我正在尝试拒绝防火墙规则上的所有出口,然后测试创建一个容器,最终我希望此操作会失败但是...我的问题是“如何恢复节点以注册”?有一些命令gcloud container cluster repair [NAME]吗?
简单地说,这是不可能的。Kubelet 需要永久连接到 kubernetes api 服务器,首先是 kubelet 发起这个连接。当节点自行注册时,您还没有完成连接要求,因为 kubelet 将观察 API 上的资源到 ie。通知并在为此节点安排新 pod 时采取行动。
请注意,您还需要从 API 服务器到 kubelet 的连接,例如 kubectl exec、代理或端口转发等功能。您的监控可能需要连接到 kubelet 公开的指标以及类似 prometheus-node-exporter 的东西。
底线是,您不能完全隔离节点。Pods 是一个不同的故事。要详细控制 pod 流量,您可能需要查看网络策略和服务网格解决方案,例如Istio
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句