Questa pagina descrive gli insight di Network Analyzer per la connettività al piano di controllo di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando il piano di controllo GKE avvia una connessione con un nodo GKE.
Visualizza insight nell'API Recommender
Per visualizzare questi insight in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per saperne di più sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizzare l'interfaccia a riga di comando e l'API Recommender.
Connettività dal piano di controllo GKE al nodo bloccata da un problema di routing
Questo insight indica che la connessione dal piano di controllo GKE al nodo è bloccata da un problema di routing. Questo insight include le seguenti informazioni:
- Cluster GKE: il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP dell'endpoint.
- Rete: il nome della rete in cui è configurato il cluster GKE.
Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster tramite peering di rete VPC. Il traffico viene instradato al piano di controllo utilizzando una route della subnet di peering importata dalla configurazione di peering di rete VPC. Questo insight non deve verificarsi in cluster pubblici.
Argomenti correlati
Per maggiori informazioni, consulta Piano di controllo nei cluster privati.
Suggerimenti
Vai ai dettagli del cluster GKE e verifica il peering di rete VPC. Se il peering di rete VPC viene eliminato, crea di nuovo il cluster GKE.
Connettività dal piano di controllo GKE al nodo bloccata dal firewall in entrata sul nodo
Questo insight indica che la connessione dal piano di controllo GKE al nodo è bloccata da un firewall in entrata sul nodo. Questo insight include le seguenti informazioni:
- Cluster GKE: il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP del piano di controllo GKE.
- Rete: il nome della rete in cui è configurato il cluster GKE.
- Firewall in entrata di blocco: se la connettività dal piano di controllo al nodo è bloccata da un firewall in entrata, viene mostrato il nome di questo firewall; in caso contrario, questo campo non viene visualizzato.
- Porte:le porte sui nodi GKE in cui il traffico è bloccato. Per i cluster pubblici, il piano di controllo comunica con i nodi GKE sulla porta 22. Per i cluster privati, il piano di controllo comunica con i nodi GKE sulla porta 443 e sulla porta 10250.
Per impostazione predefinita, GKE crea regole firewall per consentire la comunicazione tra il piano di controllo e i nodi GKE nel tuo progetto. Questo insight indica che queste regole firewall predefinite sono state modificate o rimosse oppure che un'altra regola firewall nella tua rete VPC sta eseguendo lo shadowing delle regole firewall create automaticamente.
Argomenti correlati
Per ulteriori informazioni, consulta Regole firewall create automaticamente e Panoramica delle regole firewall.
Suggerimenti
- Se la regola firewall creata automaticamente viene eliminata dalla rete VPC, ricreala.
- Se esiste la regola firewall creata automaticamente, la regola firewall di blocco ha una priorità più elevata. Aumenta la priorità della regola firewall creata automaticamente.