Questa pagina elenca i problemi noti relativi alla modalità privata di Anthos, insieme alle possibili soluzioni per evitarli o ripristinarli.
Impossibile associare un account di servizio al ClusterRole preimpostato di anthos-platform-admin
Non puoi associare correttamente un account di servizio al cluster preimpostato admin-platform o anthos-platform-read-only di sola lettura, Alcune autorizzazioni devono essere concesse dinamicamente agli oggetti dal controller, ma attualmente il controller supporta solo utenti e gruppi.
Errori di connettività del pod e filtro dei percorsi inversi
La modalità privata di Anthos configura i filtri per il percorso inverso per disattivare la convalida dell'origine (net.ipv4.conf.all.rp_filter=0
). Se l'impostazione rp_filter
viene modificata in 1
o 2
, i pod non riescono a causa di timeout delle comunicazioni fuori nodo.
Il filtro dei percorsi inversi è impostato con i file rp_filter
nella cartella di configurazione IPv4 (net/ipv4/conf/all
). Questo valore potrebbe essere sostituito anche da sysctl
, che memorizza le impostazioni di filtro dei percorsi inversi in un file di configurazione della sicurezza di rete, ad esempio /etc/sysctl.d/60-gce-network-security.conf
.
Per ripristinare la connettività del pod, imposta net.ipv4.conf.all.rp_filter
nuovamente su 0
manualmente o riavvia il pod anetd
per impostare net.ipv4.conf.all.rp_filter
su 0
. Per riavviare il pod anetd
, utilizza i comandi seguenti per individuare
ed eliminare il pod anetd
, al suo interno verrà avviato un nuovo pod anetd
:
kubectl get pods -n kube-system
kubectl delete pods -n kube-system ANETD_XYZ
Sostituisci ANETD_XYZ con il nome del pod di anetd
.
Loop di reindirizzamento durante l'accesso alla console di Anthos Management Center
Se il browser si trova in un loop di reindirizzamento quando si accede alla console di Management Center dopo aver configurato i provider di identità e aver effettuato l'accesso con il provider di identità, potrebbe essere presente un errore nelle impostazioni OIDC. Vedi Reimposta configurazione di autenticazione.
Ciò si verifica di solito quando la rivendicazione del nome utente o la rivendicazione di gruppo non esiste negli ambiti OIDC richiesti. Controlla il JWT del provider OIDC per verificare che venga utilizzata la rivendicazione del nome utente o la rivendicazione di gruppo corretta durante la configurazione dei provider di identità.
Gli ID client devono essere univoci durante la configurazione dell'OIDC
Questo problema potrebbe manifestarsi in un loop di reindirizzamento dopo l'autenticazione con il provider OIDC. Controlla la configurazione del provider di identità per vedere se ci sono altri provider di identità che utilizzano lo stesso ID client:
KUBECONFIG=${ADMIN_KUBECONFIG} kubectl get clientconfig -n kube-public default -oyaml
Se sono presenti ID client duplicati, chiedi al tuo provider di identità di creare un nuovo ID client.
Aggiorna manualmente le pagine web dopo la scadenza del token di autorizzazione
Se vedi una pagina web che mostra errori e si è verificata almeno un'ora (o meno a seconda delle impostazioni del provider OIDC) dall'ultimo accesso, fai clic sul pulsante di aggiornamento del browser per aggiornare la pagina web con un nuovo token di autorizzazione. Il provider OIDC potrebbe chiederti di eseguire nuovamente l'accesso.
Errore durante la creazione del cluster di amministrazione
Se hai un problema durante la creazione del cluster di amministrazione in cui il pod kube-proxy
nel cluster kind
non si avvia, prova a impostare manualmente nf_conntrack_max
sulla workstation dell'amministratore. Ad esempio:
sudo sysctl -w net.netfilter.nf_conntrack_max=131072