In questa pagina vengono descritti gli insight di Network Analyzer per Insight sugli account di servizio dei nodi Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Per visualizzare questi insight in gcloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:
google.networkanalyzer.container.serviceAccountInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeServiceAccountInsights.listrecommender.networkAnalyzerGkeServiceAccountInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizza l'interfaccia a riga di comando e l'API del motore per suggerimenti.
L'account di servizio del nodo GKE è disabilitato
Questo insight indica che uno o più pool nel cluster utilizzano un'istanza disabilitato dell'account di servizio del nodo GKE. Questo potrebbe causare un errore il bootstrap e la registrazione dei nodi nel cluster creati quando l'account di servizio sia disabilitato.
Questo insight include le seguenti informazioni:
- Account di servizio:un particolare tipo di account solitamente utilizzato da un delle applicazioni o dei carichi di lavoro di computing, come un'istanza Compute Engine, piuttosto che a una persona. È identificato dal suo indirizzo email, univoco per l'account. Queste informazioni sono disponibile nell'API Recommender.
- Cluster GKE:il nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio disabilitato.
Argomenti correlati
Per ulteriori informazioni, vedi Abilita l'account di servizio predefinito di Compute Engine e Disabilitazione di un account di servizio.
Consigli
Abilita l'account di servizio nodo. Se nei pool di nodi interessati sono presenti nodi non registrati, questi riavviare e registrarsi correttamente nel cluster. L'operazione potrebbe richiedere del tempo il riavvio di tutti i nodi. Per una risoluzione rapida, ti consigliamo di resize il pool di nodi zero nodi e torna a X nodi oppure crea un nuovo pool di nodi che utilizzi nello stesso account di servizio.
Il pool di nodi GKE utilizza l'account di servizio predefinito di Compute Engine
Un pool di nodi nel tuo cluster GKE utilizza Compute Engine predefinito come account di servizio del nodo. Questo account richiede più risorse necessarie per eseguire il cluster Google Kubernetes Engine.
Questo insight include le seguenti informazioni:
- Cluster GKE:un nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio predefinito
Argomenti correlati
Per ulteriori informazioni, vedi Utilizza account di servizio con privilegi minimi.
Consigli
Anziché l'account di servizio predefinito di Compute Engine, puoi creare usano un account di servizio con meno privilegi per i nodi.
Il pool di nodi GKE ha ambiti di accesso configurati in modo errato
Un pool di nodi nel tuo cluster GKE è stato specificato manualmente di accesso, ma gli ambiti specificati non sono sufficienti per registrare un nodo.
Se i tuoi carichi di lavoro utilizzano Credenziali predefinite dell'applicazione (ADC), gli ambiti di accesso sono legacy per concedere le autorizzazioni per i nodi e per i carichi di lavoro in esecuzione sui nodi. Per i nodi GKE, utilizza sempre almeno gli ambiti predefiniti non potrà registrarsi.
Questo insight include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi con ambiti di accesso configurati in modo errato
Argomenti correlati
Per ulteriori informazioni, vedi Accedi agli ambiti in GKE.
Consigli
Sostituisci il pool di nodi con uno con ambiti di accesso sufficienti. Per creare un pool di nodi con ambiti di accesso sufficienti, esegui una delle seguenti operazioni:
Crea il nuovo pool di nodi senza specificare gli ambiti di accesso. Nella Google Cloud CLI, non includere il flag
--scopesdurante la chiamatagcloud container node-pools create.Per autorizzare i carichi di lavoro in esecuzione sui nodi, utilizza Autorizzazioni IAM (Identity and Access Management) o Kubernetes controllo controllo dell'accesso basato sui ruoli (RBAC). per concedere l'accesso ad account di servizio IAM specifici gli account di servizio Kubernetes. Per ulteriori informazioni, vedi Configurazione di un account di servizio personalizzato per i carichi di lavoro.
Nel nuovo elenco di pool di nodi degli ambiti di accesso specificati manualmente, aggiungi i seguenti ambiti.
https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/service.management.readonlyhttps://www.googleapis.com/auth/servicecontrolhttps://www.googleapis.com/auth/trace.appendhttps://www.googleapis.com/auth/logging.writehttps://www.googleapis.com/auth/monitoring.write