Insights: Best Practices für GKE

Auf dieser Seite werden die Network Analyzer-Erkenntnisse zu Best Practices für die Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Arten von Statistiken finden Sie unter Statistikgruppen und ‑typen.

Diese Informationen prüfen, ob Best Practices für GKE-Clusterkonfigurationen befolgt werden. Ein Insight dieser Kategorie weist auf Verbesserungsbereiche hin, nicht auf aktive Fehler. Der Network Analyzer validiert folgende Bedingungen:

  • Die Steuerungsebene kann Traffic von allen IP-Adressen im Knotensubnetz empfangen.
  • Der private Google-Zugriff ist für die privaten Cluster aktiviert.

Statistiken in der Recommender API ansehen

Verwenden Sie den folgenden Insight-Typ, um diese Statistiken in der Google Cloud CLI oder der Recommender API anzuzeigen:

  • google.networkanalyzer.container.connectivityInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

GKE-Cluster benötigt erweiterten autorisierten Bereich

Das von einem GKE-Cluster verwendete Subnetz wurde um aktivierte autorisierte Netzwerke erweitert. Das autorisierte Netzwerk des Clusters wurde jedoch nicht aktualisiert, um den erweiterten IP-Adressbereich aufzunehmen. Die im erweiterten Subnetzbereich erstellten Knoten können nicht mit der GKE-Steuerungsebene kommunizieren.

Dies enthält folgende Informationen:

  • GKE-Cluster: Der Name des GKE-Clusters.
  • Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
  • Subnetz: Der Name des Subnetzwerks, in dem der GKE-Cluster konfiguriert ist.
  • Subnetzbereich: Der primäre IP-Bereich des primären Subnetzes des Clusters.

Weitere Informationen finden Sie unter Beschränkungen: Autorisierte Netzwerke.

Empfehlungen

Fügen Sie den primären Subnetzbereich des Clusters als autorisierten Netzwerkbereich hinzu. Weitere Informationen finden Sie unter Einem vorhandenen Cluster ein autorisiertes Netzwerk hinzufügen.

Privater Google-Zugriff auf privatem GKE-Cluster deaktiviert

Ihr privater GKE-Cluster befindet sich in einem Subnetz, für das der private Google-Zugriff deaktiviert ist. Der private Google-Zugriff ermöglicht privaten Knoten und deren Arbeitslasten über das private Netzwerk von Google Zugriff auf Google Cloud APIs und -Dienste.

Dies enthält folgende Informationen:

  • GKE-Cluster: Der Name des GKE-Clusters.
  • Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
  • Subnetz: Der Name des Subnetzwerks, in dem der GKE-Cluster konfiguriert ist.

Weitere Informationen finden Sie unter Privaten Google-Zugriff mit privaten Clustern verwenden.

Empfehlungen

Aktivieren Sie den privaten Google-Zugriff im primären Subnetz des Clusters.

Privater GKE-Cluster ohne Routen zu Google APIs und Google-Diensten

Ihr privater GKE-Cluster verwendet ein VPC-Netzwerk, das die Routinganforderung für die Konnektivität zu Google APIs und Google-Diensten nicht erfüllt. Network Analyzer generiert eine Statistik, wenn Ihr VPC-Netzwerk die Routinganforderung nicht erfüllt. Network Analyzer validiert jedoch nicht, ob die Ziel-IP-Adressbereiche den Domainnamen entsprechen, die Sie in Ihrer DNS-Konfiguration ausgewählt haben. Weitere Informationen zu dieser Routinganforderung finden Sie unter Routingoptionen unter "Privaten Google-Zugriff konfigurieren".