排查集群创建问题

本页面介绍了如何解决在 Google Kubernetes Engine (GKE) 中创建集群时遇到的问题。

如需了解 Kubernetes 集群的一般问题，请参阅 Kubernetes 文档中的排查集群问题部分。

错误：违反了限制条件 constraints/compute.vmExternalIpAccess

在尝试创建公共 GKE 集群时，可能会出现如下所示的错误：

Constraint constraints/compute.vmExternalIpAccess violated for project

这仅会影响公共 GKE 集群，包括 GKE Autopilot 集群。

当您创建公共 GKE 集群时，构成该集群的工作器节点的底层 Compute Engine 虚拟机会分配外部 IP 地址。如果您将组织政策限制条件 constraints/compute.vmExternalIpAccess 配置为 Deny All，或者将外部 IP 地址限制为仅用于组织、文件夹或项目级层的特定虚拟机实例，则该政策会阻止 GKE 工作器节点获取外部 IP 地址，从而导致集群创建失败。

如需查找集群创建操作的日志，您可以使用 Logs Explorer 以及类似于以下内容的搜索查询来查看 GKE 集群操作审核日志：

resource.type="gke_cluster"
logName="projects/test-last-gke-sa/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="google.container.v1beta1.ClusterManager.CreateCluster"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.project_id="PROJECT_ID"

替换以下内容：

• CLUSTER_NAME：未创建的集群的名称。
• PROJECT_ID：您的项目 ID。

如需解决此问题，请确保在您尝试创建 GKE 公共集群的项目中，限制条件 constraints/compute.vmExternalIpAccess 的有效政策为 Allow All。如需了解如何使用此限制条件，请参阅将外部 IP 地址限制为仅用于特定虚拟机实例。

将限制条件设置为 Allow All 后，请删除失败的集群并创建新集群。这是必需的，因为无法修复失败的集群。

后续步骤

• 如果您在文档中找不到问题的解决方案，请参阅获取支持以获取进一步的帮助，包括以下主题的建议：

  • 请与 Cloud Customer Care 联系，以提交支持请求。
  • 通过在 StackOverflow 上提问并使用 google-kubernetes-engine 标记搜索类似问题，从社区获得支持。您还可以加入 #kubernetes-engine Slack 频道，以获得更多社区支持。
  • 使用公开问题跟踪器提交 bug 或功能请求。