Nesta página, descrevemos os insights do Network Analyzer sobre a conectividade do plano de controle do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.
O Network Analyzer detecta problemas de conectividade causados por configurações quando o plano de controle do GKE inicia uma conexão com um nó do GKE.
Ver insights na API Recommender
Para ver esses insights na CLI do Google Cloud ou na API Recommender, use o seguinte tipo de insight:
google.networkanalyzer.container.connectivityInsight
Você precisa das seguintes permissões:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Para mais informações sobre o uso da API Recommender para insights do Network Analyzer, consulte Usar a CLI e a API do recomendador.
Conectividade do plano de controle do GKE ao nó bloqueada por problema de roteamento
Indica que a conexão do plano de controle do GKE ao nó é bloqueada por um problema de roteamento. Esse insight inclui as seguintes informações:
- Cluster do GKE: o nome do cluster do GKE.
- Endpoint do plano de controle: o endereço IP do endpoint.
- Rede: o nome da rede em que o cluster do GKE está configurado.
Em clusters particulares, a rede VPC do plano de controle está conectada à rede VPC do cluster com o Peering de rede VPC. O tráfego é encaminhado para o plano de controle usando uma rota de sub-rede de peering importada pela configuração de peering de rede VPC. Esse insight não deveria ocorrer em clusters públicos.
Temas relacionados
Para mais informações, consulte Plano de controle em clusters particulares.
recomendações
Acesse os detalhes do cluster do GKE e verifique o peering de rede VPC. Se o peering de rede VPC foi excluído, crie o cluster do GKE novamente.
Conectividade do plano de controle do GKE ao nó bloqueada pelo firewall de entrada no nó
Indica que a conexão do plano de controle do GKE ao nó está bloqueada por um firewall de entrada no nó. Esse insight inclui as seguintes informações:
- Cluster do GKE: o nome do cluster do GKE.
- Endpoint do plano de controle: o endereço IP do plano de controle do GKE.
- Rede: o nome da rede em que o cluster do GKE está configurado.
- Firewall de entrada de bloqueio: se a conectividade do plano de controle ao nó for bloqueado por um firewall de entrada, ele mostrará o nome desse firewall; caso contrário, esse campo não será exibido.
- Portas: as portas nos nós do GKE que têm o tráfego bloqueado. Para clusters públicos, o plano de controle se comunica com os nós do GKE na porta 22. Para clusters particulares, o plano de controle se comunica com os nós do GKE nas portas 443 e 10250.
Por padrão, o GKE cria regras de firewall para permitir a comunicação entre o plano de controle e os nós do GKE no seu projeto. Esse insight indica que essas regras de firewall padrão foram modificadas ou removidas ou que outra regra de firewall na sua rede VPC está ocultando as regras de firewall criadas automaticamente.
Temas relacionados
Para mais informações, consulte Regras de firewall criadas automaticamente e Visão geral de regras de firewall.
Recomendações
- Se a regra de firewall criada automaticamente for excluída da sua rede VPC, recrie-a.
- Se a regra de firewall criada automaticamente existir, a regra de firewall de bloqueio terá prioridade mais alta. Aumente a prioridade na regra de firewall criada automaticamente.