本页面介绍了如何解决在 Google Kubernetes Engine (GKE) 中创建集群时遇到的问题。
如需了解 Kubernetes 集群的常见问题,请参阅 Kubernetes 文档中的集群故障排查部分。
错误:违反了限制条件 constraints/compute.vmExternalIpAccess
在尝试创建公共 GKE 集群时,可能会出现与下方类似的错误:
Constraint constraints/compute.vmExternalIpAccess violated for project
这仅影响公共 GKE 集群,包括 GKE Autopilot 集群。
当您创建公共 GKE 集群时,构成该集群的工作器节点的底层 Compute Engine 虚拟机会分配外部 IP 地址。如果您将组织政策限制条件 constraints/compute.vmExternalIpAccess 配置为 Deny All,或者将外部 IP 地址限制为组织、文件夹或项目级层的特定虚拟机实例,则该政策会阻止 GKE 工作节点获取外部 IP 地址,从而导致集群创建失败。
如需查找集群创建操作的日志,您可以使用 Logs Explorer 以及类似于以下内容的搜索查询查看 GKE 集群操作审核日志:
resource.type="gke_cluster"
logName="projects/test-last-gke-sa/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName="google.container.v1beta1.ClusterManager.CreateCluster"
resource.labels.cluster_name="CLUSTER_NAME"
resource.labels.project_id="PROJECT_ID"
替换以下内容:
CLUSTER_NAME:未创建的集群的名称。PROJECT_ID:您的项目 ID。
如需解决此问题,请确保在您尝试创建 GKE 公共集群的项目中,限制条件 constraints/compute.vmExternalIpAccess 的有效政策为 Allow All。如需了解如何使用此限制条件,请参阅将外部 IP 地址限制为仅用于特定虚拟机实例。
将限制条件设置为 Allow All 后,请删除失败的集群并创建新集群。这是必需的,因为无法修复失败的集群。
后续步骤
如果您需要其他帮助,请与 Cloud Customer Care 联系。