Información valiosa sobre las cuentas de servicio de los nodos de GKE

En esta página se describen las estadísticas de Network Analyzer sobre las cuentas de servicio de los nodos de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Para ver estas estadísticas en la CLI de gcloud o en la API Recommender, usa el siguiente tipo de estadística:

  • google.networkanalyzer.container.serviceAccountInsight

Necesitas los siguientes permisos:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Para obtener más información sobre cómo usar la API Recommender para obtener estadísticas de Analizador de redes, consulta el artículo Usar la CLI y la API Recommender.

La cuenta de servicio del nodo de GKE está inhabilitada

Esta información indica que uno o varios grupos del clúster usan una cuenta de servicio de nodo de GKE inhabilitada, lo que podría provocar que no se puedan iniciar ni registrar los nodos del clúster creados cuando la cuenta de servicio esté inhabilitada.

Esta estadística incluye la siguiente información:

  • Cuenta de servicio: un tipo especial de cuenta que suele usar una aplicación o una carga de trabajo de computación, como una instancia de Compute Engine, en lugar de una persona. Se identifica por su dirección de correo electrónico, que es única para cada cuenta. Esta información está disponible en la API Recommender.
  • Clúster de GKE: el nombre del clúster de GKE.
  • Grupos de nodos: lista de grupos de nodos que usan la cuenta de servicio inhabilitada

Para obtener más información, consulta los artículos Habilitar la cuenta de servicio predeterminada de Compute Engine y Inhabilitar una cuenta de servicio.

Recomendaciones

Habilita la cuenta de servicio del nodo. Si hay nodos no registrados en los grupos de nodos afectados, los nodos se reiniciarán y se registrarán correctamente en el clúster. Puede que tarden un poco en reiniciarse todos los nodos. Para resolver el problema rápidamente, te recomendamos que cambies el tamaño del grupo de nodos a cero nodos y, después, a X nodos, o que crees un grupo de nodos que utilice la misma cuenta de servicio de nodo.

El grupo de nodos de GKE usa la cuenta de servicio predeterminada de Compute Engine

Un grupo de nodos de tu clúster de GKE usa la cuenta de servicio predeterminada de Compute Engine como cuenta de servicio de nodo. Esta cuenta requiere más permisos de los necesarios para ejecutar tu clúster de Google Kubernetes Engine.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: nombre del clúster de GKE
  • Grupos de nodos: una lista de grupos de nodos que usan la cuenta de servicio predeterminada

Para obtener más información, consulta Usar cuentas de servicio con el número mínimo de privilegios necesarios.

Recomendaciones

En lugar de la cuenta de servicio predeterminada de Compute Engine, crea y usa una cuenta de servicio con menos privilegios para tus nodos.

El grupo de nodos de GKE tiene permisos de acceso mal configurados

Un grupo de nodos de tu clúster de GKE tiene ámbitos de acceso especificados manualmente, pero los ámbitos especificados no son suficientes para registrar un nodo.

Si tus cargas de trabajo usan credenciales de aplicación predeterminadas (ADC), los ámbitos de acceso son el método antiguo para conceder permisos a tus nodos y a las cargas de trabajo que se ejecutan en ellos. En el caso de los nodos de GKE, siempre debes usar al menos los ámbitos predeterminados, ya que, de lo contrario, no podrán registrarse.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: el nombre del clúster de GKE.
  • Grupos de nodos: lista de grupos de nodos con permisos de acceso mal configurados

Para obtener más información, consulta Ámbitos de acceso en GKE.

Recomendaciones

Sustituye el grupo de nodos por uno que tenga suficientes ámbitos de acceso. Para crear un grupo de nodos con ámbitos de acceso suficientes, sigue uno de estos procedimientos:

  • Crea el nuevo grupo de nodos sin especificar ámbitos de acceso. En Google Cloud CLI, no incluyas la marca --scopes al llamar a gcloud container node-pools create.

    Para autorizar las cargas de trabajo que se ejecutan en tus nodos, usa permisos de gestión de identidades y accesos (IAM) o el control de acceso basado en roles (RBAC) de Kubernetes. Esto sirve para conceder acceso a cuentas de servicio de gestión de identidades y accesos o a cuentas de servicio de Kubernetes específicas. Para obtener más información, consulta el artículo sobre cómo configurar una cuenta de servicio personalizada para cargas de trabajo.

  • En la nueva lista de grupos de nodos de los permisos de acceso especificados manualmente, añade los siguientes permisos.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write