노드 서비스 계정을 사용 설정합니다.
영향을 받는 노드 풀에 등록되지 않은 노드가 있으면 노드가 다시 시작되고 클러스터에 적절하게 등록됩니다. 모든 노드를 다시 시작하려면 다소 시간이 걸릴 수 있습니다. 빠른 해결을 위해서는 노드 풀 크기를 0개 노드로 조절하고 다시 원하는 개수(X)의 노드로 조절하거나 동일한 노드 서비스 계정을 사용하는 새 노드 풀을 만드는 것이 좋습니다.
GKE 노드 풀은 Compute Engine 기본 서비스 계정을 사용합니다.
GKE 클러스터의 노드 풀은 Compute Engine 기본 서비스 계정을 노드 서비스 계정으로 사용합니다. 이 계정에는 Google Kubernetes Engine 클러스터를 실행하는 데 필요한 것보다 많은 권한이 필요합니다.
Compute Engine 기본 서비스 계정 대신 노드에 대해 권한이 낮은 서비스 계정을 만들고 사용합니다.
GKE 노드 풀에 잘못 구성된 액세스 범위가 포함됨
GKE 클러스터의 노드 풀에는 액세스 범위가 수동으로 지정되지만 지정된 범위가 노드를 등록하는 데 충분하지 않습니다.
워크로드에 애플리케이션 기본 사용자 인증 정보(ADC)가 사용되는 경우 액세스 범위는 노드 및 노드에서 실행되는 워크로드에 대해 권한을 부여하는 기존 방법입니다.
GKE 노드에 대해서는 항상 최소한 기본 범위 이상을 사용해야 합니다. 그렇지 않으면 노드가 등록되지 않습니다.
노드 풀을 액세스 범위가 충분한 노드 풀로 바꿉니다. 액세스 범우가 충분한 노드 풀을 만들려면 다음 중 하나를 수행합니다.
액세스 범위를 지정하지 않고 새 노드 풀을 만듭니다. Google Cloud CLI에서 gcloud container node-pools create를 호출할 때 --scopes 플래그를 포함하지 않습니다.
노드에서 실행 중인 워크로드를 승인하려면 Identity and Access Management(IAM) 권한 또는 Kubernetes 역할 기반 액세스 제어(RBAC)를 사용합니다.
이는 특정 IAM 서비스 계정 또는 Kubernetes 서비스 계정에 대해 액세스 권한을 부여합니다. 자세한 내용은 워크로드의 커스텀 서비스 계정 구성을 참조하세요.
[[["이해하기 쉬움","easyToUnderstand","thumb-up"],["문제가 해결됨","solvedMyProblem","thumb-up"],["기타","otherUp","thumb-up"]],[["이해하기 어려움","hardToUnderstand","thumb-down"],["잘못된 정보 또는 샘플 코드","incorrectInformationOrSampleCode","thumb-down"],["필요한 정보/샘플이 없음","missingTheInformationSamplesINeed","thumb-down"],["번역 문제","translationIssue","thumb-down"],["기타","otherDown","thumb-down"]],["최종 업데이트: 2025-09-04(UTC)"],[],[],null,["# GKE node service account insights\n\nThis page describes the Network Analyzer insights for\nGoogle Kubernetes Engine (GKE) node service account insights. For information about\nall the insight types, see\n[Insight groups and types](/network-intelligence-center/docs/network-analyzer/insight-groups-types).\n\nTo view these insights in the gcloud CLI or the Recommender API,\nuse the following insight type:\n\n- `google.networkanalyzer.container.serviceAccountInsight`\n\nYou need the following permissions:\n\n- `recommender.networkAnalyzerGkeServiceAccountInsights.list`\n- `recommender.networkAnalyzerGkeServiceAccountInsights.get`\n\nFor more information about using the Recommender API for\nNetwork Analyzer insights, see\n[Use the Recommender CLI and API](/network-intelligence-center/docs/network-analyzer/use-cli-recommender-api).\n\nGKE node service account is disabled\n------------------------------------\n\nThis insight indicates that one or more pools in the cluster use a\ndisabled GKE node service account, which could lead to failed\nbootstrap and registration of any nodes in the cluster created when the\nservice account is disabled.\n\nThis insight includes the following information:\n\n- **Service account:** a special kind of account typically used by an application or compute workload, such as a Compute Engine instance, rather than a person. It is identified by its email address, which is unique to the account. This information is available in [Recommender API](/network-intelligence-center/docs/network-analyzer/use-cli-recommender-api).\n- **GKE cluster:** the name of the GKE cluster\n- **Node pools:** a list of node pools using the disabled service account\n\n### Related topics\n\nFor more information, see\n[Enable Compute Engine default service account](/kubernetes-engine/docs/troubleshooting/service-accounts#enable-compute-engine-service-account)\nand [Disabling a service account](/iam/docs/service-accounts-disable-enable#disabling).