Se usó la API de Cloud Translation para traducir esta página.

Estadísticas de la cuenta de servicio de nodo de GKE

En esta página, se describen las estadísticas de Network Analyzer para las estadísticas de la cuenta de servicio de nodo de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Para ver estas estadísticas en gcloud CLI o la API de recomendador, usa el siguiente tipo de estadísticas:

google.networkanalyzer.container.serviceAccountInsight

Necesitas los siguientes permisos:

recommender.networkAnalyzerGkeServiceAccountInsights.list
recommender.networkAnalyzerGkeServiceAccountInsights.get

Si deseas obtener más información sobre el uso de la API de recomendador para las estadísticas de Network Analyzer, consulta Usa la CLI y la API del recomendador.

La cuenta de servicio del nodo de GKE está inhabilitada

Esta estadística indica que uno o más grupos en el clúster usan una cuenta de servicio de nodo de GKE inhabilitada, lo que podría generar fallas en el arranque y el registro de cualquier nodo en el clúster creado cuando la cuenta de servicio está inhabilitada.

Esta estadística incluye la siguiente información:

Cuenta de servicio: Es un tipo especial de cuenta que suele usar una aplicación o una carga de trabajo de procesamiento, como una instancia de Compute Engine, en lugar de una persona. Se identifica por su dirección de correo electrónico, que es única para la cuenta. Esta información está disponible en la API de Recommender.
Clúster de GKE: Es el nombre del clúster de GKE.
Grupos de nodos: Una lista de grupos de nodos que usan la cuenta de servicio inhabilitada

Temas relacionados

Para obtener más información, consulta Habilita la cuenta de servicio predeterminada de Compute Engine y Inhabilita una cuenta de servicio.

Recomendaciones

Habilita la cuenta de servicio del nodo. Si hay nodos sin registrar en los grupos de nodos afectados, estos se reiniciarán y se registrarán correctamente en el clúster. Es posible que todos los nodos tarden un poco en reiniciarse. Para obtener una resolución rápida, te recomendamos resize del grupo de nodos a cero y volver a X nodos o crear un grupo de nodos nuevo que use la misma cuenta de servicio de nodo.

El grupo de nodos de GKE usa la cuenta de servicio predeterminada de Compute Engine

Un grupo de nodos en tu clúster de GKE usa la cuenta de servicio predeterminada de Compute Engine como su cuenta de servicio de nodo. Esta cuenta requiere más permisos de los necesarios para ejecutar tu clúster de Google Kubernetes Engine.

Esta estadística incluye la siguiente información:

Clúster de GKE: Es un nombre del clúster de GKE.
Grupos de nodos: Una lista de grupos de nodos que usan la cuenta de servicio predeterminada

Temas relacionados

Para obtener más información, consulta Usa cuentas de servicio con privilegios mínimos.

Recomendaciones

En lugar de la cuenta de servicio predeterminada de Compute Engine, crea y usa una cuenta de servicio con menos privilegios para tus nodos.

El grupo de nodos de GKE tiene permisos de acceso configurados incorrectamente

Un grupo de nodos en tu clúster de GKE tiene permisos de acceso especificados de forma manual, pero estos no son suficientes para registrar un nodo.

Si tus cargas de trabajo usan credenciales predeterminadas de la aplicación (ADC), los permisos de acceso son el método heredado a fin de otorgar permisos para tus nodos y las cargas de trabajo que se ejecutan en ellos. Para los nodos de GKE, usa siempre al menos los permisos predeterminados; de lo contrario, no se podrán registrar.

Esta estadística incluye la siguiente información:

Clúster de GKE: Es el nombre del clúster de GKE.
Grupos de nodos: Una lista de grupos de nodos con permisos de acceso mal configurados

Temas relacionados

Para obtener más información, consulta Permisos de acceso en GKE.

Recomendaciones

Reemplaza el grupo de nodos por uno que tenga permisos de acceso suficientes. Para crear un grupo de nodos con suficientes permisos de acceso, realiza una de las siguientes acciones:

Crea el nuevo grupo de nodos sin especificar los permisos de acceso. En Google Cloud CLI, no incluyas la marca --scopes cuando llames a gcloud container node-pools create.

Para autorizar las cargas de trabajo que se ejecutan en tus nodos, usa los permisos de Identity and Access Management (IAM) o el control de acceso basado en funciones (RBAC) de Kubernetes. Esto es para otorgar acceso a cuentas de servicio de IAM o cuentas de servicio de Kubernetes específicas. Si deseas obtener más información, consulta Configura una cuenta de servicio personalizada para cargas de trabajo.
En la lista nueva del grupo de nodos de los permisos de acceso especificados de forma manual, agrega los siguientes alcances.
- https://www.googleapis.com/auth/devstorage.read_only
- https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/trace.append
- https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring.write