GKE コントロール プレーン接続の分析情報

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

ネットワーク アナライザは、GKE コントロール プレーンが GKE ノードとの接続を開始するときに、構成に起因する接続の問題を検出します。

ルーティングの問題で GKE コントロール プレーンからノードへの接続がブロックされる

GKE コントロール プレーンからノードへの接続がルーティングの問題によってブロックされていることを示します。この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • コントロール プレーン エンドポイント: エンドポイントの IP アドレス。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。

限定公開クラスタでは、コントロール プレーンの VPC ネットワークが VPC ネットワーク ピアリングによりクラスタの VPC ネットワークに接続します。トラフィックは、VPC ネットワーク ピアリング構成によってインポートされたピアリング サブネット ルートを使用して、コントロール プレーンに転送されます。この分析情報は、一般公開クラスタでは発生しません。

詳細については、限定公開クラスタのコントロール プレーンをご覧ください。

推奨事項

GKE クラスタの詳細に移動し、VPC ピアリングを確認します。VPC ピアリングが削除された場合は、GKE クラスタを再度作成します。

ノード上の上り(内向き)ファイアウォールによって GKE コントロール プレーンからノードへの接続がブロックされる

GKE コントロール プレーンからノードへの接続が、ノードの上り(内向き)ファイアウォールによってブロックされていることを示します。この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • コントロール プレーン エンドポイント: GKE コントロール プレーンの IP アドレス。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。
  • ブロックしている上り(内向き)ファイアウォール: コントロール プレーンからノードへの接続が上り(内向き)ファイアウォールによってブロックされている場合、このファイアウォールの名前が示されます。それ以外の場合、このフィールドは表示されません。
  • ポート: トラフィックがブロックされている GKE ノード上のポート。一般公開クラスタの場合、コントロール プレーンはポート 22 で GKE ノードと通信します。限定公開クラスタの場合、コントロール プレーンはポート 443 と 10250 で GKE ノードと通信します。

GKE のデフォルトでは、プロジェクト内のコントロール プレーンと GKE ノード間の通信を許可するファイアウォール ルールが作成されます。この分析情報は、これらのデフォルトのファイアウォール ルールが変更または削除されているか、自動的に作成されたファイアウォール ルールを VPC ネットワーク内の別のファイアウォール ルールがシャドーイングしていることを示しています。

詳細については、自動的に作成されたファイアウォール ルールファイアウォール ルールの概要をご覧ください。

推奨事項

  • 自動的に作成されたファイアウォール ルールが VPC ネットワークから削除された場合は、再作成します。
  • 自動的に作成されたファイアウォール ルールが存在する場合は、ブロックするファイアウォール ルールが優先されます。自動的に作成されたファイアウォール ルールの優先度を上げます。