Auf dieser Seite werden die Network Analyzer-Statistiken für die Konnektivität der Steuerungsebene der Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.
Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, wenn die GKE-Steuerungsebene eine Verbindung mit einem GKE-Knoten initiiert.
Statistiken in der Recommender API ansehen
Verwenden Sie den folgenden Insight-Typ, um diese Statistiken in der Google Cloud CLI oder der Recommender API anzuzeigen:
google.networkanalyzer.container.connectivityInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeConnectivityInsights.list
recommender.networkAnalyzerGkeConnectivityInsights.get
Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.
Verbindung von der GKE-Steuerungsebene zum Knoten wird durch ein Routingproblem blockiert
Dieser Insight gibt an, dass die Verbindung von der GKE-Steuerungsebene zum Knoten durch ein Routingproblem blockiert wird. Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
- Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. Diese Statistik sollte nicht in öffentlichen Clustern erfolgen.
Weitere Informationen
Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.
Empfehlungen
Rufen Sie die GKE-Clusterdetails auf und prüfen Sie das VPC-Netzwerk-Peering. Erstellen Sie den GKE-Cluster noch einmal, wenn das VPC-Netzwerk-Peering gelöscht wird.
Verbindung von der GKE-Steuerungsebene zum Knoten wird durch eine Firewall für eingehenden Traffic auf dem Knoten blockiert
Diese Information gibt an, dass die Verbindung von der GKE-Steuerungsebene zum Knoten durch eine Firewall für eingehenden Traffic auf dem Knoten blockiert wird. Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Endpunkt der Steuerungsebene: Die IP-Adresse der GKE-Steuerungsebene.
- Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
- Eingehenden Traffic blockierende Firewall: Wenn die Verbindung von der Steuerungsebene zum Knoten durch eine Firewall für eingehenden Traffic blockiert wird, wird der Name dieser Firewall angezeigt. Andernfalls wird dieses Feld nicht angezeigt.
- Ports: Die Ports auf den GKE-Knoten, für die der Traffic blockiert ist. Bei öffentlichen Clustern kommuniziert die Steuerungsebene mit GKE-Knoten an Port 22. Bei privaten Clustern kommuniziert die Steuerungsebene mit den GKE-Knoten auf Port 443 und Port 10250.
Standardmäßig erstellt GKE Firewallregeln, um die Kommunikation zwischen der Steuerungsebene und den GKE-Knoten in Ihrem Projekt zu ermöglichen. Diese Information gibt an, dass diese Standard-Firewallregeln geändert oder entfernt wurden oder dass eine andere Firewallregel in Ihrem VPC-Netzwerk die automatisch erstellten Firewallregeln verdeckt.
Weitere Informationen
Weitere Informationen finden Sie unter Automatisch erstellte Firewallregeln und Übersicht über Firewallregeln.
Empfehlungen
- Wenn die automatisch erstellte Firewallregel aus Ihrem VPC-Netzwerk gelöscht wurde, erstellen Sie sie neu.
- Wenn die automatisch erstellte Firewallregel vorhanden ist, hat die blockierende Firewallregel eine höhere Priorität. Erhöhen Sie die Priorität der automatisch erstellten Firewallregel.