问题描述
我有 StatefulSet 的 ejabberd 个副本。我已使用以下声明将它们暴露给 GCP NEG:
3
运行状况检查是端口 5443 处的 HTTP 端点,它在路径 apiVersion: v1
kind: Service
Metadata:
name: ejabberd
annotations:
cloud.google.com/neg: '{"exposed_ports": {"5222":{"name": "ejabberd-xmpp-production-neg"},"5443":{"name": "ejabberd-http-production-neg"}}}'
spec:
type: ClusterIP
clusterIP: None
selector:
app: ejabberd
ports:
- protocol: TCP
name: xmpp
port: 5222
targetPort: 5222
- protocol: TCP
name: http
port: 5443
targetPort: 5443
处返回 HTTP 200 (OK) 状态代码。
问题是,当我创建 SSL Proxy 时,运行状况检查总是失败,但是当我通过 ssh 进入 pod 并执行 /
时,我得到了成功响应。 TCP 运行状况检查也不起作用。
解决方法
该问题是由云负载均衡器无法访问端口引起的。我通过创建允许负载平衡器访问指定端口的防火墙规则来修复它。
这是通过运行以下命令实现的:
gcloud compute firewall-rules create fw-allow-health-check-and-proxy \
--network=NETWORK_NAME \
--action=allow \
--direction=ingress \
--target-tags=GKE_NODE_NETWORK_TAGS \
--source-ranges=130.211.0.0/22,35.191.0.0/16 \
--rules=tcp:5443,tcp:5222
可以在此处找到更多信息Attaching an external HTTP(S) load balancer to standalone NEGs