Cette page décrit les insights de Network Analyzer pour la connectivité du plan de contrôle Google Kubernetes Engine (GKE). Pour en savoir plus sur tous les types d'insights, Groupes et types d'insights.
L'analyseur réseau détecte les problèmes de connectivité causés par les configurations lorsque le plan de contrôle GKE établit une connexion avec un nœud GKE.
Afficher les insights dans l'API Recommender
Pour afficher ces insights dans la Google Cloud CLI ou l'API Recommender, utilisez le type d'insight suivant:
google.networkanalyzer.container.connectivityInsight
Vous devez disposer des autorisations suivantes :
recommender.networkAnalyzerGkeConnectivityInsights.list
recommender.networkAnalyzerGkeConnectivityInsights.get
Pour en savoir plus sur l'utilisation de l'API Recommender pour Insights de Network Analyzer, consultez Utiliser l'API et l'interface de ligne de commande de l'outil de recommandation.
Connectivité du plan de contrôle GKE vers le nœud bloquée par un problème de routage
Cet insight indique que la connexion émise par le contrôleur GKE au nœud est bloqué par un problème de routage. Cet insight inclut les informations suivantes:
- Cluster GKE:nom du cluster GKE.
- Point de terminaison du plan de contrôle:adresse IP du point de terminaison.
- Réseau:nom du réseau dans lequel le cluster GKE est configuré.
Dans les clusters privés, le réseau VPC du plan de contrôle est connecté au réseau VPC de votre cluster via l'appairage de réseaux VPC. Le trafic est acheminé vers le plan de contrôle à l'aide d'une route de sous-réseau d'appairage importée par la configuration d'appairage de réseaux VPC. Cet insight ne doivent pas se produire dans des clusters publics.
Articles associés
Pour en savoir plus, consultez la section Plan de contrôle dans les clusters privés.
Recommandations
Accédez aux détails du cluster GKE et vérifiez l'appairage des réseaux VPC. Si l'appairage de réseaux VPC est supprimé, créez à nouveau le cluster GKE.
Connectivité du plan de contrôle GKE vers le nœud bloquée par le pare-feu d'entrée sur le nœud
Cet insight indique que la connexion émise par le contrôleur GKE au nœud est bloqué par un pare-feu d'entrée sur le nœud. Ces insights incluent les informations suivantes:
- Cluster GKE:nom du cluster GKE.
- Point de terminaison du plan de contrôle:adresse IP du plan de contrôle GKE.
- Réseau:nom du réseau dans lequel le cluster GKE est configuré.
- Blocage du pare-feu d'entrée:si la connectivité du plan de contrôle vers le nœud est bloquée par un pare-feu d'entrée, le nom de ce pare-feu s'affiche. Sinon, ce champ n'est pas affiché.
- Ports:les ports des nœuds GKE qui reçoivent le trafic bloqués. Pour les clusters publics, le plan de contrôle communique avec les nœuds GKE sur le port 22. Pour les clusters privés, le plan de contrôle communique avec les nœuds GKE sur les ports 443 et 10250.
Par défaut, GKE crée des règles de pare-feu pour autoriser la communication entre le plan de contrôle et les nœuds GKE de votre projet. Cet insight indique que ces règles de pare-feu par défaut ont été modifiées ou supprimées, ou qu'une autre règle de pare-feu de votre réseau VPC masque les règles de pare-feu créées automatiquement.
Articles associés
Pour en savoir plus, consultez les pages Règles de pare-feu créées automatiquement et Présentation des règles de pare-feu.
Recommandations
- Si la règle de pare-feu créée automatiquement est supprimée de votre réseau VPC, recréez-la.
- Si la règle de pare-feu créée automatiquement existe, alors la règle de pare-feu bloquante a une priorité plus élevée. Augmentez la priorité de la règle de pare-feu créée automatiquement.