开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

GKE集群升级到1.14.6后，VPN无法访问内部网络

GKE（Google Kubernetes Engine）是谷歌云计算平台提供的托管式Kubernetes服务，它允许用户轻松地部署、管理和扩展容器化应用程序。GKE集群升级到1.14.6版本后，VPN无法访问内部网络可能是由于以下原因之一：

网络策略：新版本的GKE可能会引入一些网络策略的变化，导致VPN无法访问内部网络。您可以检查和更新网络策略，以确保VPN可以正确地访问所需的网络资源。
安全组规则：升级后，安全组规则可能发生了变化，阻止了VPN访问内部网络。您可以审查安全组规则，并相应地更新以允许VPN访问所需的网络地址范围。
网络配置：升级后，网络配置可能需要进行调整，以允许VPN连接到内部网络。您可以检查网络配置，确保VPN连接的网络和子网设置正确。

解决这个问题的具体步骤可能会因实际情况而异，以下是一般的解决方法：

检查网络策略：确保网络策略允许VPN访问内部网络。您可以使用Google Cloud Console或gcloud命令行工具检查和更新网络策略。
更新安全组规则：如果安全组规则阻止了VPN访问内部网络，请相应地更新规则。您可以使用Google Cloud Console或gcloud命令行工具查看和修改安全组规则。
检查网络配置：确保网络配置正确设置，以允许VPN连接到内部网络。您可以检查VPC网络和子网的设置，确保它们与VPN连接的设置一致。

如果以上解决方法无法解决问题，您可以参考谷歌云计算平台的文档或向谷歌云支持团队寻求进一步的帮助。以下是相关的腾讯云产品和文档链接：

腾讯云容器服务（TKE）：https://cloud.tencent.com/product/tke
腾讯云虚拟专用网络（VPC）：https://cloud.tencent.com/product/vpc
腾讯云安全组（SG）：https://cloud.tencent.com/product/sg
腾讯云云联网（CCN）：https://cloud.tencent.com/product/ccn

请注意，以上链接仅为示例，您可以根据具体情况选择适合的腾讯云产品和文档。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Kubernetes安全加固的几点建议

对于使用托管Kubernetes服务（比如GKE、EKS或AKS）的用户而言，由相应的云提供商管理主节点安全，并为集群实施各种默认安全设置。...准则如下： GKE加固指南 EKS安全最佳实践指南 AKS集群安全至于自我管理的Kubernetes集群（比如kube-adm或kops），kube-bench可用于测试集群是否符合CIS Kubernetes...网络和资源策略默认情况下，Kubernetes允许从任何pod到同一集群中另一个pod的通信。虽然这对于发现服务而言很理想，但没有提供网络分离，不法分子或中招的系统可以无限制地访问所有资源。...如果团队使用命名空间作为Kubernetes内部多租户的主要手段，这就成为非常严重的问题。...RBAC和服务账户强大的网络和资源策略到位后，下一步是强制执行RBAC授权以限制访问。

9603 0

Kubernetes Network Policy 101

Network Policy，kubernetes的网络资源 Network policy（下文简称为np）的本质是通过Kubernetes（下文简称k8s）的网络插件，创建一系列的网络规则，实现细粒度控制出入口流量...因此选用哪种k8s网络方案很重要，如果这个方案没有实现np，那么k8s就不具备应用访问隔离的能力了，具体可以参见官方文档。...GKE Demo 谷歌家的GKE可以通过命令创建一个开启network policy的k8s集群，它选用的calico网络方案的实现，目前开源世界里支持 NetworkPolicy 最好的解决方案了。...为此，我创建了一个git repo，里面有基于GKE的详细例子： https://github.com/nevermosby/k8s-network-policy101 还包括以下内容：创建带特别标签...：默认无法访问集群外服务，需手动配置白名单；集群内跨namespace可通

