In questa pagina sono elencati i problemi noti di Anthos in modalità disconnessa, insieme ai modi per evitarli o recuperarli.
Errori di connettività dei pod e filtro del percorso inverso
Anthos configura il filtro del percorso inverso sui nodi per disabilitare la convalida dell'origine (net.ipv4.conf.all.rp_filter=0
). Se l'impostazione rp_filter
viene modificata in 1
o 2
, i pod avranno esito negativo a causa di timeout delle comunicazioni fuori nodo.
Il filtro del percorso inverso è impostato con file rp_filter
nella cartella di configurazione IPv4 (net/ipv4/conf/all
). Questo valore potrebbe anche essere sostituito da sysctl
, che memorizza le impostazioni di filtro del percorso inverso in un file di configurazione della sicurezza di rete, ad esempio /etc/sysctl.d/60-gce-network-security.conf
.
Per ripristinare la connettività dei pod, reimposta net.ipv4.conf.all.rp_filter
su
0
manualmente oppure riavvia il pod anetd
per net.ipv4.conf.all.rp_filter
su 0
. Per riavviare il pod anetd
, utilizza i comandi seguenti per individuare
ed eliminare il pod anetd
e, al suo posto, si accenderà un nuovo pod anetd
:
kubectl get pods -n kube-system
kubectl delete pods -n kube-system ANETD_XYZ
Sostituisci ANETD_XYZ con il nome del pod anetd
.
Loop di reindirizzamento quando si accede alla console di Anthos Management Center
Se il browser si trova in un loop di reindirizzamento quando accede alla Console di gestione del centro dopo la configurazione dei provider di identità e ha effettuato l'accesso con il provider di identità, potrebbe esserci un errore nelle impostazioni OIDC. Vedi Reimpostare la configurazione dell'autenticazione.
Questo di solito si verifica quando la rivendicazione del nome utente o la rivendicazione di gruppo non esiste negli ambiti OIDC richiesti. Controlla il JWT del provider OIDC per verificare che venga utilizzata la rivendicazione di nome utente o la rivendicazione di gruppo corretta durante la configurazione dei provider di identità.
Gli ID client devono essere univoci durante la configurazione dell'OIDC
Questo problema potrebbe manifestarsi in un loop di reindirizzamento dopo l'autenticazione con il provider OIDC. Controlla la configurazione del provider di identità per verificare se esistono altri provider di identità che utilizzano lo stesso ID client:
KUBECONFIG=${ADMIN_KUBECONFIG} kubectl get clientconfig -n kube-public default -oyaml
Se sono presenti ID client duplicati, chiedi al tuo provider di identità di creare un nuovo ID client.
Aggiornamento manuale delle pagine web alla scadenza del token di autorizzazione
Se vedi una pagina web che mostra errori ed è trascorsa almeno un'ora (o meno, a seconda delle impostazioni del provider OIDC) dall'ultimo accesso, fai clic sul pulsante di aggiornamento nel browser per aggiornare la pagina web con un nuovo token di autorizzazione. È possibile che ti venga richiesto dal provider OIDC di accedere di nuovo.
Errore durante la creazione del cluster di amministrazione
Se si verifica un problema durante la creazione del cluster di amministrazione in cui il pod kube-proxy
nel cluster kind
non si avvia, prova a impostare manualmente nf_conntrack_max
sulla workstation di amministrazione. Ad esempio:
sudo sysctl -w net.netfilter.nf_conntrack_max=131072