Questa pagina descrive gli approfondimenti di Network Analyzer per gli approfondimenti sugli account di servizio dei nodi di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Per visualizzare questi approfondimenti nell'interfaccia a riga di comando gcloud o nell'API Recommender, utilizza il seguente tipo di approfondimento:
google.networkanalyzer.container.serviceAccountInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeServiceAccountInsights.list
recommender.networkAnalyzerGkeServiceAccountInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli approfondimenti di Network Analyzer, consulta Utilizzare l'API e l'interfaccia a riga di comando Recommender.
L'account di servizio del nodo GKE è disabilitato
Questo insight indica che uno o più pool nel cluster utilizzano un account di servizio del nodo GKE disattivato, il che potrebbe causare un fallimento del bootstrap e della registrazione di eventuali nodi nel cluster creati quando l'account di servizio è disattivato.
Questa informazione include le seguenti informazioni:
- Account di servizio:un tipo speciale di account utilizzato in genere da un'applicazione o da un carico di lavoro di calcolo, come un'istanza Compute Engine, anziché da una persona. È identificato dal rispettivo indirizzo email, che è univoco per l'account. Queste informazioni sono disponibili nell'API Recommender.
- Cluster GKE:il nome del cluster GKE
- Node pool:un elenco di pool di nodi che utilizzano l'account di servizio disabilitato
Argomenti correlati
Per ulteriori informazioni, consulta Abilitare l'account di servizio predefinito di Compute Engine e Disattivare un account di servizio.
Consigli
Attiva l'account di servizio del nodo. Se nei pool di nodi interessati sono presenti nodi non registrati, questi verranno riavviati e registrati correttamente al cluster. Potrebbe essere necessario del tempo per il riavvio di tutti i nodi. Per una risoluzione rapida, ti consigliamo di ridimensionare il pool di nodi impostandolo su zero nodi e poi di nuovo su X nodi oppure di creare un nuovo pool di nodi che utilizzi lo stesso account di servizio del node.
Il pool di nodi GKE utilizza l'account di servizio predefinito di Compute Engine
Un pool di nodi nel cluster GKE utilizza l'account di servizio predefinito di Compute Engine come account di servizio del nodo. Questo account richiede più autorizzazioni di quelle necessarie per eseguire il cluster Google Kubernetes Engine.
Questa informazione include le seguenti informazioni:
- Cluster GKE:un nome del cluster GKE
- Node pool:un elenco di pool di nodi che utilizzano l'account di servizio predefinito
Argomenti correlati
Per ulteriori informazioni, consulta Utilizzare i service privilegio minimo minimi.
Consigli
Anziché l'account di servizio predefinito di Compute Engine, crea e usa un account di servizio con meno privilegi per i tuoi nodi.
Gli ambiti di accesso del pool di nodi GKE sono configurati in modo errato
Un pool di nodi nel tuo cluster GKE ha ambiti di accesso specificati manualmente, ma gli ambiti specificati non sono sufficienti per registrare un nodo.
Se i tuoi carichi di lavoro utilizzano Credenziali predefinite dell'applicazione (ADC), gli ambiti di accesso sono il metodo precedente per concedere autorizzazioni per i tuoi nodi e per i carichi di lavoro in esecuzione sui tuoi nodi. Per i nodi GKE, utilizza sempre almeno gli ambiti predefiniti, altrimenti non potranno essere registrati.
Questa informazione include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE
- Node pool: un elenco di node pool con ambiti di accesso configurati in modo errato
Argomenti correlati
Per ulteriori informazioni, consulta Ampi di accesso in GKE.
Consigli
Sostituisci il pool di nodi con uno con ambiti di accesso sufficienti. Per creare un pool di nodi con ambiti di accesso sufficienti, svolgi una delle seguenti operazioni:
Crea il nuovo pool di nodi senza specificare gli ambiti di accesso. In Google Cloud CLI, non includere il flag
--scopes
quando chiamigcloud container node-pools create
.Per autorizzare i carichi di lavoro in esecuzione sui tuoi nodi, utilizza le autorizzazioni Identity and Access Management (IAM) o il controllo controllo dell'accesso basato sui ruoli (RBAC) di Kubernetes. Questo serve a concedere l'accesso ad account di servizio IAM o account di servizio Kubernetes specifici. Per ulteriori informazioni, consulta Configurare un account di servizio personalizzato per i carichi di lavoro.
Nell'elenco del nuovo pool di nodi degli ambiti di accesso specificati manualmente, aggiungi i seguenti ambiti.
https://www.googleapis.com/auth/devstorage.read_only
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/trace.append
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write