GKE 노드 서비스 계정 통계

이 페이지에서는 Google Kubernetes Engine(GKE) 노드 서비스 계정 통계에 대한 네트워크 분석기 통계를 설명합니다. 모든 통계 유형에 대한 자세한 내용은 통계 그룹 및 유형을 참조하세요.

gcloud CLI 또는 Recommender API에서 이러한 통계를 보려면 다음 통계 유형을 사용하세요.

  • google.networkanalyzer.container.serviceAccountInsight

다음 권한이 필요합니다.

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

네트워크 분석기 통계에 Recommender API를 사용하는 방법에 대한 자세한 내용은 Recommender CLI 및 API 사용을 참조하세요.

GKE 노드 서비스 계정이 사용 중지됨

이 통계는 클러스터에서 하나 이상의 풀에 사용 중지된 GKE 노드 서비스 계정이 사용됨을 나타냅니다. 서비스 계정이 사용 중지된 경우 생성된 클러스터에서 노드의 부트스트랩 및 등록이 실패할 수 있습니다.

이 통계에는 다음 정보가 포함됩니다.

  • 서비스 계정: 일반적으로 사용자가 아닌 Compute Engine 인스턴스와 같은 애플리케이션 또는 컴퓨팅 워크로드에서 사용되는 특별한 유형의 계정입니다. 계정 고유의 이메일 주소로 식별됩니다. 이 정보는 Recommender API에서 제공됩니다.
  • GKE 클러스터: GKE 클러스터의 이름입니다.
  • 노드 풀: 사용 중지된 서비스 계정을 사용하는 노드 풀의 목록입니다.

자세한 내용은 Compute Engine 기본 서비스 계정 사용 설정서비스 계정 사용 중지를 참조하세요.

권장사항

노드 서비스 계정을 사용 설정합니다. 영향을 받는 노드 풀에 등록되지 않은 노드가 있으면 노드가 다시 시작되고 클러스터에 적절하게 등록됩니다. 모든 노드를 다시 시작하려면 다소 시간이 걸릴 수 있습니다. 빠른 해결을 위해서는 노드 풀 크기를 0개 노드로 조절하고 다시 원하는 개수(X)의 노드로 조절하거나 동일한 노드 서비스 계정을 사용하는 새 노드 풀을 만드는 것이 좋습니다.

GKE 노드 풀은 Compute Engine 기본 서비스 계정을 사용합니다.

GKE 클러스터의 노드 풀은 Compute Engine 기본 서비스 계정을 노드 서비스 계정으로 사용합니다. 이 계정에는 Google Kubernetes Engine 클러스터를 실행하는 데 필요한 것보다 많은 권한이 필요합니다.

이 통계에는 다음 정보가 포함됩니다.

  • GKE 클러스터: GKE 클러스터의 이름입니다.
  • 노드 풀: 기본 서비스 계정을 사용하는 노드 풀의 목록입니다.

자세한 내용은 최소 권한의 서비스 계정 사용을 참조하세요.

권장사항

Compute Engine 기본 서비스 계정 대신 노드에 대해 권한이 낮은 서비스 계정을 만들고 사용합니다.

GKE 노드 풀에 잘못 구성된 액세스 범위가 포함됨

GKE 클러스터의 노드 풀에는 액세스 범위가 수동으로 지정되지만 지정된 범위가 노드를 등록하는 데 충분하지 않습니다.

워크로드에 애플리케이션 기본 사용자 인증 정보(ADC)가 사용되는 경우 액세스 범위는 노드 및 노드에서 실행되는 워크로드에 대해 권한을 부여하는 기존 방법입니다. GKE 노드에 대해서는 항상 최소한 기본 범위 이상을 사용해야 합니다. 그렇지 않으면 노드가 등록되지 않습니다.

이 통계에는 다음 정보가 포함됩니다.

  • GKE 클러스터: GKE 클러스터의 이름입니다.
  • 노드 풀: 잘못 구성된 액세스 범위의 노드 풀 목록입니다.

자세한 내용은 GKE의 액세스 범위를 참조하세요.

권장사항

노드 풀을 액세스 범위가 충분한 노드 풀로 바꿉니다. 액세스 범우가 충분한 노드 풀을 만들려면 다음 중 하나를 수행합니다.

  • 액세스 범위를 지정하지 않고 새 노드 풀을 만듭니다. Google Cloud CLI에서 gcloud container node-pools create를 호출할 때 --scopes 플래그를 포함하지 않습니다.

    노드에서 실행 중인 워크로드를 승인하려면 Identity and Access Management(IAM) 권한 또는 Kubernetes 역할 기반 액세스 제어(RBAC)를 사용합니다. 이는 특정 IAM 서비스 계정 또는 Kubernetes 서비스 계정에 대해 액세스 권한을 부여합니다. 자세한 내용은 워크로드의 커스텀 서비스 계정 구성을 참조하세요.

  • 수동으로 지정된 액세스 범위의 새 노드 풀 목록에서 다음 범위를 추가합니다.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write