Insights: Konnektivität der GKE-Steuerungsebene

Auf dieser Seite werden die Network Analyzer-Statistiken für die Konnektivität der Steuerungsebene der Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.

Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, wenn die GKE-Steuerungsebene eine Verbindung mit einem GKE-Knoten initiiert.

Statistiken in der Recommender API ansehen

Verwenden Sie den folgenden Insight-Typ, um diese Statistiken in der Google Cloud CLI oder der Recommender API anzuzeigen:

  • google.networkanalyzer.container.connectivityInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

Verbindung von der GKE-Steuerungsebene zum Knoten wird durch ein Routingproblem blockiert

Dieser Insight gibt an, dass die Verbindung von der GKE-Steuerungsebene zum Knoten durch ein Routingproblem blockiert wird. Dies enthält folgende Informationen:

  • GKE-Cluster: Der Name des GKE-Clusters.
  • Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
  • Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.

In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. Diese Statistik sollte nicht in öffentlichen Clustern erfolgen.

Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.

Empfehlungen

Rufen Sie die GKE-Clusterdetails auf und prüfen Sie das VPC-Netzwerk-Peering. Erstellen Sie den GKE-Cluster noch einmal, wenn das VPC-Netzwerk-Peering gelöscht wird.

Verbindung von der GKE-Steuerungsebene zum Knoten wird durch eine Firewall für eingehenden Traffic auf dem Knoten blockiert

Diese Information gibt an, dass die Verbindung von der GKE-Steuerungsebene zum Knoten durch eine Firewall für eingehenden Traffic auf dem Knoten blockiert wird. Dies enthält folgende Informationen:

  • GKE-Cluster: Der Name des GKE-Clusters.
  • Endpunkt der Steuerungsebene: Die IP-Adresse der GKE-Steuerungsebene.
  • Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
  • Eingehenden Traffic blockierende Firewall: Wenn die Verbindung von der Steuerungsebene zum Knoten durch eine Firewall für eingehenden Traffic blockiert wird, wird der Name dieser Firewall angezeigt. Andernfalls wird dieses Feld nicht angezeigt.
  • Ports: Die Ports auf den GKE-Knoten, für die der Traffic blockiert ist. Bei öffentlichen Clustern kommuniziert die Steuerungsebene mit GKE-Knoten an Port 22. Bei privaten Clustern kommuniziert die Steuerungsebene mit den GKE-Knoten auf Port 443 und Port 10250.

Standardmäßig erstellt GKE Firewallregeln, um die Kommunikation zwischen der Steuerungsebene und den GKE-Knoten in Ihrem Projekt zu ermöglichen. Diese Information gibt an, dass diese Standard-Firewallregeln geändert oder entfernt wurden oder dass eine andere Firewallregel in Ihrem VPC-Netzwerk die automatisch erstellten Firewallregeln verdeckt.

Weitere Informationen finden Sie unter Automatisch erstellte Firewallregeln und Übersicht über Firewallregeln.

Empfehlungen

  • Wenn die automatisch erstellte Firewallregel aus Ihrem VPC-Netzwerk gelöscht wurde, erstellen Sie sie neu.
  • Wenn die automatisch erstellte Firewallregel vorhanden ist, hat die blockierende Firewallregel eine höhere Priorität. Erhöhen Sie die Priorität der automatisch erstellten Firewallregel.