Auf dieser Seite werden die Network Analyzer-Statistiken für Statistiken zum Dienstkonto für Google Kubernetes Engine-Knoten (GKE) Informationen zu finden Sie unter Statistikgruppen und -typen:
So rufen Sie diese Statistiken in der gcloud CLI oder Recommender API auf: verwenden Sie folgenden Statistiktyp:
google.networkanalyzer.container.serviceAccountInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeServiceAccountInsights.listrecommender.networkAnalyzerGkeServiceAccountInsights.get
Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.
Dienstkonto für GKE-Knoten ist deaktiviert
Diese Erkenntnis deutet darauf hin, dass mindestens ein Pool im Cluster einen deaktiviertes Dienstkonto für GKE-Knoten, was zu Fehlern führen könnte Bootstrap und Registrierung aller Knoten im Cluster, die erstellt wurden, Dienstkonto ist deaktiviert.
Dies enthält folgende Informationen:
- Dienstkonto:Eine spezielle Art von Konto, das in der Regel von einem Anwendungs- oder Rechenlast wie Compute Engine-Instanz, und nicht auf eine Person. Es wird anhand seiner E-Mail-Adresse, die für das Konto eindeutig ist. Diese Informationen sind verfügbar in der Recommender API.
- GKE-Cluster:Name des GKE-Clusters
- Knotenpools: Eine Liste von Knotenpools, die das deaktivierte Dienstkonto verwenden
Weitere Informationen
Weitere Informationen finden Sie unter Compute Engine-Standarddienstkonto aktivieren und Dienstkonto deaktivieren.
Empfehlungen
Aktivieren Sie das Knotendienstkonto. Wenn sich in den betroffenen Knotenpools nicht registrierte Knoten befinden, werden die Knoten und sich ordnungsgemäß beim Cluster registrieren. Das kann einige Zeit dauern damit alle Knoten neu gestartet werden. Für eine schnelle Lösung empfehlen wir Ihnen, die Größe des Knotenpools Knoten und zurück zu x Knoten oder erstellen Sie einen neuen Knotenpool, Knotendienstkonto zu ändern.
GKE-Knotenpool verwendet das Compute Engine-Standarddienstkonto
Ein Knotenpool in Ihrem GKE-Cluster verwendet die Compute Engine Standarddienstkonto als Knotendienstkonto verwenden. Für dieses Konto sind mehr Berechtigungen, als zum Ausführen des Google Kubernetes Engine-Clusters erforderlich sind.
Dies enthält folgende Informationen:
- GKE-Cluster:Name des GKE-Clusters
- Knotenpools: Eine Liste von Knotenpools, die das Standarddienstkonto verwenden
Weitere Informationen
Weitere Informationen finden Sie unter Verwenden Sie Dienstkonten mit der geringsten Berechtigung.
Empfehlungen
Anstelle des Compute Engine-Standarddienstkontos Verwenden Sie für Ihre Knoten ein Dienstkonto mit weniger Berechtigungen.
GKE-Knotenpool hat falsch konfigurierte Zugriffsbereiche
Ein Knotenpool in Ihrem GKE-Cluster hat manuell angegeben Die angegebenen Bereiche reichen jedoch nicht aus, um einen Knoten zu registrieren.
Wenn Ihre Arbeitslasten Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) Zugriffsbereiche sind die alten Methode zum Gewähren von Berechtigungen für Ihre Knoten und für die Arbeitslasten, die auf Ihren Knoten ausgeführt werden. Verwenden Sie für GKE-Knoten immer mindestens die Standardbereiche oder können sie sich nicht registrieren.
Dies enthält folgende Informationen:
- GKE-Cluster:Name des GKE-Clusters
- Knotenpools: eine Liste von Knotenpools mit falsch konfigurierten Zugriffsbereichen
Weitere Informationen
Weitere Informationen finden Sie unter Zugriffsbereiche in GKE
Empfehlungen
Ersetzen Sie den Knotenpool durch einen Pool mit ausreichenden Zugriffsbereichen. So erstellen Sie ein führen Sie einen der folgenden Schritte aus, wenn Sie einen Knotenpool mit ausreichenden Zugriffsbereichen haben:
Erstellen Sie den neuen Knotenpool, ohne Zugriffsbereiche anzugeben. Im Geben Sie in der Google Cloud CLI beim Aufruf nicht das Flag
--scopesan.gcloud container node-pools create.Verwenden Sie zum Autorisieren von Arbeitslasten, die auf Ihren Knoten ausgeführt werden, IAM-Berechtigungen (Identity and Access Management) oder Kubernetes rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC): Dadurch wird Zugriff auf bestimmte IAM-Dienstkonten oder Kubernetes-Dienstkonten. Weitere Informationen finden Sie unter Benutzerdefiniertes Dienstkonto für Arbeitslasten konfigurieren
Führen Sie in der neuen Knotenpoolliste mit manuell angegebenen Zugriffsbereichen folgende Schritte aus: fügen Sie die folgenden Bereiche hinzu.
https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/service.management.readonlyhttps://www.googleapis.com/auth/servicecontrolhttps://www.googleapis.com/auth/trace.appendhttps://www.googleapis.com/auth/logging.writehttps://www.googleapis.com/auth/monitoring.write