GKE のベスト プラクティスの分析情報

このページでは、Google Kubernetes Engine(GKE)に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。

GKE ベスト プラクティスの分析情報は、GKE クラスタ構成のベスト プラクティスに従っていることを検証します。このカテゴリの分析情報は、改善の余地がある領域を示しますが、アクティブな障害を示すものではありません。ネットワーク アナライザは次の条件を検証します。

  • コントロール プレーンが、ノードのサブネット内のすべての IP アドレスからトラフィックを受信できる。
  • 限定公開の Google アクセスが限定公開クラスタに対して有効になっている。

Recommender API で分析情報を表示する

これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。

  • google.networkanalyzer.container.connectivityInsight

次の権限が必要です。

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。

拡張された承認済み範囲が GKE クラスタに必要

GKE クラスタで使用されるサブネットが、承認済みネットワークを有効にして拡張されました。ただし、クラスタの承認済みネットワークは、拡張された IP アドレス範囲を含むように更新されていません。拡張サブネット範囲で作成されたノードは、GKE コントロール プレーンと通信できません。

この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。
  • サブネット: GKE クラスタが構成されているサブネットワークの名前。
  • サブネット範囲: クラスタのプライマリ サブネットのプライマリ IP 範囲。

詳細については、承認済みネットワークの制限をご覧ください。

推奨事項

クラスタのプライマリ サブネット範囲を承認済みネットワークの範囲として追加します。詳細については、承認済みネットワークを既存のクラスタに追加するをご覧ください。

GKE 限定公開クラスタで限定公開の Google アクセスが無効

限定公開の Google アクセスが無効になっているサブネット上に、限定公開の GKE クラスタが存在します。限定公開の Google アクセスにより、プライベート ノードとそのワークロードは Google のプライベート ネットワークを介して Google Cloud APIs とサービスにアクセスできるようになります。

この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。
  • サブネット: GKE クラスタが構成されているサブネットワークの名前。

詳細については、限定公開クラスタでの限定公開の Google アクセスの使用をご覧ください。

推奨事項

クラスタのプライマリ サブネットで限定公開の Google アクセスを有効にします

Google API とサービスへのルートのない GKE 限定公開クラスタ

限定公開 GKE クラスタが使用している VPC ネットワークが、Google APIs への接続のルーティング要件を満たしていません。ネットワーク アナライザは、VPC ネットワークがルーティング要件を満たさない場合に分析情報を生成します。ただし、ネットワーク アナライザは、宛先 IP アドレス範囲が DNS 構成で選択したドメイン名と一致しているかどうか検証しません。このルーティング要件の詳細については、限定公開の Google アクセスの構成のルーティング オプションをご覧ください。