Falhas durante a criação de clusters do Google Kubernetes Engine (GKE) podem impedir o provisionamento da infraestrutura necessária. Uma causa comum de falhas é a violação da política de constraints/compute.vmExternalIpAccess. Use esta página para resolver falhas na criação de clusters causadas por essa política da organização.
Essas informações são importantes para administradores e operadores da plataforma ou outros usuários responsáveis por criar e gerenciar clusters do GKE em umaGoogle Cloud organização. Para mais informações sobre as funções comuns e as tarefas de exemplo referenciadas no conteúdo doGoogle Cloud , consulte Funções e tarefas comuns de usuários do GKE.
Para problemas gerais com um cluster do Kubernetes, consulte Como solucionar problemas de clusters na documentação do Kubernetes.
Erro: restrição constraints/compute.vmExternalIpAccess violada
Um erro semelhante ao seguinte pode ocorrer ao tentar criar um cluster público do GKE:
Constraint constraints/compute.vmExternalIpAccess violated for project
Isso afeta apenas clusters públicos do GKE, inclusive os do Autopilot do GKE.
Quando você cria clusters públicos do GKE, as VMs subjacentes do Compute Engine, que compõem os nós de trabalho desse cluster, recebem endereços IP externos.
Se você configurar a restrição da política da organização
constraints/compute.vmExternalIpAccess
para Deny All ou restringir endereços IP externos a instâncias de VM específicas no
nível da organização, da pasta ou do projeto, a
política vai impedir que os nós de trabalho do GKE recebam endereços IP
externos, o que vai resultar na falha na criação do cluster.
Para encontrar os registros da operação de criação de cluster, confira os registros de auditoria das operações de cluster do GKE usando a Análise de registros com uma consulta de pesquisa semelhante a esta:
resource.type="gke_cluster"
logName="projects/test-last-gke-sa/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="google.container.v1beta1.ClusterManager.CreateCluster"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.project_id="PROJECT_ID"
Substitua:
CLUSTER_NAME: o nome do cluster que não foi criado.PROJECT_ID: o ID do projeto.
Para resolver esse problema, verifique se a política efetiva para a restrição constraints/compute.vmExternalIpAccess é Allow All no projeto em que você está tentando criar um cluster público do GKE. Para saber como trabalhar com essa restrição, consulte Como restringir endereços IP externo a instâncias de VM específicas.
Depois de definir a restrição como Allow All, exclua o cluster com falha e crie um novo. Isso é necessário porque não é possível reparar o cluster com falha.
A seguir
Se você não encontrar uma solução para seu problema na documentação, consulte Receber suporte para mais ajuda, incluindo conselhos sobre os seguintes tópicos:
- Abrir um caso de suporte entrando em contato com o Cloud Customer Care.
- Receber suporte da comunidade fazendo perguntas no StackOverflow e usando a tag
google-kubernetes-enginepara pesquisar problemas semelhantes. Você também pode participar do canal do Slack#kubernetes-enginepara receber mais suporte da comunidade. - Abrir bugs ou solicitações de recursos usando o Issue Tracker público.