Kubernetes Cloud SQL sidecar 连接超时。如何检查凭据是否有效？

Question

我正在尝试为 PostgreSQL 设置 Cloud SQL 代理 Docker 镜像，如前所述 here 。我可以让我的应用程序连接到代理 docker 镜像，但代理超时。我怀疑这是我的凭据或端口的问题，那么我该如何调试并确定它是否有效？这就是我的项目中的内容

kubectl create secret generic cloudsql-instance-credentials --from-file=credentials.json=my-account-credentials.json

我的部署规范片段:

spec:
      containers:
        - name: mara ...
        - name: cloudsql-proxy
          image: gcr.io/cloudsql-docker/gce-proxy:1.11
          command: ["/cloud_sql_proxy",
                    "-instances=<MY INSTANCE NAME>=tcp:5432",
                    "-credential_file=/secrets/cloudsql/credentials.json"]
          volumeMounts:
            - name: cloudsql-instance-credentials
              mountPath: /secrets/cloudsql
              readOnly: true
      volumes:
        - name: cloudsql-instance-credentials
          secret:
            secretName: cloudsql-instance-credentials

我的cloudsql-proxy的日志显示超时:

2019/05/13 15:08:25 using credential file for authentication; <a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="6c09010d0500515a585a5c555e595b5e5f555f410f03011c1918092c08091a0900031c091e420b1f091e1a050f090d0f0f03190218420f0301" rel="noreferrer noopener nofollow">[email protected]</a>
2019/05/13 15:08:25 Listening on 127.0.0.1:5432 for <MY INSTANCE NAME>
2019/05/13 15:08:25 Ready for new connections
2019/05/13 15:10:48 New connection for "<MY INSTANCE NAME>"
2019/05/13 15:10:58 couldn't connect to <MY INSTANCE NAME>: dial tcp <MY PRIVATE IP>:3307: getsockopt: connection timed out

问题:

• 我指定 5432 作为我的端口，但正如您在上面的日志中看到的，它达到了 3307。这正常吗？如果不正常，我该如何指定 5432？

• 如何检查我的凭据是否存在问题？我的凭据文件来 self 的服务帐户 <a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="8bbab9b8a6e8e4e6fbfeffeecbefeefdeee7e4fbeef9a5ecf8eef9fde2e8eeeae8e8e4fee5ffa5e8e4e6" rel="noreferrer noopener nofollow">[email protected]</a>当我进入我的云sql控制台时显示的服务帐户是 p123-<somenumber>@gcp-sa-cloud-sql.iam.gserviceaccount.com 。他们看起来不太一样？这有什么区别吗？

如果我在公共(public) IP 上提供 Cloud SQL 实例，它就可以工作。

Answer 1

I specify 5432 as my port, but as you can see in the logs above,it's hitting 3307

代理在您指定的端口(在本例中为 5432)上本地监听，并通过端口 3307 连接到您的 Cloud SQL 实例。这是预期的且正常的。

How do I check if it is a problem with my credentials?

如果 Cloud SQL 实例不存在，或者服务帐号没有访问权限，代理将返回授权错误。连接超时错误意味着无法到达 Cloud SQL 实例。

My credentials file is from my service account [email protected] and the service account shown when I go to my cloud sql console is [email protected]. They don't seem the same?

一个只是文件的名称，另一个是服务帐户本身的名称。文件的名称不必与服务帐户的名称匹配。您可以在服务账户 page 上查看服务账户的名称和 IAM 角色。 。

2019/05/13 15:10:58 couldn't connect to : dial tcp :3307: getsockopt: connection timed out

此错误意味着代理无法建立到实例的网络连接(通常是因为从当前位置开始的路径不存在)。造成这种情况的常见原因有两个:

首先，确保没有防火墙或其他东西阻止端口 3307 上的出站连接。

其次，由于您使用的是私有(private) IP，因此您需要确保运行代理的资源符合 networking requirements .