在 GKE 中创建私有集群，terraform vs 控制台

Question

我一直在尝试设置一个 terraform 模块来创建私有集群，但我遇到了一个奇怪的情况。

在创建具有主授权网络的集群时，如果我通过 GCP 控制台进行，则可以很好地创建私有集群。但是，当我使用 Terraform 执行此操作时，出现了一个奇怪的错误：

 Invalid master authorized networks: network "<cidr>" is not a reserved network, which is required for private endpoints.

代码中有趣的部分如下：

....
master_authorized_networks_config {
  cidr_blocks {
    cidr_block = "<my-network-cidr>"
  }
}

private_cluster_config {
  enable_private_endpoint = true
  enable_private_nodes    = true
  master_ipv4_cidr_block  = "<cidr>"
}
....

我在这里忘记了什么吗？

Answer 1

我能够自己弄清楚，我想我应该详细阅读 gcp 方面的所有文档。

这里的问题是我正在添加一个主授权网络 cidr 范围以启用本地网络访问，这是一个外部地址和来自 GCP 文档

您不能在主授权网络列表中包含外部 IP 地址，因为对公共端点的访问被禁用。

如果您有兴趣，想了解更多请点击here

Answer 2

我最近也遇到了同样的问题。

我找到的解决方法是设置enable_private_endpoint = false。

在这种情况下，无论如何都会创建私有端点，但您可以将具有外部地址的 CIDR 添加到主授权网络。

Answer 3

根据 Google Cloud Platform 文档 here，应该可以同时拥有私有和公共端点，并且 master_authorized_networks_config 参数应该具有可以到达其中任何一个端点的网络。

如果将enable_private_endpoint 参数设置为false 意味着创建了私有端点，但它也创建了公共端点，那么这是一个可怕的错误命名的参数； enable_private_endpoint 实际上是关闭和打开公共端点，而不是私有端点。显然，指定 private_cluster_config 足以启用私有端点，并且如果要相信报告的行为，则该标志会切换公共端点。

这当然是我的经验：当enable_private_endpoint 为true 时，在master_authorized_networks_config 中指定我的本地IP 地址导致集群创建失败。当我将它设置为false 时，我得到了端点和配置。不会被拒绝。

Answer 4

master_authorized_networks_config {
}

private_cluster_config {
  enable_private_endpoint = true
  enable_private_nodes    = true
  master_ipv4_cidr_block  = "<cidr>"
}

应该创建 private_end_point 并且它不会抱怨Invalid master authorized networks。您尝试过的方法是为白名单传递外部 CIDR 以访问公共端点，同时您希望它是严格私有的。