In questa pagina vengono descritti gli insight di Network Analyzer per la connettività del piano di controllo di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando il piano di controllo GKE avvia una connessione con un nodo GKE.
Visualizza insight nell'API Recommender
Per visualizzare questi insight in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizzare l'interfaccia a riga di comando e l'API Recommender.
Connettività dal piano di controllo GKE al nodo bloccata a causa di un problema di routing
Indica che la connessione dal piano di controllo GKE al nodo è bloccata da un problema di routing. Questo approfondimento include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP dell'endpoint.
- Rete: il nome della rete in cui è configurato il cluster GKE.
Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster tramite il peering di rete VPC. Il traffico viene instradato al piano di controllo utilizzando una route di subnet di peering importata dalla configurazione di peering di rete VPC. Questo insight non deve verificarsi in cluster pubblici.
Argomenti correlati
Per maggiori informazioni, consulta Piano di controllo nei cluster privati.
Suggerimenti
Vai ai dettagli del cluster GKE e verifica il peering di rete VPC. Se il peering di rete VPC viene eliminato, crea di nuovo il cluster GKE.
Connettività del piano di controllo GKE al nodo bloccata dal firewall in entrata sul nodo
Indica che la connessione dal piano di controllo GKE al nodo è bloccata da un firewall in entrata sul nodo. Questo insight include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE.
- Endpoint del piano di controllo: l'indirizzo IP del piano di controllo GKE.
- Rete: il nome della rete in cui è configurato il cluster GKE.
- Blocco del firewall in entrata: se la connettività dal piano di controllo al nodo è bloccata da un firewall in entrata, viene visualizzato il nome di questo firewall, altrimenti questo campo non viene visualizzato.
- Porte: le porte sui nodi GKE con il traffico bloccato. Per i cluster pubblici, il piano di controllo comunica con i nodi GKE sulla porta 22. Per i cluster privati, il piano di controllo comunica con i nodi GKE sulla porta 443 e 10250.
Per impostazione predefinita, GKE crea regole firewall per consentire la comunicazione tra il piano di controllo e i nodi GKE nel progetto. Questo insight indica che queste regole firewall predefinite sono state modificate o rimosse oppure che un'altra regola firewall nella tua rete VPC esegue lo shadowing delle regole firewall create automaticamente.
Argomenti correlati
Per maggiori informazioni, consulta Regole firewall create automaticamente e Panoramica delle regole firewall.
Suggerimenti
- Se la regola firewall creata automaticamente viene eliminata dalla rete VPC, ricreala.
- Se esiste una regola firewall creata automaticamente, questa ha una priorità più elevata. Aumentare la priorità della regola firewall creata automaticamente.