In questa pagina vengono descritti gli insight di Network Analyzer per gli insight sugli account di servizio dei nodi Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Per visualizzare questi insight in gcloud CLI o nell'API Recommender, utilizza il tipo di insight seguente:
google.networkanalyzer.container.serviceAccountInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeServiceAccountInsights.list
recommender.networkAnalyzerGkeServiceAccountInsights.get
Per saperne di più sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizzare l'interfaccia a riga di comando e l'API Recommender.
L'account di servizio del nodo GKE è disabilitato
Questo insight indica che uno o più pool nel cluster utilizzano un account di servizio dei nodi GKE disabilitato, il che potrebbe causare il mancato bootstrap e la registrazione di eventuali nodi nel cluster creato quando l'account di servizio viene disabilitato.
Questo insight include le seguenti informazioni:
- Account di servizio: un tipo speciale di account generalmente utilizzato da un'applicazione o da un carico di lavoro di computing, ad esempio un'istanza di Compute Engine, anziché da una persona. È identificato dall'indirizzo email, che è univoco per l'account. Queste informazioni sono disponibili nell'API Recommender.
- Cluster GKE:il nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio disabilitato.
Argomenti correlati
Per ulteriori informazioni, consulta Abilitare l'account di servizio predefinito di Compute Engine e Disabilitare un account di servizio.
Suggerimenti
Abilita l'account di servizio nodo. Se sono presenti nodi non registrati nei pool di nodi interessati, questi verranno riavviati e registrati correttamente nel cluster. Il riavvio di tutti i nodi potrebbe richiedere del tempo. Per una risoluzione rapida, ti consigliamo di resize il pool di nodi a zero nodi e di riportarlo a X nodi oppure di creare un nuovo pool di nodi che utilizzi lo stesso account di servizio dei nodi.
Il pool di nodi GKE utilizza l'account di servizio predefinito di Compute Engine
Un pool di nodi nel tuo cluster GKE utilizza l'account di servizio predefinito di Compute Engine come account di servizio dei nodi. Questo account richiede più autorizzazioni di quelle necessarie per eseguire il cluster Google Kubernetes Engine.
Questo insight include le seguenti informazioni:
- Cluster GKE:un nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio predefinito
Argomenti correlati
Per maggiori informazioni, consulta Utilizzare gli account di servizio con privilegi minimi.
Suggerimenti
Anziché l'account di servizio predefinito di Compute Engine, crea e utilizza un account di servizio con meno privilegi per i nodi.
Il pool di nodi GKE ha ambiti di accesso configurati in modo errato
In un pool di nodi nel cluster GKE gli ambiti di accesso sono stati specificati manualmente, ma questi non sono sufficienti per registrare un nodo.
Se i tuoi carichi di lavoro utilizzano Credenziali predefinite dell'applicazione (ADC), gli ambiti di accesso sono il metodo legacy per concedere le autorizzazioni per i nodi e per i carichi di lavoro in esecuzione sui nodi. Per i nodi GKE, utilizza sempre almeno gli ambiti predefiniti, in caso contrario non sarà possibile effettuare la registrazione.
Questo insight include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi con ambiti di accesso configurati in modo errato
Argomenti correlati
Per maggiori informazioni, consulta Accedere agli ambiti in GKE.
Suggerimenti
Sostituisci il pool di nodi con uno con ambiti di accesso sufficienti. Per creare un pool di nodi con ambiti di accesso sufficienti, esegui una delle seguenti operazioni:
Crea il nuovo pool di nodi senza specificare gli ambiti di accesso. In Google Cloud CLI, non includere il flag
--scopes
quando chiamigcloud container node-pools create
.Per autorizzare i carichi di lavoro in esecuzione sui nodi, utilizza le autorizzazioni di Identity and Access Management (IAM) o il controllo controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes. Per concedere l'accesso ad account di servizio IAM specifici o account di servizio Kubernetes. Per ulteriori informazioni, consulta Configurazione di un account di servizio personalizzato per i carichi di lavoro.
Nel nuovo elenco di pool di nodi degli ambiti di accesso specificati manualmente, aggiungi i seguenti ambiti.
https://www.googleapis.com/auth/devstorage.read_only
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/trace.append
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write