh: abgelehnt: connect failed (Connection timed out)

Wie zu einem laufenden pod innerhalb eines gke Cluster verbinden, indem Sie kubectl Befehl? Ist etwas falsch mit meiner Firewall konfiguriert? Ich habe die folgende SSH-Regel:

NAME  NETWORK DIRECTION PRIORITY ALLOW DENY 
sshaccess default INGRESS 1000  tcp:22,icmp 

Wenn ich den obigen Befehl auf einem lokalen Cluster versuche, kann ich einfach verbinden.

Manchmal funktioniert es, und manchmal nicht. Soweit ich weiß, könnte der Loadbalancer (Ingress) für dieses Verhalten verantwortlich sein?

Answer 1

Ich habe genau die gleiche Fehlermeldung und auch für mich, es funktioniert manchmal und manchmal nicht.

In meinem Fall wurde dies durch Fehlkonfiguration der Firewall verursacht. Ich beschränkte den größten Teil des ausgehenden Datenverkehrs mit Egress außer Port 443. Ich füge eine Regel hinzu, die ausgehenden Datenverkehr vom Knoten k8s zu internen IPs (IPs im selben Subnetz) für jeden Port erlaubt. Wenn Ihr Fall auch dadurch verursacht wird, dass der Austritt aus k8s an interne Knoten untersagt wird, erstellen Sie neue Firewall-Regeln, um die Transaktion zuzulassen.

gcloud compute firewall-rules create <firewall-name> --network <network-name> --action allow --rules tcp --direction egress --destination-ranges <internal-ip range> --target-tags <server-ip from which transaction goes out.>