Questa pagina descrive gli approfondimenti di Network Analyzer per la connettività del piano di controllo di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando il control plane GKE avvia una connessione con un nodo GKE.
Visualizzare gli approfondimenti nell'API Recommender
Per visualizzare questi approfondimenti in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di approfondimento:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli approfondimenti di Network Analyzer, consulta Utilizzare l'API e la CLI Recommender.
La connettività dal control plane GKE al nodo è bloccata da un problema di routing
Questa informazione indica che la connessione dal control plane GKE al nodo è bloccata da un problema di routing. Questo insight include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP dell'endpoint.
- Rete:il nome della rete in cui è configurato il cluster GKE.
Nei cluster privati, la rete VPC del control plane è collegata alla rete VPC del cluster tramite il peering di rete VPC. Il traffico viene indirizzato al control plane utilizzando una route di subnet di peering importata dalla configurazione del peering di rete VPC. Questo insight non dovrebbe verificarsi nei cluster pubblici.
Argomenti correlati
Per ulteriori informazioni, consulta Piano di controllo nei cluster privati.
Consigli
Vai ai dettagli del cluster GKE e verifica il peering di rete VPC. Se il peering di rete VPC viene eliminato, crea di nuovo il cluster GKE.
La connettività dal control plane di GKE al nodo è bloccata dal firewall in entrata sul nodo
Questo insight indica che la connessione dal control plane GKE al nodo è bloccata da un firewall in entrata sul nodo. Questa informazione include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP del piano di controllo GKE.
- Rete:il nome della rete in cui è configurato il cluster GKE.
- Firewall in entrata che blocca: se la connettività dal piano di controllo al nodo è bloccata da un firewall in entrata, viene mostrato il nome di questo firewall; in caso contrario, questo campo non viene visualizzato.
- Porte:le porte sui nodi GKE per le quali è bloccato il traffico. Per i cluster pubblici, il piano di controllo comunica con i nodi GKE sulla porta 22. Per i cluster privati, il piano di controllo comunica con i nodi GKE sulla porta 443 e sulla porta 10250.
Per impostazione predefinita, GKE crea regole firewall per consentire la comunicazione tra il piano di controllo e i nodi GKE nel progetto. Questo insight indica che queste regole firewall predefinite sono state modificate o rimosse oppure che un'altra regola firewall nella rete VPC oscura le regole firewall create automaticamente.
Argomenti correlati
Per ulteriori informazioni, consulta Regole firewall create automaticamente e Panoramica delle regole firewall.
Consigli
- Se la regola firewall creata automaticamente viene eliminata dalla rete VPC, ricréala.
- Se esiste la regola firewall creata automaticamente, la regola firewall di blocco ha una priorità più alta. Aumenta la priorità della regola firewall creata automaticamente.