Insights sur la connectivité du plan de contrôle GKE

Cette page décrit les insights de Network Analyzer pour la connectivité du plan de contrôle Google Kubernetes Engine (GKE). Pour en savoir plus sur tous les types d'insights, consultez la section Groupes et types d'insights.

L'analyseur réseau détecte les problèmes de connectivité causés par les configurations lorsque le plan de contrôle GKE établit une connexion avec un nœud GKE.

Afficher les insights dans l'API Recommender

Pour afficher ces insights dans la Google Cloud CLI ou l'API Recommender, utilisez le type d'insight suivant:

  • google.networkanalyzer.container.connectivityInsight

Vous devez disposer des autorisations suivantes :

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Pour en savoir plus sur l'utilisation de l'API Recommender pour les insights de Network Analyzer, consultez la section Utiliser la CLI et l'API Recommender.

Connectivité du plan de contrôle GKE vers le nœud bloquée par un problème de routage

Cet insight indique que la connexion du plan de contrôle GKE au nœud est bloquée par un problème de routage. Cet insight inclut les informations suivantes:

  • Cluster GKE:nom du cluster GKE.
  • Point de terminaison du plan de contrôle:adresse IP du point de terminaison.
  • Réseau:nom du réseau dans lequel le cluster GKE est configuré.

Dans les clusters privés, le réseau VPC du plan de contrôle est connecté au réseau VPC de votre cluster via l'appairage de réseaux VPC. Le trafic est acheminé vers le plan de contrôle à l'aide d'une route de sous-réseau d'appairage importée par la configuration d'appairage de réseaux VPC. Cet insight ne doit pas se produire dans les clusters publics.

Pour en savoir plus, consultez la section Plan de contrôle dans les clusters privés.

Recommandations

Accédez aux détails du cluster GKE et vérifiez l'appairage de réseaux VPC. Si l'appairage de réseaux VPC est supprimé, créez à nouveau le cluster GKE.

Connectivité du plan de contrôle GKE vers le nœud bloquée par le pare-feu d'entrée sur le nœud

Cet insight indique que la connexion du plan de contrôle GKE au nœud est bloquée par un pare-feu d'entrée sur le nœud. Ces insights incluent les informations suivantes:

  • Cluster GKE:nom du cluster GKE.
  • Point de terminaison du plan de contrôle:adresse IP du plan de contrôle GKE.
  • Réseau:nom du réseau dans lequel le cluster GKE est configuré.
  • Blocage du pare-feu d'entrée:si la connectivité du plan de contrôle vers le nœud est bloquée par un pare-feu d'entrée, le nom de ce pare-feu s'affiche. Sinon, ce champ n'est pas affiché.
  • Ports:ports sur les nœuds GKE où le trafic est bloqué. Pour les clusters publics, le plan de contrôle communique avec les nœuds GKE sur le port 22. Pour les clusters privés, le plan de contrôle communique avec les nœuds GKE sur les ports 443 et 10250.

Par défaut, GKE crée des règles de pare-feu pour autoriser la communication entre le plan de contrôle et les nœuds GKE de votre projet. Cet insight indique que ces règles de pare-feu par défaut ont été modifiées ou supprimées, ou qu'une autre règle de pare-feu de votre réseau VPC masque les règles de pare-feu créées automatiquement.

Pour en savoir plus, consultez les pages Règles de pare-feu créées automatiquement et Présentation des règles de pare-feu.

Recommandations

  • Si la règle de pare-feu créée automatiquement est supprimée de votre réseau VPC, recréez-la.
  • Si la règle de pare-feu créée automatiquement existe, alors la règle de pare-feu bloquante a une priorité plus élevée. Augmentez la priorité de la règle de pare-feu créée automatiquement.