\n\n### Recommendations\n\n[Enable the node service account](/iam/docs/creating-managing-service-accounts#enabling).\nIf there are unregistered nodes in the affected node pools, the nodes will\nrestart and properly register to the cluster. It might take some time\nfor all nodes to restart. For a fast resolution, we recommend that you\n[resize](/kubernetes-engine/docs/how-to/resizing-a-cluster) the node pool to\nzero nodes and back to X nodes or create a new node pool that uses the\nsame node service account.\n\nGKE node pool uses the Compute Engine default service account\n-------------------------------------------------------------\n\nA node pool in your GKE cluster uses the Compute Engine\ndefault service account as its node service account. This account requires more\npermissions than are required to run your Google Kubernetes Engine cluster.\n\nThis insight includes the following information:\n\n- **GKE cluster:** a name of the GKE cluster\n- **Node pools:** a list of node pools using the default service account\n\n### Related topics\n\nFor more information, see\n[Use least privilege service accounts](/kubernetes-engine/docs/how-to/hardening-your-cluster#use_least_privilege_sa).\n\n### Recommendations\n\nInstead of the Compute Engine default service account, create and\nuse a less privileged service account for your nodes.\n\nGKE node pool has misconfigured access scopes\n---------------------------------------------\n\nA node pool in your GKE cluster has manually specified\naccess scopes, but the specified scopes are insufficient to register a node.\n\nIf your workloads use\n[Application Default Credentials (ADC)](/docs/authentication/application-default-credentials),\n[access scopes](/kubernetes-engine/docs/how-to/access-scopes) are the legacy\nmethod for granting permissions for your nodes\nand for the workloads that are running on your nodes.\nFor GKE nodes, always use at least the default scopes or\nthey won't be able to register.\n\nThis insight includes the following information:\n\n- **GKE cluster:** the name of the GKE cluster\n- **Node pools:** a list of node pools with misconfigured access scopes\n\n### Related topics\n\nFor more information, see\n[Access scopes in GKE](/kubernetes-engine/docs/how-to/access-scopes).\n\n### Recommendations\n\nReplace the node pool with one with sufficient access scopes. To create a\nnode pool with sufficient access scopes, do one of the following:\n\n- Create the new node pool without specifying access scopes. In the\n Google Cloud CLI, don't include the flag `--scopes` when calling\n `gcloud container node-pools create`.\n\n To authorize workloads running on your nodes, use\n Identity and Access Management (IAM) permissions or Kubernetes\n [role-based access control (RBAC)](/kubernetes-engine/docs/how-to/role-based-access-control).\n This is to grant access to specific IAM service accounts or\n Kubernetes service accounts. For more information, see\n [Configuring a custom service account for workloads](/kubernetes-engine/docs/how-to/access-scopes#service_account).\n- In the new node pool list of manually specified access scopes,\n add the following scopes.\n\n - `https://www.googleapis.com/auth/devstorage.read_only`\n - `https://www.googleapis.com/auth/service.management.readonly`\n - `https://www.googleapis.com/auth/servicecontrol`\n - `https://www.googleapis.com/auth/trace.append`\n - `https://www.googleapis.com/auth/logging.write`\n - `https://www.googleapis.com/auth/monitoring.write`"]]