GKE コントロール プレーン接続の分析情報

このページでは、Google Kubernetes Engine(GKE)コントロール プレーン接続に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。

ネットワーク アナライザは、GKE コントロール プレーンが GKE ノードとの接続を開始するときに、構成に起因する接続の問題を検出します。

Recommender API で分析情報を表示する

これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。

  • google.networkanalyzer.container.connectivityInsight

次の権限が必要です。

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。

ルーティングの問題で GKE コントロール プレーンからノードへの接続がブロックされる

この分析情報は、GKE コントロール プレーンからノードへの接続がルーティングの問題によってブロックされていることを示します。この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • コントロール プレーン エンドポイント: エンドポイントの IP アドレス。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。

限定公開クラスタでは、コントロール プレーンの VPC ネットワークが VPC ネットワーク ピアリングによりクラスタの VPC ネットワークに接続します。トラフィックは、VPC ネットワーク ピアリング構成によってインポートされたピアリング サブネット ルートを使用して、コントロール プレーンに転送されます。この分析情報は、一般公開クラスタでは発生しません。

詳細については、限定公開クラスタのコントロール プレーンをご覧ください。

推奨事項

GKE クラスタの詳細に移動し、VPC ネットワーク ピアリングを確認します。VPC ネットワーク ピアリングが削除された場合は、GKE クラスタを再度作成します。

ノード上の上り(内向き)ファイアウォールによって GKE コントロール プレーンからノードへの接続がブロックされる

この分析情報は、GKE コントロール プレーンからノードへの接続が、ノードの上り(内向き)ファイアウォールによってブロックされていることを示します。この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • コントロール プレーン エンドポイント: GKE コントロール プレーンの IP アドレス。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。
  • ブロックしている上り(内向き)ファイアウォール: コントロール プレーンからノードへの接続が上り(内向き)ファイアウォールによってブロックされている場合、このファイアウォールの名前が示されます。それ以外の場合、このフィールドは表示されません。
  • ポート: トラフィックがブロックされている GKE ノード上のポート。一般公開クラスタの場合、コントロール プレーンはポート 22 で GKE ノードと通信します。限定公開クラスタの場合、コントロール プレーンはポート 443 とポート 10250 で GKE ノードと通信します。

GKE のデフォルトでは、プロジェクト内のコントロール プレーンと GKE ノード間の通信を許可するファイアウォール ルールが作成されます。この分析情報は、これらのデフォルトのファイアウォール ルールが変更または削除されているか、自動的に作成されたファイアウォール ルールを VPC ネットワーク内の別のファイアウォール ルールがシャドーイングしていることを示しています。

詳細については、自動的に作成されたファイアウォール ルールファイアウォール ルールの概要をご覧ください。

推奨事項

  • 自動的に作成されたファイアウォール ルールが VPC ネットワークから削除された場合は、再作成します。
  • 自動的に作成されたファイアウォール ルールが存在する場合は、ブロックするファイアウォール ルールが優先されます。自動的に作成されたファイアウォール ルールの優先度を上げます。