Dienstkontostatistiken für GKE-Knoten

Auf dieser Seite werden die Network Analyzer-Statistiken für Dienstkontostatistiken von GKE-Knoten (Google Kubernetes Engine) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.

Verwenden Sie den folgenden Statistiktyp, um diese Statistiken in der gcloud CLI oder der Recommender API anzusehen:

  • google.networkanalyzer.container.serviceAccountInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

Dienstkonto für GKE-Knoten ist deaktiviert

Gibt an, dass ein oder mehrere Pools im Cluster ein deaktiviertes GKE-Knotendienstkonto verwenden, was zu einem fehlgeschlagenen Bootstrap und zur Registrierung von Knoten im Cluster führen kann, die bei der Deaktivierung des Dienstkontos erstellt werden.

Dies enthält folgende Informationen:

  • Dienstkonto:Eine spezielle Art von Konto, das normalerweise nicht von einer Person, sondern von einer Anwendung oder Computing-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz. Es wird anhand seiner E-Mail-Adresse identifiziert, die für das Konto eindeutig ist. Diese Informationen sind in der Recommender API verfügbar.
  • GKE-Cluster: der Name des GKE-Clusters
  • Knotenpools: Eine Liste von Knotenpools, die das deaktivierte Dienstkonto verwenden.

Weitere Informationen finden Sie unter Compute Engine-Standarddienstkonto aktivieren und Dienstkonto deaktivieren.

Empfehlungen

Aktivieren Sie das Knotendienstkonto. Wenn sich in den betroffenen Knotenpools nicht registrierte Knoten befinden, werden die Knoten neu gestartet und ordnungsgemäß beim Cluster registriert. Es kann einige Zeit dauern, bis alle Knoten neu gestartet sind. Für eine schnelle Lösung empfehlen wir, die resize auf null Knoten und wieder auf X Knoten zu ändern oder einen neuen Knotenpool zu erstellen, der dasselbe Knotendienstkonto verwendet.

GKE-Knotenpool verwendet das Compute Engine-Standarddienstkonto

Ein Knotenpool in Ihrem GKE-Cluster verwendet das Compute Engine-Standarddienstkonto als Knotendienstkonto. Für dieses Konto sind mehr Berechtigungen erforderlich, als zum Ausführen des Google Kubernetes Engine-Clusters erforderlich sind.

Dies enthält folgende Informationen:

  • GKE-Cluster: ein Name des GKE-Clusters
  • Knotenpools: Eine Liste von Knotenpools, die das Standarddienstkonto verwenden.

Weitere Informationen finden Sie unter Dienstkonten mit geringster Berechtigung verwenden.

Empfehlungen

Erstellen und verwenden Sie anstelle des Compute Engine-Standarddienstkontos ein Dienstkonto mit weniger Berechtigungen für Ihre Knoten.

GKE-Knotenpool hat falsch konfigurierte Zugriffsbereiche

Für einen Knotenpool in Ihrem GKE-Cluster wurden Zugriffsbereiche manuell angegeben, die angegebenen Bereiche reichen jedoch nicht aus, um einen Knoten zu registrieren.

Wenn Ihre Arbeitslasten Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) verwenden, sind Zugriffsbereiche die Legacy-Methode zum Erteilen von Berechtigungen für Ihre Knoten und für die Arbeitslasten, die auf Ihren Knoten ausgeführt werden. Für GKE-Knoten sollten Sie immer mindestens die Standardbereiche verwenden, da sie sich sonst nicht registrieren können.

Dies enthält folgende Informationen:

  • GKE-Cluster: der Name des GKE-Clusters
  • Knotenpools: eine Liste von Knotenpools mit falsch konfigurierten Zugriffsbereichen

Weitere Informationen finden Sie unter Zugriffsbereiche in GKE.

Empfehlungen

Ersetzen Sie den Knotenpool durch einen Pool mit ausreichenden Zugriffsbereichen. Führen Sie einen der folgenden Schritte aus, um einen Knotenpool mit ausreichenden Zugriffsbereichen zu erstellen:

  • Erstellen Sie den neuen Knotenpool, ohne Zugriffsbereiche anzugeben. Geben Sie in der Google Cloud CLI nicht das Flag --scopes an, wenn Sie gcloud container node-pools create aufrufen.

    Verwenden Sie zum Autorisieren von Arbeitslasten, die auf Ihren Knoten ausgeführt werden, IAM-Berechtigungen (Identity and Access Management) oder die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) von Kubernetes. Dadurch wird Zugriff auf bestimmte IAM- oder Kubernetes-Dienstkonten gewährt. Weitere Informationen finden Sie unter Benutzerdefiniertes Dienstkonto für Arbeitslasten konfigurieren.

  • Fügen Sie in der neuen Knotenpoolliste der manuell angegebenen Zugriffsbereiche die folgenden Bereiche hinzu.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write