Insights sur les bonnes pratiques GKE

Cette page décrit les insights de Network Analyzer pour les bonnes pratiques de Google Kubernetes Engine (GKE). Pour en savoir plus sur tous les types d'insights, consultez la section Groupes et types d'insights.

Les insights sur les bonnes pratiques GKE confirment que les bonnes pratiques sont respectées pour les configurations de cluster GKE. Un insight de cette catégorie suggère des domaines d'amélioration et n'indique pas les échecs actifs. Network Analyzer vérifie les conditions suivantes:

  • Le plan de contrôle peut recevoir le trafic de toutes les adresses IP du sous-réseau de nœud.
  • L'accès privé à Google est activé pour les clusters privés.

Afficher les insights dans l'API Recommender

Pour afficher ces insights dans Google Cloud CLI ou dans l'API Recommender, utilisez le type d'insight suivant:

  • google.networkanalyzer.container.connectivityInsight

Vous devez disposer des autorisations suivantes :

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Pour en savoir plus sur l'utilisation de l'API Recommender pour les insights de Network Analyzer, consultez la page Utiliser l'API et la CLI de l'outil de recommandation.

Le cluster GKE a besoin d'une plage autorisée étendue

Le sous-réseau utilisé par un cluster GKE a été étendu avec des réseaux autorisés activés. Toutefois, le réseau autorisé du cluster n'a pas été mis à jour pour inclure la plage d'adresses IP étendue. Les nœuds créés dans la plage de sous-réseau étendue ne pourront pas communiquer avec le plan de contrôle GKE.

Cet insight inclut les informations suivantes:

  • Cluster GKE:nom du cluster GKE.
  • Réseau:nom du réseau dans lequel le cluster GKE est configuré.
  • Sous-réseau:nom du sous-réseau sur lequel le cluster GKE est configuré.
  • Plage de sous-réseaux:plage d'adresses IP principale du sous-réseau principal du cluster.

Pour en savoir plus, consultez la section Limites des réseaux autorisés.

Recommandations

Ajoutez la plage de sous-réseau principale du cluster en tant que plage réseau autorisée. Pour en savoir plus, consultez la section Ajouter un réseau autorisé à un cluster existant.

Accès privé à Google désactivé sur le cluster privé GKE

Votre cluster GKE privé se trouve sur un sous-réseau sur lequel l'accès privé à Google est désactivé. L'accès privé à Google fournit des nœuds privés et leurs charges de travail avec un accès aux API et services Google Cloud via le réseau privé de Google.

Cet insight inclut les informations suivantes:

  • Cluster GKE:nom du cluster GKE.
  • Réseau:nom du réseau dans lequel le cluster GKE est configuré.
  • Sous-réseau:nom du sous-réseau sur lequel le cluster GKE est configuré.

Pour plus d'informations, consultez la section Utiliser l'accès privé à Google dans des clusters privés.

Recommandations

Activez l'accès privé à Google sur le sous-réseau principal du cluster.

Cluster privé GKE sans routes vers les API et services Google

Votre cluster GKE privé utilise un réseau VPC qui ne répond pas aux exigences de routage en matière de connectivité aux API et services Google. Network Analyzer génère un insight si votre réseau VPC ne répond pas aux exigences de routage. Toutefois, Network Analyzer ne vérifie pas que les plages d'adresses IP de destination correspondent aux noms de domaine que vous avez choisis dans votre configuration DNS. Pour plus d'informations sur ces exigences de routage, consultez la section Options de routage de la section "Configurer l'accès privé à Google".