kubernetes - GKE 上的 Clean Ambassador Edge Stack 安装因 DNS 解析失败

Question

我们正在测试 Ambassador Edge Stack，并开始使用处于自动驾驶模式的全新 GKE 私有(private)集群。

我们按照快速入门教程从头开始安装以了解它并以以下错误结束

Error from server: error when creating "mapping-test.yaml": conversion webhook for getambassador.io/v3alpha1, Kind=Mapping failed: Post "https://emissary-apiext.emissary-system.svc:443/webhooks/crd-convert?timeout=30s": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

我们进行了几轮 DNS 测试，并在不同的命名空间中部署了几个不同的测试 pod，以验证 kube-dns 是否正常工作，最终一切看起来都很好。 resolv.conf 看起来也不错。

Ambassador 正在使用主机名 emissary-apiext.emissary-system.svc:443(没有 cluster.local)，应该可以很好地解析。顺便说一句，使用 FQN(使用 cluster.local)进行查找效果很好。

有什么线索吗？

非常感谢，保重。

Answer 1

我想我找到了解决方案，如果以后有人遇到这个问题，请在此处发布。

所以我关注了this在 Autopilot 私有(private)集群中部署 Ambassador Edge Stack。我在尝试部署映射对象(步骤 2.2)时遇到了同样的错误。

问题是控制平面(API 服务器)正在尝试调用 emissary-apiext.emissary-system.svc:443 但它背后的 pod 正在监听端口 8443(通过描述服务来解决)。

所以我添加了一条防火墙规则以允许 GKE 控制平面与端口 443 上的节点通信。

有问题的防火墙规则称为 gke-gke-ap-xxxxx-master。 xxxx 称为集群哈希，每个集群都不同。为确保您正在编辑正确的规则，请仔细检查源 IP 范围是否与集群详细信息页面中的“控制平面地址范围”相匹配。这就是名称以 master 结尾的规则。

只需编辑该规则并将 8443 添加到 tcp 端口。它应该工作