Мы обновили существующий кластер разработки с 1.13.6-gke.13 до 1.14.6-gke.13, и наши модули больше не могут подключаться к нашей внутренней сети через нашу Google Cloud VPN. Наш производственный кластер (все еще на 1.13) использует ту же сеть VPC и VPN-туннели и все еще работает нормально. Единственное, что изменилось, - это обновление узла администрирования и пула узлов до 1.14 в кластере разработки.
Я открыл оболочку в модуле в кластере разработки и попытался пропинговать IP-адрес внутреннего сервера, к которому нам нужен доступ. Ответа не получено. То же самое на модуле в нашем производственном кластере работает, как и ожидалось.
Я подключился к узлу в кластере и смог пропинговать внутреннюю сеть. поэтому проблемы с сетью возникают только у модулей.
Доступ к общедоступным службам в кластере по-прежнему работает, как и ожидалось. Проверка работоспособности в порядке.
ОБНОВЛЕНИЕ:
Я создал новый пул узлов, используя последнюю версию 1.13, опустошил модули из пула 1.14, и все в порядке с модулями, работающими в пуле 1.13очередной раз. Что-то определенно с 1.14. Еще неизвестно, является ли это причиной проблемы из-за какого-то нового параметра конфигурации или просто из-за ошибки.
РЕШЕНИЕ:
Здесь обсуждается маскировка IP https://cloud.google.com/kubernetes-engine/docs/how-to/ip-masquerade-agent. Я решил добавить подсети pod для каждого из моих кластеров в список объявленных сетей в моих облачных маршрутизаторах VPN наGCP. Так что теперь сети pod могут проходить через VPN.