6482 0

对比Kubernetes的Nodeport、Loadbalancer和Ingress，什么时候该用哪种

它为您提供集群内部其他应用程序可以访问的服务，外部无法访问。...有几种情况可以使用 Kubernetes Proxy 来访问您的服务：调试您的服务，或由于某种原因直接从你笔记本电脑连接到它们允许内部流量，显示内部仪表盘等由于此方法要求您用已授权用户运行 kubectl...在 GKE 上，这将启动一个网络负载平衡器，它将为您提供一个将所有流量转发到您的服务的IP地址。 ? 什么时候用？如果你想直接暴露一个服务，这是默认的方法(GKE上)。...相反，它位于多个服务之前，充当集群中的“智能路由器”或入口点。您可以使用 Ingress 做很多不同的事情，并且有许多类型的 Ingress 控制器，具有不同的功能。...GKE 默认的 Ingress 控制器将为您启动一个 HTTP（S）负载均衡器。这将使您可以执行基于路径和基于子域名的路由到后端服务。

5.7K3 1

一通百通，一文实现灵活的K8s基础架构！

在很多情况下，可以通过设置堡垒主机并通过隧道进行集群中的所有操作来保护这些私有集群，因为你需要向公共网络公开的就是堡垒（又称Jump host），通常是在与集群相同的网络中设置。...例如，GCP为其用户提供身份意识代理（IAP），可用于代替典型的VPN实现。所有都处理好之后，下一步是根据你的用例在集群本身内设置网络。...，包括通过VPN的hub和spoke、用于内部的DNS和Google Private Access、支持GKE的共享VPC等等，所有这些都使用Terraform。...Kubernetes 如果你使用的是GKE、EKS、AKS这样的托管集群，Kubernetes是自动管理的，从而降低了用户操作的复杂程度。...现在，虽然如果你管理自己的CI运行器，步骤通常保持不变，但你需要将它们配置为在集群内部或外部设置，并具有适当的权限，以便将资产推送到镜像仓库。 ?

7831 0

Ingress 的继任者 —— Gateway API？

在 Kubernetes 集群边缘对外提供网络服务的时候，通常需要借助 Ingress 对象，这个对象提供了暴露 Service 所必须的核心要素，例如基于主机名的路由、对 URL 路径的适配以及 TLS...举个栗子目前 GKE 提供了 Gateway API 的公共预览版可以用于测试，仅限于以下区域的 1.20 以上版本的集群： us-west1 us-east1 us-central1 europe-west4...europe-west3 europe-west2 europe-west1 asia-southeast1 不同区域的集群缺省开关可能不一致，注意需要在控制台的网络页面启用 HTTP 负载均衡功能，...这里初始化了两个 GatewayClass，gxlb 用于外部，rilb 用于内部，所以我们要在外网测试，就要用 gxlb 创建网关。...RequestHeaderModifier； Extended：建议实现这个层级的能力，例如 RequestMirror； Custom：实现者可以在这个层级实现各种扩展能力，如果多个厂商都实现了该功能，则可能升级到

2K6 0

每个人都必须遵循的九项Kubernetes安全最佳实践

升级到最新版本每个季度更新都会添加新的安全功能，而不仅仅是错误修复，为了充分利用它们，我们建议你运行最新的稳定版本。...GKE的元数据隐藏功能会更改集群部署机制以避免此暴露，我们建议使用它直到有永久解决方案。在其他环境中可能需要类似的对策。 6. 创建和定义集群网络策略网络策略允许你控制进出容器化应用程序的网络访问。...要使用它们，你需要确保拥有支持此资源的网络提供程序，对于一些托管的Kubernetes供应商，例如Google Kubernetes Engine（GKE），你需要选择启用。...（如果你的集群已经存在，在GKE中启用网络策略将需要进行简短的滚动升级。）一旦到位，请从一些基本默认网络策略开始，例如默认阻止来自其他命名空间的流量。...托管Kubernetes供应商（包括GKE），在其云控制台中提供此数据，并允许你设置授权失败警报。下一步遵循这些建议以获得更安全的Kubernetes集群。

1.4K1 0

Longhorn 1.3.0 发布了(Kubernetes 云原生分布式块存储)

文档：https://longhorn.io/docs/1.3.0/ 增强 ---- 支持多网络K8s集群（存储网络）通过 Multus Network Attachment Definition 资源支持...Longhorn 控制平面和数据平面之间的网络隔离。...支持托管 Kubernetes 集群（EKS、GKE、AKS）使 Longhorn 兼容公有云上主要托管 Kubernetes 集群的操作，如升级、节点池替换等。...v1beta1 和 v1beta2 的转换 Webhook 采用conversation webhook进行版本转换，保证升级到1.3.0后Longhorn API/CRD在v1beta1和v1beta2...在安装 Longhorn v1.3.0 之前，请确保您的 Kubernetes 集群至少为 v1.18。

