GKE のベスト プラクティスの分析情報

このページでは、Google Kubernetes Engine（GKE）に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。

GKE ベスト プラクティスの分析情報は、GKE クラスタ構成のベスト プラクティスに従っていることを検証します。このカテゴリの分析情報は、改善の余地がある領域を示しますが、アクティブな障害を示すものではありません。ネットワーク アナライザは次の条件を検証します。

• コントロール プレーンが、ノードのサブネット内のすべての IP アドレスからトラフィックを受信できる。
• 限定公開の Google アクセスが限定公開クラスタに対して有効になっている。

Recommender API で分析情報を表示する

これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。

• google.networkanalyzer.container.connectivityInsight

次の権限が必要です。

• recommender.networkAnalyzerGkeConnectivityInsights.list
• recommender.networkAnalyzerGkeConnectivityInsights.get

ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。

拡張された承認済み範囲が GKE クラスタに必要

GKE クラスタで使用されるサブネットが、承認済みネットワークを有効にして拡張されました。ただし、クラスタの承認済みネットワークは、拡張された IP アドレス範囲を含むように更新されていません。拡張サブネット範囲で作成されたノードは、GKE コントロール プレーンと通信できません。

この分析情報には次の情報が含まれます。

• GKE クラスタ: GKE クラスタの名前。
• ネットワーク: GKE クラスタが構成されているネットワークの名前。
• サブネット: GKE クラスタが構成されているサブネットワークの名前。
• サブネット範囲: クラスタのプライマリ サブネットのプライマリ IP 範囲。

関連トピック

詳細については、承認済みネットワークの制限をご覧ください。

推奨事項

クラスタのプライマリ サブネット範囲を承認済みネットワークの範囲として追加します。詳細については、承認済みネットワークを既存のクラスタに追加するをご覧ください。

GKE プライベート クラスタでプライベート Google アクセスが無効

プライベート Google アクセスが無効になっているサブネット上に、プライベート GKE クラスタが存在します。プライベート Google アクセスにより、プライベート ノードとそのワークロードは Google のプライベート ネットワークを介して Google Cloud APIs とサービスにアクセスできるようになります。

この分析情報には次の情報が含まれます。

• GKE クラスタ: GKE クラスタの名前。
• ネットワーク: GKE クラスタが構成されているネットワークの名前。
• サブネット: GKE クラスタが構成されているサブネットワークの名前。

関連トピック

詳細については、限定公開クラスタでの限定公開の Google アクセスの使用をご覧ください。

推奨事項

クラスタのプライマリ サブネットで限定公開の Google アクセスを有効にします。

Google API とサービスへのルートのない GKE プライベート クラスタ

限定公開 GKE クラスタが使用している VPC ネットワークが、Google APIs への接続のルーティング要件を満たしていません。ネットワーク アナライザは、VPC ネットワークがルーティング要件を満たさない場合に分析情報を生成します。ただし、ネットワーク アナライザは、宛先 IP アドレス範囲が DNS 構成で選択したドメイン名と一致しているかどうか検証しません。このルーティング要件の詳細については、プライベート Google アクセスの構成のルーティング オプションをご覧ください。