Узлы GKE не могут получить доступ к внешнему IP-адресу, расположенному в том же кластере GKE

Под управлением 1.11.2-gke.9 (образ COS) я установил установленный gitlab-ci (включая реестр контейнеров) через helm chart. Все зелено.

Простой конвейер CI/Cd загружал новые образы в реестр док-станции gitlab. Толчок работает.

При развертывании - Ошибка: ErrImagePull с

net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

После ssh'ing (gcp console ssh в браузере) я заметил, что узел может достигать практически всего Интернета, но не самого входа в кластер.

Отсюда вход в систему / тянуть зависание.

Почему этот бегун gitlab, работающий внутри GKE, может перейти в реестр, но узел, который запускает модули приложений, не может получить / войти?

Все правила FW созданы самой GKE, и они допускают 80/443.

Причуда / ошибка маршрутизации?