Estadísticas de la cuenta de servicio de nodo de GKE

En esta página, se describen las estadísticas de Network Analyzer para Estadísticas de la cuenta de servicio de nodos de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Para ver estas observaciones en gcloud CLI o la API de Recommender, usa el siguiente tipo de estadísticas:

  • google.networkanalyzer.container.serviceAccountInsight

Necesitas los siguientes permisos:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Si deseas obtener más información sobre el uso de la API de Recommender para Estadísticas de Network Analyzer, consulta Usa la CLI y la API del recomendador.

La cuenta de servicio del nodo de GKE está inhabilitada

Esta estadística indica que uno o más grupos del clúster usan un inhabilitada la cuenta de servicio del nodo de GKE, lo que podría provocar un el arranque y el registro de cualquier nodo del clúster creado cuando la de servicio está inhabilitada.

Esta estadística incluye la siguiente información:

  • Cuenta de servicio: un tipo especial de cuenta que suele usar una de procesamiento o aplicación, como una instancia de Compute Engine, en lugar de una persona. Se identifica por su dirección de correo electrónico, que es único para la cuenta. Esta información se disponible en la API de Recommender.
  • Clúster de GKE: Es el nombre del clúster de GKE.
  • Grupos de nodos: Una lista de grupos de nodos que usan la cuenta de servicio inhabilitada

Para obtener más información, consulta Habilita la cuenta de servicio predeterminada de Compute Engine y Inhabilitar una cuenta de servicio.

Recomendaciones

Habilita la cuenta de servicio del nodo. Si hay nodos sin registrar en los grupos de nodos afectados, los nodos reiniciarse y registrarse correctamente en el clúster. Puede llevar un tiempo para que se reinicien todos los nodos. Para obtener una resolución rápida, te recomendamos que cambiar el tamaño del grupo de nodos a cero nodos y volver a X nodos o crear un nuevo grupo de nodos que use misma cuenta de servicio de nodo.

El grupo de nodos de GKE usa la cuenta de servicio predeterminada de Compute Engine

Un grupo de nodos en tu clúster de GKE usa Compute Engine la cuenta de servicio predeterminada como su cuenta de servicio de nodo. Esta cuenta requiere más permisos de los necesarios para ejecutar tu clúster de Google Kubernetes Engine.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: Es un nombre del clúster de GKE.
  • Grupos de nodos: Una lista de grupos de nodos que usan la cuenta de servicio predeterminada

Para obtener más información, consulta Usa cuentas de servicio con privilegios mínimos.

Recomendaciones

En lugar de la cuenta de servicio predeterminada de Compute Engine, usar una cuenta de servicio con menos privilegios para tus nodos.

El grupo de nodos de GKE tiene permisos de acceso configurados incorrectamente

Se especificó de forma manual un grupo de nodos en tu clúster de GKE permisos de acceso, pero los especificados no son suficientes para registrar un nodo.

Si tus cargas de trabajo usan Credenciales predeterminadas de la aplicación (ADC), los permisos de acceso son los heredados método para otorgar permisos para tus nodos y para las cargas de trabajo que se ejecutan en tus nodos. Para los nodos de GKE, usa siempre al menos los permisos predeterminados o no podrán registrarse.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: Es el nombre del clúster de GKE.
  • Grupos de nodos: Una lista de grupos de nodos con permisos de acceso mal configurados

Para obtener más información, consulta Permisos de acceso en GKE.

Recomendaciones

Reemplaza el grupo de nodos por uno que tenga permisos de acceso suficientes. Para crear un grupo de nodos con suficientes permisos de acceso, realiza una de las siguientes acciones:

  • Crea el nuevo grupo de nodos sin especificar los permisos de acceso. En la Google Cloud CLI, no incluyas la marca --scopes cuando llames gcloud container node-pools create

    Para autorizar las cargas de trabajo que se ejecutan en tus nodos, usa permisos de Identity and Access Management (IAM) o Kubernetes Control de acceso basado en funciones (RBAC). para otorgar acceso a cuentas de servicio de IAM específicas cuentas de servicio de Kubernetes. Para obtener más información, consulta Configura una cuenta de servicio personalizada para cargas de trabajo.

  • En la nueva lista de grupos de nodos de permisos de acceso especificados de forma manual, agrega los siguientes permisos.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write