이 페이지에서는 연결 해제 모드에서 실행되는 Anthos의 알려진 문제와 이러한 문제를 방지하거나 복구하는 방법이 나와 있습니다.
포드 연결 실패 및 역방향 경로 필터링
Anthos는 노드 역방향 경로 필터링을 구성하여 소스 유효성 검사(net.ipv4.conf.all.rp_filter=0
)를 사용 중지합니다. rp_filter
설정이 1
또는 2
로 변경되면 노드 외부 통신 제한 시간으로 인해 포드가 실패합니다.
역방향 경로 필터링은 IPv4 구성 폴더(net/ipv4/conf/all
)의 rp_filter
파일로 설정됩니다. 이 값은 /etc/sysctl.d/60-gce-network-security.conf
와 같은 네트워크 보안 구성 파일에 역방향 경로 필터링 설정을 저장하는 sysctl
로 재정의될 수도 있습니다.
포드 연결을 복원하려면 net.ipv4.conf.all.rp_filter
를 다시 0
으로 수동 설정하거나 anetd
포드를 다시 시작하여 net.ipv4.conf.all.rp_filter
를 0
으로 다시 설정합니다. anetd
포드를 다시 시작하려면 다음 명령어를 사용하여 anetd
포드를 찾아 삭제하면 새 anetd
포드가 그 위치에서 시작됩니다.
kubectl get pods -n kube-system
kubectl delete pods -n kube-system ANETD_XYZ
ANETD_XYZ를 anetd
포드의 이름으로 바꿉니다.
Anthos 관리 센터 콘솔에 액세스할 때 리디렉션 순환 오류
ID 공급업체를 설정하고 ID 공급업체로 로그인한 후 관리 센터 콘솔에 액세스할 때 브라우저가 리디렉션 순환 오류 상태이면 OIDC 설정에 오류가 있을 수 있습니다. 인증 구성 재설정을 참조하세요.
이는 일반적으로 요청된 OIDC 범위에 사용자 이름 클레임 또는 그룹 클레임이 없는 경우에 발생합니다. OIDC 제공업체의 JWT를 확인하여 ID 공급업체를 설정할 때 올바른 사용자 이름 클레임 또는 그룹 클레임이 사용되는지 확인합니다.
OIDC 구성 시 클라이언트 ID가 고유해야 합니다
OIDC 공급업체에서 성공적으로 인증한 후에 리디렉션 순환 오류와 관련해서 이 문제가 발생할 수 있습니다. ID 공급업체 구성을 점검하여 동일한 클라이언트 ID를 사용하는 다른 ID 공급업체가 있는지 확인합니다.
KUBECONFIG=${ADMIN_KUBECONFIG} kubectl get clientconfig -n kube-public default -oyaml
중복된 클라이언트 ID가 있으면 ID 공급업체에 새 클라이언트 ID를 만들도록 요청하세요.
승인 토큰이 만료된 후 수동으로 웹페이지 새로고침
웹페이지에서 오류가 표시되고 마지막으로 로그인한 후 1시간 이상(OIDC 공급업체 설정에 따라 1시간 이하가 될 수 있음) 표시되는 경우 브라우저에서 새로고침 버튼을 클릭하여 웹페이지를 새 승인 토큰으로 새로고침합니다. OIDC 제공업체로부터 다시 로그인하라는 메시지가 표시될 수 있습니다.
관리 클러스터 생성 시의 실패
관리 클러스터를 생성할 때 kind
클러스터의 kube-proxy
포드가 시작되지 않는 문제가 발생하는 경우 관리 워크스테이션에서 수동으로 nf_conntrack_max
를 설정해 봅니다. 예를 들면 다음과 같습니다.
sudo sysctl -w net.netfilter.nf_conntrack_max=131072