Auf dieser Seite werden die Best Practices von Network Analyzer für die Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.
Die Erkenntnisse aus den GKE-Best Practices bestätigen, dass Best Practices für GKE-Clusterkonfigurationen befolgt werden. Eine Erkenntnis aus dieser Kategorie deutet auf Verbesserungsbereiche hin und weist nicht auf aktive Fehler hin. Network Analyzer validiert die folgenden Bedingungen:
- Die Steuerungsebene kann Traffic von allen IP-Adressen im Knotensubnetz empfangen.
- Der private Google-Zugriff ist für die privaten Cluster aktiviert.
Statistiken in der Recommender API ansehen
Verwenden Sie den folgenden Statistiktyp, um diese Statistiken in der Google Cloud CLI oder der Recommender API anzusehen:
google.networkanalyzer.container.connectivityInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Weitere Informationen zur Verwendung der Recommender API für Network Analyzer-Statistiken finden Sie unter Recommender-Befehlszeile und ‐API verwenden.
GKE-Cluster benötigt erweiterten autorisierten Bereich
Das von einem GKE-Cluster verwendete Subnetz wurde um aktivierte autorisierte Netzwerke erweitert. Das autorisierte Netzwerk des Clusters wurde jedoch nicht aktualisiert, um den erweiterten IP-Adressbereich aufzunehmen. Die im erweiterten Subnetzbereich erstellten Knoten können nicht mit der GKE-Steuerungsebene kommunizieren.
Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
- Subnetz: Der Name des Subnetzwerks, in dem der GKE-Cluster konfiguriert ist.
- Subnetzbereich: Der primäre IP-Bereich des primären Subnetzes des Clusters.
Weitere Informationen
Weitere Informationen finden Sie unter Beschränkungen: Autorisierte Netzwerke.
Empfehlungen
Fügen Sie den primären Subnetzbereich des Clusters als autorisierten Netzwerkbereich hinzu. Weitere Informationen finden Sie unter Einem vorhandenen Cluster ein autorisiertes Netzwerk hinzufügen.
Privater Google-Zugriff auf privatem GKE-Cluster deaktiviert
Ihr privater GKE-Cluster befindet sich in einem Subnetz, für das der private Google-Zugriff deaktiviert ist. Der private Google-Zugriff ermöglicht privaten Knoten und deren Arbeitslasten über das private Netzwerk von Google Zugriff auf Google Cloud APIs und -Dienste.
Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
- Subnetz: Der Name des Subnetzwerks, in dem der GKE-Cluster konfiguriert ist.
Weitere Informationen
Weitere Informationen finden Sie unter Privaten Google-Zugriff mit privaten Clustern verwenden.
Empfehlungen
Aktivieren Sie den privaten Google-Zugriff im primären Subnetz des Clusters.
Privater GKE-Cluster ohne Routen zu Google APIs und Google-Diensten
Ihr privater GKE-Cluster verwendet ein VPC-Netzwerk, das die Routinganforderung für die Konnektivität zu Google APIs und Google-Diensten nicht erfüllt. Network Analyzer generiert eine Statistik, wenn Ihr VPC-Netzwerk die Routinganforderung nicht erfüllt. Network Analyzer überprüft jedoch nicht, ob die Ziel-IP-Adressbereiche mit den Domainnamen übereinstimmen, die Sie in der DNS-Konfiguration ausgewählt haben. Weitere Informationen zu dieser Routinganforderung finden Sie unter Routingoptionen unter "Privaten Google-Zugriff konfigurieren".