本页面介绍了 Google Kubernetes Engine (GKE) 控制平面连接的网络分析器数据分析。如需了解所有数据分析类型,请参阅数据分析组和类型。
网络分析器会检测 GKE 控制平面启动与 GKE 节点的连接时由配置引起的连接问题。
在 Recommender API 中查看数据分析
如需在 Google Cloud CLI 或 Recommender API 中查看这些数据分析,请使用以下数据分析类型:
google.networkanalyzer.container.connectivityInsight
您需要以下权限:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
如需详细了解如何使用 Recommender API 获取网络分析器数据分析,请参阅使用 Recommender CLI 和 API。
GKE 控制平面到节点的连接被路由问题阻止
此数据分析表明,从 GKE 控制平面到节点的连接已被路由问题阻止。此数据分析包括以下信息:
- GKE 集群:GKE 集群的名称。
- 控制平面端点:端点的 IP 地址。
- 网络:在其中配置了 GKE 集群的网络的名称。
在专用集群中,控制平面的 VPC 网络通过 VPC 网络对等互连连接到集群的 VPC 网络。流量会使用 VPC 网络对等互连配置导入的对等互连子网路由路由到控制平面。此数据分析不应出现在公共集群中。
相关主题
如需了解详情,请参阅专用集群中的控制平面。
建议
进入 GKE 集群详情并验证 VPC 网络对等互连。如果 VPC 网络对等互连已删除,请再次创建 GKE 集群。
GKE 控制平面到节点的连接被节点上的入站防火墙阻止
此数据分析表明,从 GKE 控制平面到节点的连接已被节点上的入站防火墙阻止。此数据分析包括以下信息:
- GKE 集群:GKE 集群的名称。
- 控制平面端点:GKE 控制平面的 IP 地址。
- 网络:在其中配置了 GKE 集群的网络的名称。
- 阻止入站防火墙:如果从控制平面到节点的连接被入站防火墙阻止,则此字段会显示此防火墙的名称;否则,此字段不会显示。
- 端口:GKE 节点上阻止流量的端口。对于公共集群,控制平面与端口 22 上的 GKE 节点通信。对于专用集群,控制平面与端口 443 和端口 10250 上的 GKE 节点通信。
默认情况下,GKE 会创建防火墙规则,以允许在项目中的控制平面与 GKE 节点之间进行通信。此数据分析表明,这些默认防火墙规则已修改或已移除,或者您的 VPC 网络中的另一条防火墙规则正在覆盖自动创建的防火墙规则。
相关主题
如需了解详情,请参阅自动创建的防火墙规则和防火墙规则概览。
建议
- 如果自动创建的防火墙规则已从您的 VPC 网络中删除,请重新创建。
- 如果存在自动创建的防火墙规则,则阻止防火墙规则的优先级更高。请提高自动创建的防火墙规则的优先级。