Auf dieser Seite werden die Network Analyzer-Statistiken für Dienstkonten von Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.
Verwenden Sie den folgenden Statistiktyp, um diese Statistiken in der gcloud CLI oder Recommender API anzusehen:
google.networkanalyzer.container.serviceAccountInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeServiceAccountInsights.listrecommender.networkAnalyzerGkeServiceAccountInsights.get
Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.
Dienstkonto für GKE-Knoten ist deaktiviert
Diese Information deutet darauf hin, dass mindestens ein Pool im Cluster ein deaktiviertes GKE-Knotendienstkonto verwendet, was zu einem Fehler beim Bootstrap und der Registrierung von Knoten im Cluster führen kann, wenn das Dienstkonto deaktiviert wird.
Dies enthält folgende Informationen:
- Dienstkonto: Eine spezielle Art von Konto, das normalerweise von einer Anwendung oder Rechenarbeitslast wie einer Compute Engine-Instanz statt von einer Person verwendet wird. Es wird anhand seiner E-Mail-Adresse identifiziert, die für das Konto eindeutig ist. Diese Informationen sind in der Recommender API verfügbar.
- GKE-Cluster:Name des GKE-Clusters
- Knotenpools: Eine Liste von Knotenpools, die das deaktivierte Dienstkonto verwenden
Weitere Informationen
Weitere Informationen finden Sie unter Compute Engine-Standarddienstkonto aktivieren und Dienstkonto deaktivieren.
Empfehlungen
Aktivieren Sie das Knotendienstkonto. Wenn sich in den betroffenen Knotenpools nicht registrierte Knoten befinden, werden die Knoten neu gestartet und ordnungsgemäß beim Cluster registriert. Es kann einige Zeit dauern, bis alle Knoten neu gestartet sind. Für eine schnelle Lösung empfehlen wir, die resize oder einen neuen Knotenpool zu erstellen, der dasselbe Knotendienstkonto verwendet.
GKE-Knotenpool verwendet das Compute Engine-Standarddienstkonto
Ein Knotenpool in Ihrem GKE-Cluster verwendet das Compute Engine-Standarddienstkonto als Knotendienstkonto. Dieses Konto benötigt mehr Berechtigungen, als zum Ausführen des Google Kubernetes Engine-Clusters erforderlich sind.
Dies enthält folgende Informationen:
- GKE-Cluster:Name des GKE-Clusters
- Knotenpools: Eine Liste von Knotenpools, die das Standarddienstkonto verwenden
Weitere Informationen
Weitere Informationen finden Sie unter Dienstkonten mit geringster Berechtigung verwenden.
Empfehlungen
Erstellen und verwenden Sie anstelle des Compute Engine-Standarddienstkontos ein weniger privilegiertes Dienstkonto für Ihre Knoten.
GKE-Knotenpool hat falsch konfigurierte Zugriffsbereiche
Ein Knotenpool in Ihrem GKE-Cluster hat manuell angegebene Zugriffsbereiche, die angegebenen Bereiche reichen jedoch nicht aus, um einen Knoten zu registrieren.
Wenn Ihre Arbeitslasten Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) verwenden, sind Zugriffsbereiche die Legacy-Methode zum Gewähren von Berechtigungen für Ihre Knoten und für die Arbeitslasten, die auf Ihren Knoten ausgeführt werden. Verwenden Sie für GKE-Knoten immer mindestens die Standardbereiche, da sie sonst nicht registriert werden können.
Dies enthält folgende Informationen:
- GKE-Cluster:Name des GKE-Clusters
- Knotenpools: eine Liste von Knotenpools mit falsch konfigurierten Zugriffsbereichen
Weitere Informationen
Weitere Informationen finden Sie unter Zugriffsbereiche in GKE.
Empfehlungen
Ersetzen Sie den Knotenpool durch einen Pool mit ausreichenden Zugriffsbereichen. Führen Sie einen der folgenden Schritte aus, um einen Knotenpool mit ausreichenden Zugriffsbereichen zu erstellen:
Erstellen Sie den neuen Knotenpool, ohne Zugriffsbereiche anzugeben. Geben Sie in der Google Cloud CLI beim Aufrufen von
gcloud container node-pools createnicht das Flag--scopesan.Verwenden Sie IAM-Berechtigungen (Identity and Access Management) oder die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) von Kubernetes, um Arbeitslasten zu autorisieren, die auf Ihren Knoten ausgeführt werden. Dadurch wird Zugriff auf bestimmte IAM- oder Kubernetes-Dienstkonten gewährt. Weitere Informationen finden Sie unter Benutzerdefiniertes Dienstkonto für Arbeitslasten konfigurieren.
Fügen Sie die folgenden Bereiche in die neue Knotenpoolliste mit manuell angegebenen Zugriffsbereichen ein.
https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/service.management.readonlyhttps://www.googleapis.com/auth/servicecontrolhttps://www.googleapis.com/auth/trace.appendhttps://www.googleapis.com/auth/logging.writehttps://www.googleapis.com/auth/monitoring.write