7441 0

转载NodePort，LoadBalancer还是Ingress？我该如何选择 - kubernetes

它在集群内部生成一个服务，供集群内的其他应用访问。外部无法访问。...，显示内部仪表盘等。...在GKE中，它会启动一个Network Load Balancer，分配一个单独的IP地址，将所有流量转发到服务中。 ? 使用场景如果你想直接发布服务，这是默认方式。...相反，它在多个服务前面充当“智能路由”的角色，或者是集群的入口。使用Ingress可以做很多事情，不同类型的Ingress控制器有不同的功能。...默认的GKE ingress控制器会启动一个 HTTP(S) Load Balancer，可以通过基于路径或者是基于子域名的方式路由到后端服务。

3.7K4 0

K8S 生态周报| cilium 1.6 发布 100% kube-proxy 的替代品

2 Kubernetes 受 Go 的 net/http 安全漏洞影响 Kubernetes 近期紧急发布了 v1.15.3, v1.14.6, v1.13.10 版本，距离上个集体更新发布仅过了两周而已...作为标准库来说，其实影响面还是比较大的，K8S 最近也是相继从 1.12.6 陆续升级到了 1.12.9 , 当然也包括 Docker 团队等，也都做了相关的更新。最后，还是建议尽快升级。...它最初是 weaveworks 内部为了加速开发工作流而产生的，但发展至后期，比较独立了，项目规划也比较成熟了，所以现在就托管至 CNCF 了。...会不会放到自己的集群替代 kube-proxy ？不会，最起码目前不会。...如果你想要通过 cilium 研究 eBPF 或者 XDP 我倒是建议你可以看看，是个很不错的项目，而且通过这个项目能加深很多网络方面的认识。

8871 0

k8s网络开发丨k8s与OpenStack网络如何打通？

，k8s集群运行在OpenStack VM下, 如何做到更深层面的网络打通，典型的原因有： 1、 VM防arp欺骗，默认OpenStack虚拟机端口都开启了此功能；处于OpenStack VM里的k8s...集群私有ip就无法扩节点通信，通过配置neutron port的allow_address_pairs可以放行私有ip； 2、Overlay网络损耗，再加上在虚拟机里部署k8s集群，又跑了一层overlay...网络，网络开销又增大了；可选方案 k8s网络使用underlay网络对现有应用需大量改造，应用内部大量使用内部service机制来调用其它服务，不兼容旧模型，pod使用的是underlay网络，性能卓越...适用于OpenStack和k8s集群是独立的环境，相当于由OpenStack接管service和NetworkPolicy，OpenStack实现变复杂；最终选择k8s网络使用多种cni方案，基于保留...实现 k8s v1.14.6对应github.com/containernetworking/cni版本是v0.6.0；其它k8s版本找其对应的cni版本即可，应该变化不大；参考host-local

3.8K4 0

网络产品使用场景及各种坑规避

/document/product/215/38124 基础网络中的云服务器可以访问VPC中的云服务器、云数据库、内网负载均衡、云缓存等云资源，而VPC内的云服务器，只能访问互通的基础网络云服务器，无法访问基础网络中的其他计算资源...应用型或者传统型的CLB都是支持内网或者外网的，外网型的CLB可以直接给外部提供服务；内网型的可以用来搭建集群等，也可以用于提供VPC内部的服务。内网CLB暂时不收费。...和CLB的区别在于，NAT网关接可以对外网提供服务也可以支持内部云服务器访问外部资源；CLB只支持对外网提供服务。PS：不支持 NAT 网关后面指定内网数据库的地址后，内网数据库对外提供服务。...云下连接云上 5.1 VPN VPN包含：VPN网关、VPN通道和对外地址。...可以用来连接不同云厂商的VPC、或者将云上的资源和自己IDC的资源打通（和自己家的网络打通一般不支持，因为VPN需要两端有固定的公网IP地址，而家庭网络的IP地址一般都是动态变化的）。

