Halaman ini menjelaskan insight Network Analyzer untuk insight akun layanan node Google Kubernetes Engine (GKE). Untuk mengetahui informasi tentang semua jenis insight, lihat Grup dan jenis insight.
Untuk melihat insight ini di gcloud CLI atau Recommender API, gunakan jenis insight berikut:
google.networkanalyzer.container.serviceAccountInsight
Anda memerlukan izin berikut:
recommender.networkAnalyzerGkeServiceAccountInsights.list
recommender.networkAnalyzerGkeServiceAccountInsights.get
Untuk informasi selengkapnya tentang penggunaan Recommender API untuk insight Penganalisis Jaringan, lihat Menggunakan Recommender CLI dan API.
Akun layanan node GKE dinonaktifkan
Insight ini menunjukkan bahwa satu atau beberapa kumpulan di cluster menggunakan akun layanan node GKE yang dinonaktifkan, yang dapat menyebabkan kegagalan bootstrap dan pendaftaran node apa pun di cluster yang dibuat saat akun layanan dinonaktifkan.
Insight ini mencakup informasi berikut:
- Akun layanan: jenis akun khusus yang biasanya digunakan oleh aplikasi atau workload komputasi, seperti instance Compute Engine, bukan oleh pengguna. Akun ini diidentifikasi oleh alamat emailnya, yang bersifat unik untuk akun tersebut. Informasi ini tersedia di Recommender API.
- Cluster GKE: nama cluster GKE
- Node pool: daftar node pool yang menggunakan akun layanan yang dinonaktifkan
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan akun layanan default Compute Engine dan Menonaktifkan akun layanan.
Rekomendasi
Aktifkan akun layanan node. Jika ada node yang tidak terdaftar di node pool yang terpengaruh, node akan dimulai ulang dan terdaftar dengan benar ke cluster. Mungkin perlu waktu beberapa saat agar semua node dimulai ulang. Untuk resolusi yang cepat, sebaiknya Anda mengubah ukuran node pool menjadi nol node dan kembali ke X node atau membuat node pool baru yang menggunakan akun layanan node yang sama.
Node pool GKE menggunakan akun layanan default Compute Engine
Node pool di cluster GKE Anda menggunakan akun layanan default Compute Engine sebagai akun layanan node-nya. Akun ini memerlukan lebih banyak izin daripada yang diperlukan untuk menjalankan cluster Google Kubernetes Engine Anda.
Insight ini mencakup informasi berikut:
- Cluster GKE: nama cluster GKE
- Node pool: daftar node pool yang menggunakan akun layanan default
Topik terkait
Untuk informasi selengkapnya, lihat Menggunakan akun layanan dengan hak istimewa terendah.
Rekomendasi
Buat dan gunakan akun layanan dengan hak istimewa yang lebih sedikit untuk node Anda, bukan akun layanan default Compute Engine.
Cakupan akses node pool GKE salah dikonfigurasi
Node pool di cluster GKE Anda memiliki cakupan akses yang ditentukan secara manual, tetapi cakupan yang ditentukan tidak memadai untuk mendaftarkan node.
Jika workload Anda menggunakan Kredensial Default Aplikasi (ADC), cakupan akses adalah metode lama untuk memberikan izin bagi node Anda dan untuk workload yang berjalan di node Anda. Untuk node GKE, selalu gunakan setidaknya cakupan default atau node tersebut tidak akan dapat mendaftar.
Insight ini mencakup informasi berikut:
- Cluster GKE: nama cluster GKE
- Node pool: daftar node pool dengan cakupan akses yang salah dikonfigurasi
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Cakupan akses di GKE.
Rekomendasi
Ganti node pool dengan node pool yang memiliki cakupan akses yang memadai. Untuk membuat node pool dengan cakupan akses yang memadai, lakukan salah satu hal berikut:
Buat node pool baru tanpa menentukan cakupan akses. Di Google Cloud CLI, jangan sertakan flag
--scopes
saat memanggilgcloud container node-pools create
.Untuk memberikan otorisasi pada workload yang berjalan di node Anda, gunakan izin Identity and Access Management (IAM) atau kontrol akses berbasis peran (RBAC) Kubernetes. Hal ini untuk memberikan akses ke akun layanan IAM atau akun layanan Kubernetes tertentu. Untuk informasi selengkapnya, lihat Mengonfigurasi akun layanan kustom untuk workload.
Dalam daftar cakupan akses yang ditentukan secara manual untuk node pool baru, tambahkan cakupan berikut.
https://www.googleapis.com/auth/devstorage.read_only
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/trace.append
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write