In questa pagina vengono descritti gli insight di Network Analyzer per Insight sugli account di servizio dei nodi Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Per visualizzare questi approfondimenti nell'interfaccia a riga di comando gcloud o nell'API Recommender, utilizza il seguente tipo di approfondimento:
google.networkanalyzer.container.serviceAccountInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeServiceAccountInsights.listrecommender.networkAnalyzerGkeServiceAccountInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli approfondimenti di Network Analyzer, consulta Utilizzare l'API e l'interfaccia a riga di comando Recommender.
L'account di servizio del nodo GKE è disabilitato
Questo insight indica che uno o più pool nel cluster utilizzano un'istanza disabilitato dell'account di servizio del nodo GKE. Questo potrebbe causare un errore il bootstrap e la registrazione dei nodi nel cluster creati quando l'account di servizio sia disabilitato.
Questa informazione include le seguenti informazioni:
- Account di servizio: un tipo speciale di account utilizzato in genere da un'applicazione o da un carico di lavoro di calcolo, come un'istanza Compute Engine, anziché da una persona. È identificato dal suo indirizzo email, univoco per l'account. Queste informazioni sono disponibili nell'API Recommender.
- Cluster GKE:il nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio disabilitato
Argomenti correlati
Per ulteriori informazioni, consulta Abilitare l'account di servizio predefinito di Compute Engine e Disattivare un account di servizio.
Consigli
Attiva l'account di servizio del nodo. Se nei pool di nodi interessati sono presenti nodi non registrati, questi riavviare e registrarsi correttamente nel cluster. L'operazione potrebbe richiedere del tempo il riavvio di tutti i nodi. Per una risoluzione rapida, ti consigliamo di ridimensiona il pool di nodi zero nodi e torna a X nodi oppure crea un nuovo pool di nodi che utilizzi nello stesso account di servizio.
Il pool di nodi GKE utilizza l'account di servizio predefinito di Compute Engine
Un pool di nodi nel tuo cluster GKE utilizza Compute Engine predefinito come account di servizio del nodo. Questo account richiede più risorse necessarie per eseguire il cluster Google Kubernetes Engine.
Questo insight include le seguenti informazioni:
- Cluster GKE:un nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio predefinito
Argomenti correlati
Per ulteriori informazioni, consulta Utilizzare gli account di servizio con privilegi minimi.
Consigli
Anziché l'account di servizio predefinito di Compute Engine, crea e usa un account di servizio con meno privilegi per i tuoi nodi.
Il pool di nodi GKE ha ambiti di accesso configurati in modo errato
Un pool di nodi nel tuo cluster GKE ha ambiti di accesso specificati manualmente, ma gli ambiti specificati non sono sufficienti per registrare un nodo.
Se i tuoi carichi di lavoro utilizzano Credenziali predefinite dell'applicazione (ADC), gli ambiti di accesso sono legacy per concedere le autorizzazioni per i nodi e per i carichi di lavoro in esecuzione sui nodi. Per i nodi GKE, utilizza sempre almeno gli ambiti predefiniti non potrà registrarsi.
Questa informazione include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE
- Pool di nodi: un elenco di pool di nodi con ambiti di accesso configurati in modo errato
Argomenti correlati
Per ulteriori informazioni, vedi Accedi agli ambiti in GKE.
Consigli
Sostituisci il pool di nodi con uno con ambiti di accesso sufficienti. Per creare un pool di nodi con ambiti di accesso sufficienti, svolgi una delle seguenti operazioni:
Crea il nuovo pool di nodi senza specificare gli ambiti di accesso. In Google Cloud CLI, non includere il flag
--scopesquando chiamigcloud container node-pools create.Per autorizzare i carichi di lavoro in esecuzione sui nodi, utilizza Autorizzazioni IAM (Identity and Access Management) o Kubernetes controllo controllo dell'accesso basato sui ruoli (RBAC). Questo serve a concedere l'accesso ad account di servizio IAM o account di servizio Kubernetes specifici. Per ulteriori informazioni, consulta Configurare un account di servizio personalizzato per i carichi di lavoro.
Nell'elenco del nuovo pool di nodi degli ambiti di accesso specificati manualmente, aggiungi i seguenti ambiti.
https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/service.management.readonlyhttps://www.googleapis.com/auth/servicecontrolhttps://www.googleapis.com/auth/trace.appendhttps://www.googleapis.com/auth/logging.writehttps://www.googleapis.com/auth/monitoring.write