Se usó la API de Cloud Translation para traducir esta página.

Estadísticas de la cuenta de servicio de nodo de GKE

En esta página, se describen las estadísticas de Network Analyzer para las estadísticas de cuentas de servicio de nodos de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Para ver estas estadísticas en la CLI de gcloud o la API de Recommender, usa el siguiente tipo de estadística:

google.networkanalyzer.container.serviceAccountInsight

Necesitas los siguientes permisos:

recommender.networkAnalyzerGkeServiceAccountInsights.list
recommender.networkAnalyzerGkeServiceAccountInsights.get

Si deseas obtener más información sobre el uso de la API de Recommender para Estadísticas de Network Analyzer, consulta Usa la CLI y la API del recomendador.

La cuenta de servicio del nodo de GKE está inhabilitada

Esta estadística indica que uno o más grupos del clúster usan una cuenta de servicio de nodo de GKE inhabilitada, lo que podría provocar que falle el inicio y el registro de cualquier nodo del clúster creado cuando se inhabilita la cuenta de servicio.

Esta estadística incluye la siguiente información:

Cuenta de servicio: un tipo especial de cuenta que suele usar una de procesamiento o aplicación, como una instancia de Compute Engine, en lugar de una persona. Se identifica por su dirección de correo electrónico, que es único para la cuenta. Esta información se disponible en la API de Recommender.
Clúster de GKE: Es el nombre del clúster de GKE.
Grupos de nodos: una lista de grupos de nodos que usan la cuenta de servicio inhabilitada

Temas relacionados

Para obtener más información, consulta Habilita la cuenta de servicio predeterminada de Compute Engine y Cómo inhabilitar una cuenta de servicio.

Recomendaciones

Habilita la cuenta de servicio del nodo. Si hay nodos sin registrar en los grupos de nodos afectados, los nodos reiniciarse y registrarse correctamente en el clúster. Puede llevar un tiempo para que se reinicien todos los nodos. Para obtener una resolución rápida, te recomendamos que redimensiones el grupo de nodos a cero nodos y vuelvas a X nodos, o bien que crees un grupo de nodos nuevo que use la misma cuenta de servicio del nodo.

El grupo de nodos de GKE usa la cuenta de servicio predeterminada de Compute Engine

Un grupo de nodos en tu clúster de GKE usa la cuenta de servicio predeterminada de Compute Engine como su cuenta de servicio de nodo. Esta cuenta requiere más permisos de los necesarios para ejecutar tu clúster de Google Kubernetes Engine.

Esta estadística incluye la siguiente información:

Clúster de GKE: Es un nombre del clúster de GKE.
Grupos de nodos: Una lista de grupos de nodos que usan la cuenta de servicio predeterminada

Temas relacionados

Para obtener más información, consulta Usa cuentas de servicio con privilegios mínimos.

Recomendaciones

En lugar de la cuenta de servicio predeterminada de Compute Engine, crea y usa una cuenta de servicio con menos privilegios para tus nodos.

El grupo de nodos de GKE tiene permisos de acceso configurados incorrectamente

Un grupo de nodos de tu clúster de GKE tiene permisos de acceso especificados de forma manual, pero los permisos especificados no son suficientes para registrar un nodo.

Si tus cargas de trabajo usan Credenciales predeterminadas de la aplicación (ADC), los permisos de acceso son los heredados método para otorgar permisos para tus nodos y para las cargas de trabajo que se ejecutan en tus nodos. Para los nodos de GKE, usa siempre al menos los permisos predeterminados o no podrán registrarse.

Esta estadística incluye la siguiente información:

Clúster de GKE: Es el nombre del clúster de GKE.
Grupos de nodos: Una lista de grupos de nodos con permisos de acceso mal configurados

Temas relacionados

Para obtener más información, consulta Permisos de acceso en GKE.

Recomendaciones

Reemplaza el grupo de nodos por uno con permisos de acceso suficientes. Para crear un grupo de nodos con suficientes niveles de acceso, haz una de las siguientes acciones:

Crea el grupo de nodos nuevo sin especificar permisos de acceso. En Google Cloud CLI, no incluyas la marca --scopes cuando llames a gcloud container node-pools create.

Para autorizar las cargas de trabajo que se ejecutan en tus nodos, usa permisos de Identity and Access Management (IAM) o Kubernetes Control de acceso basado en funciones (RBAC). Esto es para otorgar acceso a cuentas de servicio de IAM o de Kubernetes específicas. Para obtener más información, consulta Configura una cuenta de servicio personalizada para cargas de trabajo.
En la nueva lista de grupos de nodos de los niveles de acceso especificados de forma manual, agrega los siguientes niveles.
- https://www.googleapis.com/auth/devstorage.read_only
- https://www.googleapis.com/auth/service.management.readonly
- https://www.googleapis.com/auth/servicecontrol
- https://www.googleapis.com/auth/trace.append
- https://www.googleapis.com/auth/logging.write
- https://www.googleapis.com/auth/monitoring.write