このページでは、Google Kubernetes Engine(GKE)に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。
GKE ベスト プラクティスの分析情報は、GKE クラスタ構成のベスト プラクティスに従っていることを検証します。このカテゴリの分析情報は、改善の余地がある領域を示しますが、アクティブな障害を示すものではありません。ネットワーク アナライザは次の条件を検証します。
- コントロール プレーンが、ノードのサブネット内のすべての IP アドレスからトラフィックを受信できる。
- 限定公開の Google アクセスが限定公開クラスタに対して有効になっている。
Recommender API で分析情報を表示する
これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。
google.networkanalyzer.container.connectivityInsight
次の権限が必要です。
recommender.networkAnalyzerGkeConnectivityInsights.list
recommender.networkAnalyzerGkeConnectivityInsights.get
ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。
拡張された承認済み範囲が GKE クラスタに必要
GKE クラスタで使用されるサブネットが、承認済みネットワークを有効にして拡張されました。ただし、クラスタの承認済みネットワークは、拡張された IP アドレス範囲を含むように更新されていません。拡張サブネット範囲で作成されたノードは、GKE コントロール プレーンと通信できません。
この分析情報には次の情報が含まれます。
- GKE クラスタ: GKE クラスタの名前。
- ネットワーク: GKE クラスタが構成されているネットワークの名前。
- サブネット: GKE クラスタが構成されているサブネットワークの名前。
- サブネット範囲: クラスタのプライマリ サブネットのプライマリ IP 範囲。
関連トピック
詳細については、承認済みネットワークの制限をご覧ください。
推奨事項
クラスタのプライマリ サブネット範囲を承認済みネットワークの範囲として追加します。詳細については、承認済みネットワークを既存のクラスタに追加するをご覧ください。
GKE 限定公開クラスタで限定公開の Google アクセスが無効
限定公開の GKE クラスタは、限定公開の Google アクセスが無効になっているサブネット上にあります。限定公開の Google アクセスにより、プライベート ノードとそのワークロードは Google の限定公開ネットワークを介して Google Cloud APIs とサービスにアクセスできるようになります。
この分析情報には次の情報が含まれます。
- GKE クラスタ: GKE クラスタの名前。
- ネットワーク: GKE クラスタが構成されているネットワークの名前。
- サブネット: GKE クラスタが構成されているサブネットワークの名前。
関連トピック
詳細については、限定公開クラスタでの限定公開の Google アクセスの使用をご覧ください。
推奨事項
クラスタのプライマリ サブネットで限定公開の Google アクセスを有効にします。
Google API とサービスへのルートのない GKE 限定公開クラスタ
限定公開 GKE クラスタが使用している VPC ネットワークが、Google APIs への接続のルーティング要件を満たしていません。ネットワーク アナライザは、VPC ネットワークがルーティング要件を満たさない場合に分析情報を生成します。ただし、ネットワーク アナライザは、宛先 IP アドレス範囲が DNS 構成で選択したドメイン名と一致しているかどうか検証しません。このルーティング要件の詳細については、限定公開の Google アクセスの構成のルーティング オプションをご覧ください。