Statistiken zum GKE-Knotendienstkonto

Auf dieser Seite werden die Network Analyzer-Statistiken für Google Kubernetes Engine-Knotendienstkonten (GKE) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.

Verwenden Sie den folgenden Insight-Typ, um diese Statistiken in der gcloud-Kommandozeile oder der Recommender API anzuzeigen:

  • google.networkanalyzer.container.serviceAccountInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

GKE-Knotendienstkonto ist deaktiviert

Diese Information gibt an, dass in einem oder mehreren Pools im Cluster ein deaktiviertes GKE-Knotendienstkonto verwendet wird. Dies kann zu einem fehlgeschlagenen Bootstrapping und zur Registrierung von Knoten im Cluster führen, die erstellt wurden, als das Dienstkonto deaktiviert war.

Dies enthält folgende Informationen:

  • Dienstkonto: Eine spezielle Art von Konto, die in der Regel nicht von einer Person, sondern von einer Anwendung oder Compute-Arbeitslast, z. B. einer Compute Engine-Instanz, verwendet wird. Es wird durch seine E-Mail-Adresse identifiziert, die für das Konto eindeutig ist. Diese Informationen sind in der Recommender API verfügbar.
  • GKE-Cluster:Der Name des GKE-Clusters.
  • Knotenpools:Liste der Knotenpools, die das deaktivierte Dienstkonto verwenden

Weitere Informationen finden Sie unter Compute Engine-Standarddienstkonto aktivieren und Dienstkonto deaktivieren.

Empfehlungen

Aktivieren Sie das Knotendienstkonto. Wenn sich in den betroffenen Knotenpools nicht registrierte Knoten befinden, werden diese neu gestartet und beim Cluster ordnungsgemäß registriert. Es kann einige Zeit dauern, bis alle Knoten neu gestartet sind. Für eine schnelle Lösung empfehlen wir, die Größe des Knotenpools auf null Knoten zu ändern und dann wieder auf X Knoten oder einen neuen Knotenpool mit demselben Knotendienstkonto zu erstellen.

GKE-Knotenpool verwendet das Compute Engine-Standarddienstkonto

Ein Knotenpool in Ihrem GKE-Cluster verwendet das Compute Engine-Standarddienstkonto als Knotendienstkonto. Dieses Konto benötigt mehr Berechtigungen als für die Ausführung Ihres Google Kubernetes Engine-Clusters erforderlich sind.

Dies enthält folgende Informationen:

  • GKE-Cluster:Name des GKE-Clusters
  • Knotenpools:Liste der Knotenpools, die das Standarddienstkonto verwenden

Weitere Informationen finden Sie unter Dienstkonten mit geringsten Berechtigungen verwenden.

Empfehlungen

Erstellen Sie anstelle des Compute Engine-Standarddienstkontos ein Dienstkonto mit weniger Berechtigungen für Ihre Knoten und verwenden Sie es.

Der GKE-Knotenpool hat falsch konfigurierte Zugriffsbereiche

Für einen Knotenpool in Ihrem GKE-Cluster wurden manuell Zugriffsbereiche angegeben, die jedoch nicht ausreichen, um einen Knoten zu registrieren.

Wenn Ihre Arbeitslasten Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) verwenden, sind Zugriffsbereiche die Legacy-Methode zum Gewähren von Berechtigungen für Ihre Knoten und für die Arbeitslasten, die auf Ihren Knoten ausgeführt werden. Verwenden Sie für GKE-Knoten immer mindestens die Standardbereiche, da sie sonst nicht registriert werden können.

Dies enthält folgende Informationen:

  • GKE-Cluster:Der Name des GKE-Clusters.
  • Knotenpools:Liste der Knotenpools mit falsch konfigurierten Zugriffsbereichen

Weitere Informationen finden Sie unter Zugriffsbereiche in GKE.

Empfehlungen

Ersetzen Sie den Knotenpool durch einen mit ausreichenden Zugriffsbereichen. Führen Sie einen der folgenden Schritte aus, um einen Knotenpool mit ausreichenden Zugriffsbereichen zu erstellen:

  • Erstellen Sie den neuen Knotenpool, ohne Zugriffsbereiche anzugeben. Fügen Sie in der Google Cloud CLI beim Aufruf von gcloud container node-pools create das Flag --scopes nicht hinzu.

    Verwenden Sie IAM-Berechtigungen (Identity and Access Management) oder die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Kubernetes, um Arbeitslasten zu autorisieren, die auf Ihren Knoten ausgeführt werden. So können Sie Zugriff auf bestimmte IAM-Dienstkonten oder Kubernetes-Dienstkonten gewähren. Weitere Informationen finden Sie unter Benutzerdefiniertes Dienstkonto für Arbeitslasten konfigurieren.

  • Fügen Sie in der Liste der manuell angegebenen Zugriffsbereiche für den neuen Knotenpool die folgenden Bereiche hinzu.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write