Insight sugli account di servizio del nodo GKE

In questa pagina vengono descritti gli insight di Network Analyzer per gli insight sugli account di servizio dei nodi di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.

Per visualizzare questi insight nell'interfaccia alla gcloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:

  • google.networkanalyzer.container.serviceAccountInsight

Devi disporre delle seguenti autorizzazioni:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizzare l'interfaccia a riga di comando e l'API del motore per suggerimenti.

L'account di servizio del nodo GKE è disabilitato

Indica che uno o più pool nel cluster utilizzano un account di servizio del nodo GKE disabilitato, il che potrebbe causare un bootstrap non riuscito e la registrazione di eventuali nodi nel cluster creato quando l'account di servizio è disabilitato.

Questo approfondimento include le seguenti informazioni:

  • Account di servizio: un tipo speciale di account generalmente utilizzato da un'applicazione o da un carico di lavoro di computing, ad esempio un'istanza di Compute Engine, anziché una persona. È identificato dal suo indirizzo email, che è univoco per l'account. Queste informazioni sono disponibili nell'API motore per suggerimenti.
  • Cluster GKE:il nome del cluster GKE
  • Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio disabilitato

Per maggiori informazioni, consulta Abilitare l'account di servizio predefinito di Compute Engine e Disabilitare un account di servizio.

Suggerimenti

Abilita l'account di servizio del nodo. Se sono presenti nodi non registrati nei pool di nodi interessati, questi verranno riavviati e verranno registrati correttamente nel cluster. Il riavvio di tutti i nodi potrebbe richiedere tempo. Per una risoluzione rapida, ti consigliamo di resize il pool di nodi a zero nodi e di nuovo a X nodi o di creare un nuovo pool di nodi che utilizzi lo stesso account di servizio dei nodi.

Il pool di nodi GKE utilizza l'account di servizio predefinito di Compute Engine

Un pool di nodi nel tuo cluster GKE utilizza l'account di servizio predefinito di Compute Engine come account di servizio nodo. Questo account richiede più autorizzazioni di quelle necessarie per eseguire il cluster Google Kubernetes Engine.

Questo approfondimento include le seguenti informazioni:

  • Cluster GKE:un nome del cluster GKE
  • Pool di nodi: un elenco di pool di nodi che utilizzano l'account di servizio predefinito

Per maggiori informazioni, consulta Utilizzare gli account di servizio con privilegi minimi.

Suggerimenti

Anziché l'account di servizio predefinito di Compute Engine, crea e utilizza un account di servizio con meno privilegi per i nodi.

Il pool di nodi GKE ha ambiti di accesso configurati in modo errato

Un pool di nodi nel cluster GKE ha ambiti di accesso specificati manualmente, ma gli ambiti specificati non sono sufficienti per registrare un nodo.

Se i tuoi carichi di lavoro utilizzano le Credenziali predefinite dell'applicazione (ADC), gli ambiti di accesso sono il metodo legacy per concedere le autorizzazioni per i nodi e per i carichi di lavoro in esecuzione sui nodi. Per i nodi GKE, utilizza sempre almeno gli ambiti predefiniti, altrimenti non potranno effettuare la registrazione.

Questo approfondimento include le seguenti informazioni:

  • Cluster GKE:il nome del cluster GKE
  • Pool di nodi: un elenco di pool di nodi con ambiti di accesso configurati in modo errato

Per maggiori informazioni, consulta Ambiti di accesso in GKE.

Suggerimenti

Sostituisci il pool di nodi con uno con ambiti di accesso sufficienti. Per creare un pool di nodi con ambiti di accesso sufficienti, esegui una delle seguenti operazioni:

  • Crea il nuovo pool di nodi senza specificare gli ambiti di accesso. In Google Cloud CLI, non includere il flag --scopes quando chiami gcloud container node-pools create.

    Per autorizzare i carichi di lavoro in esecuzione sui nodi, utilizza le autorizzazioni IAM (Identity and Access Management) o il controllo controllo dell'accesso basato su ruoli (RBAC) di Kubernetes. Consente di concedere l'accesso a specifici account di servizio IAM o account di servizio Kubernetes. Per maggiori informazioni, consulta Configurazione di un account di servizio personalizzato per i carichi di lavoro.

  • Nel nuovo elenco di pool di nodi degli ambiti di accesso specificati manualmente, aggiungi i seguenti ambiti.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write