Kubernetes: разрешить под-выходной сетевой трафик

Question

Фон

Только что развернул мой новый кластер Kubernetes в Google Cloud.Это частный кластер - доступен только из внутренней сети.Я подключил этот кластер с bastion машины.С моим bastion хостом я могу управлять своим кластером.

Моя конфигурация кластера:

Проблема

Кажется, у моих модулей есть сеть для выходастручканапример:

$ curl google.com 

Ошибка возврата - невозможно установить соединение.Поэтому я зарегистрировал модуль с помощью SSH и попытался выяснить, в чем проблема.

Два варианта, о которых я могу подумать:

1. Брандмауэр блокирует весь исходящий трафик по умолчанию?Я попытался разрешить это с помощью нового правила брандмауэра, которое разрешает выход. Проблема не решена.(где 10.56.0.0/14 - мой диапазон стручков)

2. В моей сети нет "шлюза по умолчанию", который разрешает доступ в Интернет.Я проверил в области "маршрутизаторы", и, похоже, там:

Вопрос

Как решить проблему и пусть мойpods доступ в интернет бесплатно?

Answer 1

Найдена недостающая часть.

В модели частного кластера Kubernetes Engine ваши узлы имеют доступ к остальным частным развертываниям вашего VPC, включая частный доступ к управляемым службам Google, таким как gcr.io, Google Cloud Storage и Google BigQuery.Доступ к Интернету невозможен, если вы не настроите дополнительные механизмы, такие как шлюз NAT.

source .

Добавление NAT решило проблему!