Estadísticas de la cuenta de servicio del nodo de GKE

En esta página, se describen las estadísticas de Network Analyzer para las estadísticas de la cuenta de servicio de nodo de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Para ver estas estadísticas en gcloud CLI o la API de recomendador, usa el siguiente tipo de estadística:

• google.networkanalyzer.container.serviceAccountInsight

Necesitas los siguientes permisos:

• recommender.networkAnalyzerGkeServiceAccountInsights.list
• recommender.networkAnalyzerGkeServiceAccountInsights.get

Si deseas obtener más información sobre el uso de la API de Recommender para las estadísticas de Network Analyzer, consulta Usa la CLI y la API de Recommender.

La cuenta de servicio del nodo de GKE está inhabilitada

Indica que uno o más grupos del clúster usan una cuenta de servicio de nodo de GKE inhabilitada, lo que podría generar fallas en el arranque y el registro de cualquier nodo en el clúster creado cuando la cuenta de servicio está inhabilitada.

Esta estadística incluye la siguiente información:

• Cuenta de servicio: Es un tipo especial de cuenta que suele usar una aplicación o carga de trabajo de procesamiento, como una instancia de Compute Engine, en lugar de una persona. Se identifica por su dirección de correo electrónico, que es única a la cuenta. Esta información está disponible en la API de Recommender.
• Clúster de GKE: Es el nombre del clúster de GKE.
• Grupos de nodos: una lista de grupos de nodos que usan la cuenta de servicio inhabilitada

Temas relacionados

Para obtener más información, consulta Habilita la cuenta de servicio predeterminada de Compute Engine y, también, Inhabilita una cuenta de servicio.

Recomendaciones

Habilita la cuenta de servicio de nodo. Si hay nodos no registrados en los grupos de nodos afectados, los nodos se reiniciarán y se registrarán de forma correcta en el clúster. Es posible que todos los nodos tarden un tiempo en reiniciarse. Para una resolución rápida, recomendamos que resize del grupo de nodos a cero y de nuevo a X nodos, o bien crees un grupo de nodos nuevo que use la misma cuenta de servicio de nodo.

El grupo de nodos de GKE usa la cuenta de servicio predeterminada de Compute Engine

Un grupo de nodos en tu clúster de GKE usa la cuenta de servicio predeterminada de Compute Engine como su cuenta de servicio de nodo. Esta cuenta requiere más permisos de los necesarios para ejecutar tu clúster de Google Kubernetes Engine.

Esta estadística incluye la siguiente información:

• Clúster de GKE: Es un nombre del clúster de GKE.
• Grupos de nodos: una lista de grupos de nodos que usan la cuenta de servicio predeterminada

Temas relacionados

Para obtener más información, consulta Usa las cuentas de servicio con privilegios mínimos.

Recomendaciones

En lugar de la cuenta de servicio predeterminada de Compute Engine, crea y usa una cuenta de servicio con menos privilegios para tus nodos.

El grupo de nodos de GKE tiene permisos de acceso mal configurados

Un grupo de nodos en tu clúster de GKE especificó permisos de acceso de forma manual, pero los permisos especificados no son suficientes para registrar un nodo.

Si tus cargas de trabajo usan credenciales predeterminadas de la aplicación (ADC), los permisos de acceso son el método heredado para otorgar permisos a los nodos y a las cargas de trabajo que se ejecutan en ellos. Para los nodos de GKE, usa siempre al menos los permisos predeterminados; de lo contrario, no podrán registrarse.

Esta estadística incluye la siguiente información:

• Clúster de GKE: Es el nombre del clúster de GKE.
• Grupos de nodos: Una lista de grupos de nodos con permisos de acceso configurados de forma incorrecta

Temas relacionados

Para obtener más información, consulta Permisos de acceso en GKE.

Recomendaciones

Reemplaza el grupo de nodos por uno que tenga suficientes permisos de acceso. Para crear un grupo de nodos con suficientes permisos de acceso, realiza una de las siguientes acciones:

• Crea el nuevo grupo de nodos sin especificar los permisos de acceso. En Google Cloud CLI, no incluyas la marca --scopes cuando llames a gcloud container node-pools create.

  Para autorizar las cargas de trabajo que se ejecutan en tus nodos, usa los permisos de Identity and Access Management (IAM) o el control de acceso basado en funciones (RBAC) de Kubernetes. Esto permite otorgar acceso a cuentas de servicio específicas de IAM o a cuentas de servicio de Kubernetes. Si deseas obtener más información, consulta Configura una cuenta de servicio personalizada para cargas de trabajo.

• En la lista del grupo de nodos nuevo de permisos de acceso especificados de forma manual, agrega los siguientes permisos.

  • https://www.googleapis.com/auth/devstorage.read_only
  • https://www.googleapis.com/auth/service.management.readonly
  • https://www.googleapis.com/auth/servicecontrol
  • https://www.googleapis.com/auth/trace.append
  • https://www.googleapis.com/auth/logging.write
  • https://www.googleapis.com/auth/monitoring.write