Kubernetes IAP连接器未将请求路由到on-prem。”;没有健康的上游”;
我正试图根据下面链接中给出的说明,为我的后端服务设置身份感知代理,其中的一部分驻留在GCP和其他on-prem中 和 之后,按照指南,我最终进入了部分状态,在https端点的GCP上运行的服务完全可以通过IAP访问。但是,无法通过pods*和外部loadbalancer*访问在prem上运行的应用程序 遵循当前架构: 遵循的步骤 关于GCP项目Kubernetes IAP连接器未将请求路由到on-prem。”;没有健康的上游”;,kubernetes,google-cloud-platform,containers,google-kubernetes-engine,identity-aware-proxy,Kubernetes,Google Cloud Platform,Containers,Google Kubernetes Engine,Identity Aware Proxy,我正试图根据下面链接中给出的说明,为我的后端服务设置身份感知代理,其中的一部分驻留在GCP和其他on-prem中 和 之后,按照指南,我最终进入了部分状态,在https端点的GCP上运行的服务完全可以通过IAP访问。但是,无法通过pods*和外部loadbalancer*访问在prem上运行的应用程序 遵循当前架构: 遵循的步骤 关于GCP项目 在我的案例(asia-1)中,使用一个子网在任何区域创建VPC网络 旧IAP连接器 已为2个域配置映射 GCP中应用程序的 来源:gcp.d
- 在我的案例(asia-1)中,使用一个子网在任何区域创建VPC网络
- 旧IAP连接器
- 已为2个域配置映射
GCP中应用程序的
- 来源:gcp.domain.com
- 目的地:app1.domain.com(服务于https端点)
用于prem上的应用程序(另一个GCP项目)
- 来源:onprem.domain.com
- 目的地:app2.domain.com(服务于https端点,但不暴露于internet)
- 已在两个项目之间配置VPN隧道,以便网络可以对等
- 已为部署创建的loadbalancer启用IAP
- 添加了相应的帐户,以允许使用IAP web用户角色访问服务
On prem
- 在具有一个子网的区域中创建VPC网络(亚洲-1)
- 在该区域的VPC上创建虚拟机
- 将该VM分配给实例组
- 创建内部Https loadbalancer并选择实例组作为后端
- 使用ssl的安全负载平衡器http
- 设置到第一个项目的VPN隧道
- 登录到播客并ping不同的播客。所有的豆荚都可以到达
- 登录到节点并ping端口80和443上的远程VM都是可访问的
- 从吊舱内部ping远程VM。无法到达
- 用户向app1.domain.com上的loadbalancer请求,IAP使用OAuth对用户进行身份验证和授权,并授予对webapp的访问权
- 用户向app2.domain.com上的loadbalancer请求,IAP使用OAuth对用户进行身份验证和授权,并授予对运行在on-prem上的webapp的访问权
- 对app1.domain.com的请求将在验证网站后提示OAuth屏幕返回给用户
- 对app2.domain.com的请求在验证浏览器后提示OAuth屏幕返回503-“无正常上游”
- 我使用一个单独的GCP项目来模拟内部部署
- 这两个项目都是通过VPN隧道进行监视的
- 两个对等项目在同一区域中都有子网
- 我在on-prem项目中使用了内部https loadbalancer,使我的VM在主机项目中可见,以便外部loadbalancer可以将请求路由到VM的https端点
非常感谢你们。我期待您的回复。最新的一点很有趣
从POD内部ping远程VM。无法访问
。您是否看到网络流量进入您的on-prem网络?我经常犯的错误是:我忘记在我的on-prem路由器中定义路由。你好@guillaumeblaquiere谢谢你的回复。流量通过节点从我的gcp项目流向on-prem项目。有一个bitnami lampstack在VM上运行,我可以在两个端口上卷曲。您的测试VM是否部署在与GKE集群相同的VPC和子网中?GKE不会为启动的流添加额外的路由。如果流量通过同一发起人(VPC/子网)的VPN工作,则pods肯定不会有问题!您是否在app2域的POD上看到流量?您应该在请求头上看到这一点。或激活网络日志以跟踪此情况。网络,调试一点也不好笑!你好您能提供正确完整的用例方案吗?项目之间VPN的配置是什么。请写下你进入那种状态的确切步骤。这将使故障排除变得更容易,并可能对潜在的错误配置有所帮助。