Informationen zum GKE-Knotendienstkonto

Auf dieser Seite werden die von Network Analyzer stammenden Insights zu Google Kubernetes Engine-Knotendienstkonten beschrieben. Informationen zu allen Insight-Typen finden Sie unter Statistikgruppen und -typen.

Verwenden Sie den folgenden Insight-Typ, um diese Insights in der gcloud CLI oder der Recommender API anzusehen:

  • google.networkanalyzer.container.serviceAccountInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Weitere Informationen zur Verwendung der Recommender API für Network Analyzer-Insights finden Sie unter Recommender CLI und API verwenden.

GKE-Knotendienstkonto ist deaktiviert

Diese Insight-Meldung weist darauf hin, dass in einem oder mehreren Pools im Cluster ein deaktiviertes GKE-Knotendienstkonto verwendet wird. Das Bootstrapping und die Registrierung von Knoten im Cluster, die erstellt werden, während das Dienstkonto deaktiviert ist, kann fehlschlagen.

Die Insight enthält folgende Informationen:

  • Dienstkonto: Eine spezielle Art von Konto, das normalerweise von einer Anwendung oder einer Compute-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz, nicht von einer Person. Es wird durch seine E-Mail-Adresse identifiziert, die für das Konto spezifisch ist. Diese Information ist in der Recommender API verfügbar.
  • GKE-Cluster: Name des GKE-Clusters
  • Knotenpools: Liste der Knotenpools, die das deaktivierte Dienstkonto verwenden

Weitere Informationen finden Sie unter Compute Engine-Standarddienstkonto aktivieren und Dienstkonto deaktivieren.

Empfehlungen

Aktivieren Sie das Knotendienstkonto. Wenn in den betroffenen Knotenpools nicht registrierte Knoten vorhanden sind, werden die Knoten neu gestartet und ordnungsgemäß im Cluster registriert. Es kann einige Zeit dauern, bis alle Knoten neu gestartet sind. Als schnelle Lösung wird empfohlen, die Größe des Knotenpools auf null Knoten und dann wieder auf X Knoten anzupassen oder einen neuen Knotenpool zu erstellen, der dasselbe Knotendienstkonto verwendet.

GKE-Knotenpool verwendet das Compute Engine-Standarddienstkonto

Ein Knotenpool in Ihrem GKE-Cluster verwendet das Compute Engine-Standarddienstkonto als Knotendienstkonto. Für dieses Konto sind mehr Berechtigungen erforderlich als für die Ausführung des Google Kubernetes Engine-Clusters.

Die Insight enthält folgende Informationen:

  • GKE-Cluster: Name des GKE-Clusters
  • Knotenpools: Liste der Knotenpools, die das Standarddienstkonto verwenden

Weitere Informationen finden Sie unter IAM-Dienstkonten mit geringster Berechtigung verwenden.

Empfehlungen

Erstellen Sie für Ihre Knoten ein Dienstkonto mit weniger Berechtigungen und verwenden Sie es anstelle des Compute Engine-Standarddienstkontos.

GKE-Knotenpool hat falsch konfigurierte Zugriffsbereiche

Für einen Knotenpool in Ihrem GKE-Cluster wurden manuell Zugriffsbereiche angegeben, die jedoch nicht ausreichen, um einen Knoten zu registrieren.

Wenn Ihre Arbeitslasten Standardanmeldedaten für Anwendungen verwenden, sind Zugriffsbereiche die Legacy-Methode zum Erteilen von Berechtigungen für Ihre Knoten und die Arbeitslasten, die auf Ihren Knoten ausgeführt werden. Verwenden Sie für GKE-Knoten immer mindestens die Standardbereiche, da sie sonst nicht registriert werden können.

Die Insight enthält folgende Informationen:

  • GKE-Cluster: Name des GKE-Clusters
  • Knotenpools: Liste der Knotenpools mit falsch konfigurierten Zugriffsbereichen

Weitere Informationen finden Sie unter Zugriffsbereiche in GKE.

Empfehlungen

Ersetzen Sie den Knotenpool durch einen mit ausreichenden Zugriffsbereichen. Zum Erstellen eines Knotenpools mit ausreichenden Zugriffsbereichen haben Sie folgende Optionen:

  • Erstellen Sie den neuen Knotenpool, ohne Zugriffsbereiche anzugeben. Fügen Sie in der Google Cloud CLI das Flag --scopes nicht hinzu, wenn Sie gcloud container node-pools create aufrufen.

    Verwenden Sie IAM-Berechtigungen (Identity and Access Management) oder die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Kubernetes, um auf Ihren Knoten ausgeführte Arbeitslasten zu autorisieren. Damit wird der Zugriff auf bestimmte IAM-Dienstkonten oder Kubernetes-Dienstkonten gewährt. Weitere Informationen finden Sie unter Benutzerdefiniertes Dienstkonto für Arbeitslasten konfigurieren.

  • Fügen Sie der Liste der manuell angegebenen Zugriffsbereiche des neuen Knotenpools die folgenden Bereiche hinzu.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write