Insight akun layanan node GKE

Halaman ini menjelaskan insight Network Analyzer untuk insight akun layanan node Google Kubernetes Engine (GKE). Untuk informasi tentang semua jenis insight, lihat Grup dan jenis insight.

Untuk melihat insight ini di gcloud CLI atau Recommender API, gunakan jenis insight berikut:

  • google.networkanalyzer.container.serviceAccountInsight

Anda memerlukan izin berikut:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Untuk mengetahui informasi selengkapnya tentang penggunaan Recommender API untuk insight Network Analyzer, lihat Menggunakan Recommender CLI dan API.

Akun layanan node GKE dinonaktifkan

Menunjukkan bahwa satu atau beberapa kumpulan dalam cluster menggunakan akun layanan node GKE yang dinonaktifkan, yang dapat menyebabkan kegagalan bootstrap dan pendaftaran node apa pun dalam cluster yang dibuat saat akun layanan dinonaktifkan.

Insight ini mencakup informasi berikut:

  • Akun layanan: jenis akun khusus yang biasanya digunakan oleh aplikasi atau beban kerja komputasi, seperti instance Compute Engine, bukan pengguna. ID ini diidentifikasi dari alamat emailnya, yang unik untuk akun tersebut. Informasi ini tersedia di Recommender API.
  • Cluster GKE: nama cluster GKE
  • Kumpulan node: daftar kumpulan node yang menggunakan akun layanan yang dinonaktifkan

Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan akun layanan default Compute Engine dan Menonaktifkan akun layanan.

Rekomendasi

Aktifkan akun layanan node. Jika ada node yang tidak terdaftar dalam kumpulan node yang terpengaruh, node tersebut akan dimulai ulang dan didaftarkan dengan benar ke cluster. Mungkin perlu beberapa saat untuk memulai ulang semua {i>node<i}. Untuk resolusi cepat, sebaiknya resize kumpulan node menjadi nol node dan kembali ke node X atau buat kumpulan node baru yang menggunakan akun layanan node yang sama.

Kumpulan node GKE menggunakan akun layanan default Compute Engine

Kumpulan node di cluster GKE Anda menggunakan akun layanan default Compute Engine sebagai akun layanan node-nya. Akun ini memerlukan lebih banyak izin daripada yang diperlukan untuk menjalankan cluster Google Kubernetes Engine Anda.

Insight ini mencakup informasi berikut:

  • Cluster GKE: nama cluster GKE
  • Kumpulan node: daftar kumpulan node yang menggunakan akun layanan default

Untuk mengetahui informasi selengkapnya, lihat Menggunakan akun layanan dengan hak istimewa terendah.

Rekomendasi

Buat dan gunakan akun layanan dengan hak istimewa lebih rendah untuk node Anda, bukan akun layanan default Compute Engine.

Kumpulan node GKE memiliki cakupan akses yang salah dikonfigurasi

Kumpulan node di cluster GKE Anda memiliki cakupan akses yang ditentukan secara manual, tetapi cakupan yang ditentukan tidak cukup untuk mendaftarkan node.

Jika beban kerja Anda menggunakan Kredensial Default Aplikasi (ADC), cakupan akses adalah metode lama untuk memberikan izin bagi node dan beban kerja yang berjalan di node Anda. Untuk node GKE, selalu gunakan setidaknya cakupan default. Jika tidak, node tidak akan dapat mendaftar.

Insight ini mencakup informasi berikut:

  • Cluster GKE: nama cluster GKE
  • Kumpulan node: daftar kumpulan node dengan cakupan akses yang salah dikonfigurasi

Untuk mengetahui informasi selengkapnya, lihat Mengakses cakupan di GKE.

Rekomendasi

Ganti kumpulan node dengan kumpulan node yang memiliki cakupan akses yang memadai. Untuk membuat kumpulan node dengan cakupan akses yang memadai, lakukan salah satu hal berikut:

  • Membuat kumpulan node baru tanpa menentukan cakupan akses. Di Google Cloud CLI, jangan sertakan flag --scopes saat memanggil gcloud container node-pools create.

    Untuk mengizinkan workload yang berjalan pada node Anda, gunakan izin Identity and Access Management (IAM) atau role-based access control (RBAC) Kubernetes. Izin ini diberikan untuk memberikan akses ke akun layanan IAM atau akun layanan Kubernetes tertentu. Untuk informasi selengkapnya, lihat Mengonfigurasi akun layanan kustom untuk workload.

  • Pada daftar kumpulan node baru dari cakupan akses yang ditentukan secara manual, tambahkan cakupan berikut.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write