GKE 控制平面连接数据分析

本页面介绍了 Google Kubernetes Engine (GKE) 控制平面连接的网络分析器数据分析。如需了解所有数据分析类型,请参阅数据分析组和类型

网络分析器会检测 GKE 控制平面启动与 GKE 节点的连接时由配置引起的连接问题。

在 Recommender API 中查看数据分析

如需在 Google Cloud CLI 或 Recommender API 中查看这些数据分析,请使用以下数据分析类型:

  • google.networkanalyzer.container.connectivityInsight

您需要以下权限:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

如需详细了解如何使用 Recommender API 获取网络分析器数据分析,请参阅使用 Recommender CLI 和 API

GKE 控制平面到节点的连接被路由问题阻止

此数据分析表示,从 GKE 控制平面到节点的连接由于路由问题被阻止。此数据分析包括以下信息:

  • GKE 集群:GKE 集群的名称。
  • 控制平面端点:端点的 IP 地址。
  • 网络:在其中配置了 GKE 集群的网络的名称。

在专用集群中,控制平面的 VPC 网络通过 VPC 网络对等互连连接到集群的 VPC 网络。流量会使用 VPC 网络对等互连配置导入的对等互连子网路由路由到控制平面。此数据分析不应在公共集群中出现。

如需了解详情,请参阅专用集群中的控制平面

建议

进入 GKE 集群详情并验证 VPC 网络对等互连。如果 VPC 网络对等互连已删除,请再次创建 GKE 集群。

GKE 控制平面到节点的连接被节点上的入站防火墙阻止

此数据分析表明,从 GKE 控制平面到节点的连接被节点上的入站防火墙阻止。此数据分析包括以下信息:

  • GKE 集群:GKE 集群的名称。
  • 控制平面端点:GKE 控制平面的 IP 地址。
  • 网络:在其中配置了 GKE 集群的网络的名称。
  • 阻止入站防火墙:如果从控制平面到节点的连接被入站防火墙阻止,则此字段会显示此防火墙的名称;否则,此字段不会显示。
  • 端口:GKE 节点上阻止流量的端口。对于公共集群,控制平面与端口 22 上的 GKE 节点通信。对于专用集群,控制平面与端口 443 和端口 10250 上的 GKE 节点通信。

默认情况下,GKE 会创建防火墙规则,以允许在项目中的控制平面与 GKE 节点之间进行通信。此数据分析表明,这些默认防火墙规则已修改或已移除,或者您的 VPC 网络中的另一条防火墙规则正在覆盖自动创建的防火墙规则。

如需了解详情,请参阅自动创建的防火墙规则防火墙规则概览

建议

  • 如果自动创建的防火墙规则已从您的 VPC 网络中删除,请重新创建。
  • 如果存在自动创建的防火墙规则,则阻止防火墙规则的优先级更高。请提高自动创建的防火墙规则的优先级。