Nesta página, mostramos como resolver problemas com a criação de clusters no Google Kubernetes Engine (GKE).
Para problemas gerais com um cluster do Kubernetes, consulte Como solucionar problemas de clusters na documentação do Kubernetes.
Erro: restrição constraints/compute.vmExternalIpAccess violada
Um erro semelhante ao seguinte pode ocorrer ao tentar criar um cluster público do GKE:
Constraint constraints/compute.vmExternalIpAccess violated for project
Isso afeta apenas clusters públicos do GKE, inclusive os do Autopilot do GKE.
Quando você cria clusters públicos do GKE, as VMs subjacentes do Compute Engine, que compõem os nós de trabalho desse cluster, recebem endereços IP externos.
Se você configurar a restrição da política da organização
constraints/compute.vmExternalIpAccess
para Deny All ou restringir endereços IP externos a instâncias de VM específicas no
nível da organização, da pasta ou do projeto, a
política vai impedir que os nós de trabalho do GKE recebam endereços IP
externos, o que vai resultar na falha na criação do cluster.
Para encontrar os registros da operação de criação de cluster, confira os registros de auditoria das operações de cluster do GKE usando a Análise de registros com uma consulta de pesquisa semelhante a esta:
resource.type="gke_cluster"
logName="projects/test-last-gke-sa/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="google.container.v1beta1.ClusterManager.CreateCluster"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.project_id="PROJECT_ID"
Substitua:
CLUSTER_NAME: o nome do cluster que não foi criado.PROJECT_ID: o ID do projeto.
Para resolver esse problema, verifique se a política efetiva para a restrição constraints/compute.vmExternalIpAccess é Allow All no projeto em que você está tentando criar um cluster público do GKE. Para saber como
trabalhar com essa restrição, consulte
Como restringir endereços IP externos a instâncias de VM específicas.
Depois de definir a restrição como Allow All, exclua o cluster com falha e crie um novo. Isso é necessário porque não é possível reparar o cluster com falha.
A seguir
Se precisar de mais ajuda, entre em contato com o Cloud Customer Care.