当为GKE集群部署部署相同的terraform google_container_cluster配置时,我发现两个GCP项目之间存在差异。
terraform google_container_cluster配置显式禁用屏蔽节点:
resource "google_container_cluster" "csurv-cluster" {
...
enable_shielded_nodes = false
...
这种地形配置用于在多个项目中提供集群,除一个项目外,集群的屏蔽节点已禁用。
一个项目不尊重这种配置,并在最初提供集群时提供屏蔽节点。
稍后,当重新连接到集群进行维护时,会检测到请求的配置和提供的配置之间的差异,这会导致节点被修复以匹配地形配置,从而导致不必要的停机。
关于为什么会发生这种情况以及我能做些什么来解决问题,有什么建议吗?
您有没有可能将屏蔽虚拟机作为该项目的组织策略启用?政策列表在这里。
您可以通过IAM进行检查>组织策略>选择顶部蓝色下拉列表中的项目>从筛选器搜索栏中选择策略约束>单击策略,查看是否在该项目上强制执行该策略。