Statistiken zum GKE-Knotendienstkonto

Auf dieser Seite werden die Network Analyzer-Statistiken für Statistiken zum Dienstkonto für Google Kubernetes Engine-Knoten (GKE) Informationen zu finden Sie unter Statistikgruppen und -typen:

So rufen Sie diese Statistiken in der gcloud CLI oder Recommender API auf: verwenden Sie folgenden Statistiktyp:

  • google.networkanalyzer.container.serviceAccountInsight

Sie benötigen die folgenden Berechtigungen:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Weitere Informationen zur Verwendung der Recommender API für Insights zu Netzwerkanalyse finden Sie unter Recommender-Befehlszeile und API verwenden.

Dienstkonto für GKE-Knoten ist deaktiviert

Diese Erkenntnis deutet darauf hin, dass mindestens ein Pool im Cluster einen deaktiviertes Dienstkonto für GKE-Knoten, was zu Fehlern führen könnte Bootstrap und Registrierung aller Knoten im Cluster, die erstellt wurden, Dienstkonto ist deaktiviert.

Dies enthält folgende Informationen:

  • Dienstkonto:Eine spezielle Art von Konto, das in der Regel von einem Anwendungs- oder Rechenlast wie Compute Engine-Instanz, und nicht auf eine Person. Es wird durch seine E-Mail-Adresse identifiziert, die für das Konto eindeutig ist. Diese Informationen sind in der Recommender API verfügbar.
  • GKE-Cluster: Der Name des GKE-Clusters.
  • Knotenpools: Liste der Knotenpools, die das deaktivierte Dienstkonto verwenden

Weitere Informationen finden Sie unter Compute Engine-Standarddienstkonto aktivieren und Dienstkonto deaktivieren.

Empfehlungen

Aktivieren Sie das Knotendienstkonto. Wenn sich in den betroffenen Knotenpools nicht registrierte Knoten befinden, werden die Knoten und sich ordnungsgemäß beim Cluster registrieren. Das kann einige Zeit dauern damit alle Knoten neu gestartet werden. Für eine schnelle Lösung empfehlen wir Ihnen, die Größe des Knotenpools Knoten und zurück zu x Knoten oder erstellen Sie einen neuen Knotenpool, Knotendienstkonto zu ändern.

GKE-Knotenpool verwendet das Compute Engine-Standarddienstkonto

Ein Knotenpool in Ihrem GKE-Cluster verwendet die Compute Engine Standarddienstkonto als Knotendienstkonto verwenden. Dieses Konto benötigt mehr Berechtigungen als für die Ausführung Ihres Google Kubernetes Engine-Clusters erforderlich sind.

Dies enthält folgende Informationen:

  • GKE-Cluster: Name des GKE-Clusters
  • Knotenpools: Eine Liste von Knotenpools, die das Standarddienstkonto verwenden

Weitere Informationen finden Sie unter Dienstkonten mit geringsten Berechtigungen verwenden.

Empfehlungen

Erstellen Sie anstelle des Compute Engine-Standarddienstkontos ein Dienstkonto mit weniger Berechtigungen für Ihre Knoten und verwenden Sie es.

Der GKE-Knotenpool hat falsch konfigurierte Zugriffsbereiche

Für einen Knotenpool in Ihrem GKE-Cluster wurden manuell Zugriffsbereiche angegeben, die jedoch nicht ausreichen, um einen Knoten zu registrieren.

Wenn Ihre Arbeitslasten Standardanmeldedaten für Anwendungen (Application Default Credentials, ADC) Zugriffsbereiche sind die alten Methode zum Gewähren von Berechtigungen für Ihre Knoten und für die Arbeitslasten, die auf Ihren Knoten ausgeführt werden. Verwenden Sie für GKE-Knoten immer mindestens die Standardbereiche oder können sie sich nicht registrieren.

Dies enthält folgende Informationen:

  • GKE-Cluster:Name des GKE-Clusters
  • Knotenpools: Liste der Knotenpools mit falsch konfigurierten Zugriffsbereichen

Weitere Informationen finden Sie unter Zugriffsbereiche in GKE.

Empfehlungen

Ersetzen Sie den Knotenpool durch einen mit ausreichenden Zugriffsbereichen. Führen Sie einen der folgenden Schritte aus, um einen Knotenpool mit ausreichenden Zugriffsbereichen zu erstellen:

  • Erstellen Sie den neuen Knotenpool, ohne Zugriffsbereiche anzugeben. Im Geben Sie in der Google Cloud CLI beim Aufruf nicht das Flag --scopes an. gcloud container node-pools create.

    Verwenden Sie zum Autorisieren von Arbeitslasten, die auf Ihren Knoten ausgeführt werden, IAM-Berechtigungen (Identity and Access Management) oder Kubernetes rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC): Dadurch wird Zugriff auf bestimmte IAM-Dienstkonten oder Kubernetes-Dienstkonten. Weitere Informationen finden Sie unter Benutzerdefiniertes Dienstkonto für Arbeitslasten konfigurieren.

  • Fügen Sie in der Liste der manuell angegebenen Zugriffsbereiche für den neuen Knotenpool die folgenden Bereiche hinzu.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write