6.2K4 1

kubernetes-26：升级kubeadm版本—从v1.13.3升级到v1.19.3

本文要升级到最新版：v1.19.3 目录： (1).kubernetes从v1.13.3升级到v1.14.0 (2).kubernetes从v1.14.0升级到v1.15.0 (3).kubernetes...从v1.15.0升级到v1.16.0 (4).kubernetes从v1.16.0升级到v1.17.0 (5).kubernetes从v1.17.0升级到v1.18.0 (6).kubernetes从v1.18.0...升级到v1.19.3 (7).参考文章 (1).kubernetes从v1.13.3升级到v1.14.0 kubeadm upgrade plan 检查可升级到哪些版本，并验证您当前的集群是否可升级。...从集群中移除要升级的节点： kubectl drain future --ignore-daemonsets (future是当前节点名称，通过kubectl get nodes获得) 执行后提示失败，...需要将worknode的unschedulable改为ture，这样让节点可以被集群调度。

3.2K2 1

MacOS Monterey12.1-12.3版本连接L2TP无法正常访问公司内网非完美解决方案（详细）

如果大家还未升级到12.1-12.3版本的，千万不要升级，等版本稳定了再升上来。。。当然，新版mac不支持降级。。...spm=1001.2014.3001.5502 上面这篇博客里面有提到“192.168.10.0 为VPN Server端需要访问的网络地址”这句话，我们公司自己的网络地址为 192.168.8.0 我直接加了这.../bin/sh # 192.168.8.0 为VPN Server端需要访问的网络地址，如果有多个需要逐条添加；$1 为VPN拨上之后的网卡设置； /sbin/route add 192.168.100.0...spm=1001.2014.3001.5502 更新Monterey后，l2tp VPN连接异常（官方论坛） https://discussionschinese.apple.com/thread/253310862...2.2 连接vpn，正常访问公司内网# 2.3 内网的ip能访问，但域名不可以问题# 我之前出现了在浏览器里面使用ip地址可以访问，是用域名却不可以访问的问题，这个时候我把dns里面只放公司内部的dns

3.5K2 0

Kubernetes网络揭秘：一个HTTP请求的旅程

在我们的GKE集群上，使用kubectl查询这些资源类型将返回以下内容： ?...我们的hello-world服务需要GCP网络负载平衡器。每个GKE集群都有一个云控制器，该云控制器在集群和自动创建集群资源（包括我们的负载均衡器）所需的GCP服务的API端点之间进行连接。...各种kubernetes网络项目也没有像iptables模式那样广泛地支持它。 GKE集群中的kube-proxy在iptables模式下运行，因此我们将研究该模式的工作方式。...尽管指定本地交付显然会减少请求的平均网络延迟，但可能导致服务Pod的负载不均衡。 Pod网络这篇文章不会详细介绍Pod网络，但是在我们的GKE集群中，pod网络有自己的CIDR块，与节点的网络分开。...诸如Istio之类的服务网格可能会绕过kube-proxy，并直接连接服务容器之间的内部路由。

2.7K3 1

Kubernetes集群网络揭秘，以GKE集群为例

在我们的GKE集群上，使用kubectl查询这些资源类型将返回以下内容：作为参考，我们的集群有以下IP网络： >Node - 10.138.15.0/24 >Cluster - 10.16.0.0/14...5 Pod 网络这篇文章不会详细介绍Pod网络，但是在我们的GKE集群中，Pod网络有自己的CIDR块，与节点的网络分开。...GKE集群使用Kubernetes CNI,它在每个节点上创建到Pod网络的网桥接口，为每个节点提供自己的Pod IP地址专用CIDR块，以简化分配和路由。...这是一个不全面的列表：容器网络接口（CNI）插件：每个云提供商默认使用与其VM网络模型兼容的CNI实现方式。本文以默认设置的GKE集群为例。...诸如Istio之类的服务网格可能会绕过kube-proxy,并直接连接服务Pods之间的内部路由。

