Почему неоднозначный исходящий доступ из частного кластера GKE?

Question

Почему неоднозначный исходящий доступ из частного кластера GKE?

Недавно я создал частный кластер GKE kubernetes для запуска веб-сервисов и обнаружил, что он довольно заблокирован и не должен иметь никакого исходящего доступа в Интернет, но имеет доступ к сервисам GCP. Я счастлив жить с передачей изображений контейнеров в частное репозиторий GCP.

Однако то, что я нахожу странным, заключается в том, что после установки некоторых общедоступных схем управления шлемом некоторые изображения извлекаются из док-центра и других общедоступных реестров, а некоторые - нет.

Я использую предварительно выгружаемые узлы, поэтому на некоторых диаграммах, которые я ранее развернул, были заменены базовые узлы, и замены показывают ошибки извлечения изображения.

Это связано с мультитенантной природой службы GKE? Может быть, некоторые хосты, возможно, уже кэшировали изображения, и поэтому фактически не извлекают изображения?

Один пример

mongo:3.6

висел более 24 часов на одном модуле, затем в конечном итоге его вытащили три модуля, но это ссылка на док-концентратор

3

kubernetes google-cloud-platform google-kubernetes-engine gke

Источник

user218635 16 окт '18 в 10:33

1 ответ

Другие вопросы по тегам kubernetes google-cloud-platform google-kubernetes-engine gke

user9231144 16 окт '18 в 18:11 2018-10-16 18:11 · Answer 1 · 2018-10-16 18:11

Похоже, что Google отражает многие популярные публичные репозитории. Это объясняет, почему многие из наиболее распространенных общедоступных изображений могут быть извлечены даже без доступа к Интернету, в основном вы просто извлекаете данные из репо Google (к которому вы получаете доступ через частный доступ к API).

Я предполагаю, что определенные изображения не отражаются, и те - те, которые висят.