In questa pagina vengono descritti gli insight di Network Analyzer per Connettività del piano di controllo Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando il control plane GKE avvia una connessione con un nodo GKE.
Visualizza insight nell'API Recommender
Per visualizzare questi approfondimenti in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di approfondimento:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli approfondimenti di Network Analyzer, consulta Utilizzare l'API e l'interfaccia a riga di comando Recommender.
La connettività dal control plane GKE al nodo è bloccata da un problema di routing
Questa informazione indica che la connessione dal control plane GKE al nodo è bloccata da un problema di routing. Questo insight include le seguenti informazioni:
- Cluster GKE: il nome del cluster GKE.
- Endpoint del piano di controllo: l'indirizzo IP dell'endpoint.
- Rete: il nome della rete in cui si trova il cluster GKE configurato.
Nei cluster privati, la rete VPC del control plane è collegata alla rete VPC del cluster tramite il peering di rete VPC. Il traffico viene indirizzato al control plane utilizzando una route di subnet di peering importata dalla configurazione del peering di rete VPC. Questo approfondimento non deve avvenire in cluster pubblici.
Argomenti correlati
Per ulteriori informazioni, consulta Piano di controllo nei cluster privati.
Consigli
Vai ai dettagli del cluster GKE e verifica il peering di rete VPC. Se il peering di rete VPC viene eliminato, crea di nuovo il cluster GKE.
La connettività dal control plane di GKE al nodo è bloccata dal firewall in entrata sul nodo
Questo insight indica che la connessione dal control plane GKE al nodo è bloccata da un firewall in entrata sul nodo. Questo approfondimento include le seguenti informazioni:
- Cluster GKE: il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP del controllo GKE aereo.
- Rete: il nome della rete in cui si trova il cluster GKE configurato.
- Firewall in entrata che blocca: se la connettività dal piano di controllo al nodo è bloccata da un firewall in entrata, viene mostrato il nome di questo firewall; in caso contrario, questo campo non viene visualizzato.
- Porte:le porte sui nodi GKE che ricevono il traffico. bloccato. Per i cluster pubblici, il piano di controllo comunica Nodi GKE sulla porta 22. Per i cluster privati, il piano di controllo comunica con i nodi GKE sulla porta 443 e sulla porta 10250.
Per impostazione predefinita, GKE crea regole firewall per consentire la comunicazione tra il piano di controllo e GKE nodi nel tuo progetto. Questo insight indica che queste regole firewall predefinite sono state modificate o rimosse oppure che un'altra regola firewall nella rete VPC oscura le regole firewall create automaticamente.
Argomenti correlati
Per ulteriori informazioni, vedi Regole firewall create automaticamente e Panoramica delle regole firewall.
Consigli
- Se la regola firewall creata automaticamente viene eliminata dalla rete VPC, ricreala.
- Se esiste la regola firewall creata automaticamente, la regola firewall di blocco ha una priorità più alta. Aumenta la priorità della regola firewall creata automaticamente.