4.1K4 1

Longhorn 企业级云原生容器存储解决方案-部署篇

对于 GKE，我们建议使用 Ubuntu 作为 guest OS image，因为它已经包含 open-iscsi。...访问 Longhorn UI 在您的 Kubernetes 集群中安装 Longhorn 后，您可以访问 UI dashboard。...自动升级 Longhorn Engine 从 Longhorn v1.1.1 开始，我们提供了一个选项，可以帮助您在升级 Longhorn manager 后自动将 Longhorn 卷升级到新的默认引擎版本...每个节点限制设置的并发自动引擎升级这是一个设置，用于控制在升级 Longhorn manager 后，Longhorn 如何自动将卷的引擎升级到新的默认引擎镜像。...例如，GKE 使用 /home/kubernetes/flexvolume 代替。

2.1K5 0

使用 WireGuard 构建跨云 VPN 网络

本文将介绍如何使用 WireGuard、udp2raw 和 Xray 构建一个基于开源软件的多集群、跨云的VPN网络。...GW1和VPN GW2能够在不同的网络条件下保持可靠的连接。...这种配置能够有效应对网络运营商的干扰和限速，确保数据的安全传输。流量转发在构建多集群跨云VPN网络时，VPN网关（GW）需要能够转发不同网段的请求。...网络架构概述假设我们有两个VPN网关，GW-Host1和GW-Host2，它们分别连接到不同的Kubernetes集群，使用WireGuard进行VPN连接。...规则4: 将出站流量的源IP地址替换为GW网关的外部IP地址，从而允许内部流量在出站时隐藏其真实IP地址，确保流量能够顺利通过外部网络。

5351 0

一行命令搭建内部的管道

在上一篇《边缘计算k8s集群之SuperEdge》博客中，笔者基于ECK搭建了边缘集群并添加了节点。通过边缘集群，我们可以很方便的管理各个地域的节点，本地、各云厂商的机房、客户所在地、海外的都可以。...在本篇内容，我们将讲述如何使用ipsec-vpn-server，通过一行命令即可搭建内部的管道，用于锻炼技术，技术学习。...VPN_USER=your_vpn_username VPN_PASSWORD=your_vpn_password 执行成功后，可以查看docker日志（命令参考：docker logs ipsec-vpn-server...执行成功后，通过可以通过日志得到相关配置信息： ?...在该模式下，容器的网络栈未与容器主机隔离，从而在使用 IPsec/L2TP 模式连接之后，VPN 客户端可以使用主机的 VPN 内网 IP 访问主机上的端口或服务。

2.8K2 0

一行命令搭建内部的管道

在上一篇《边缘计算k8s集群之SuperEdge》文章中，笔者基于ECK搭建了边缘集群并添加了节点。通过边缘集群，我们可以很方便的管理各个地域的节点，本地、各云厂商的机房、客户所在地、海外的都可以。...在本篇内容，我们将讲述如何使用ipsec-vpn-server，通过一行命令即可搭建内部的管道，用于锻炼技术，技术学习。...=your_vpn_usernameVPN_PASSWORD=your_vpn_password 执行成功后，可以查看docker日志（命令参考：docker logs ipsec-vpn-server...执行成功后，通过可以通过日志得到相关配置信息： ?...在该模式下，容器的网络栈未与容器主机隔离，从而在使用 IPsec/L2TP 模式连接之后，VPN 客户端可以使用主机的 VPN 内网 IP 访问主机上的端口或服务。

2.3K3 0

公网部署 k3s 集群方法总结

因为是跨云部署，即节点之间没有直接可用的内部局域网，仅能通过公网互联。因此在安装 k3s 组件之前，需要先在服务器之间搭起 VPN ，用于集群间通信。...集群间通信基础 - WireGrad VPN 配置# 我的两台服务器均采用 debian 11 操作系统，内核为 5.10 (>5.6)，无需升级内核即可使用（包含 WireGrad 支持），如果内核版本过低需要先升级内核再继续...$ sudo apt install wireguard 为了集群安全考量，不可以直接使用公网IP进行集群间通信，这里首先为需要组 k3s 集群的服务器配置 WireGrad VPN 通道，为方便起见，...如果直接使用默认值，可能改变子节点默认路由配置，导致无法访问。腾讯云面板都访问不进去，最后只能重装系统解决。...# 查看 VPN 接口详细信息 $ wg show all $ wg show wg0 使用内网 ip 10.66.66.0/32 可以互相 ping 通，表示“内网”互通完毕，下面使用该地址作为集群节点内网

1.4K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