Esta página descreve as estatísticas do analisador de rede para as estatísticas da conta de serviço do nó do Google Kubernetes Engine (GKE). Para obter informações sobre todos os tipos de estatísticas, consulte o artigo Grupos e tipos de estatísticas.
Para ver estas informações detalhadas na CLI gcloud ou na API Recommender, use o seguinte tipo de informação detalhada:
google.networkanalyzer.container.serviceAccountInsight
Precisa das seguintes autorizações:
recommender.networkAnalyzerGkeServiceAccountInsights.listrecommender.networkAnalyzerGkeServiceAccountInsights.get
Para mais informações sobre a utilização da API Recommender para estatísticas do Network Analyzer, consulte o artigo Utilize a CLI e a API Recommender.
A conta de serviço do nó do GKE está desativada
Esta estatística indica que um ou mais conjuntos no cluster usam uma conta de serviço do nó do GKE desativada, o que pode levar a falhas na inicialização e no registo de quaisquer nós no cluster criados quando a conta de serviço está desativada.
Esta estatística inclui as seguintes informações:
- Conta de serviço: um tipo especial de conta normalmente usado por uma aplicação ou uma carga de trabalho de computação, como uma instância do Compute Engine, em vez de uma pessoa. É identificada pelo respetivo endereço de email, que é exclusivo da conta. Estas informações estão disponíveis na API Recommender.
- Cluster do GKE: o nome do cluster do GKE
- Pools de nós: uma lista de pools de nós que usam a conta de serviço desativada
Tópicos relacionados
Para mais informações, consulte os artigos Ative a conta de serviço predefinida do Compute Engine e Desativar uma conta de serviço.
Recomendações
Ative a conta de serviço do nó. Se existirem nós não registados nos conjuntos de nós afetados, os nós são reiniciados e registados corretamente no cluster. O reinício de todos os nós pode demorar algum tempo. Para uma resolução rápida, recomendamos que redimensione o conjunto de nós para zero nós e, em seguida, para X nós, ou crie um novo conjunto de nós que use a mesma conta de serviço de nós.
O pool de nós do GKE usa a conta de serviço predefinida do Compute Engine
Um conjunto de nós no seu cluster do GKE usa a conta de serviço predefinida do Compute Engine como conta de serviço de nós. Esta conta requer mais autorizações do que as necessárias para executar o cluster do Google Kubernetes Engine.
Esta estatística inclui as seguintes informações:
- Cluster do GKE: um nome do cluster do GKE
- Pools de nós: uma lista de pools de nós que usam a conta de serviço predefinida
Tópicos relacionados
Para mais informações, consulte o artigo Use contas de serviço com o menor número possível de privilégios.
Recomendações
Em vez da conta de serviço predefinida do Compute Engine, crie e use uma conta de serviço com menos privilégios para os seus nós.
O grupo de nós do GKE tem âmbitos de acesso configurados incorretamente
Um conjunto de nós no seu cluster do GKE tem âmbitos de acesso especificados manualmente, mas os âmbitos especificados são insuficientes para registar um nó.
Se as suas cargas de trabalho usarem as Credenciais padrão da aplicação (ADC), os âmbitos de acesso são o método antigo para conceder autorizações aos seus nós e às cargas de trabalho que estão a ser executadas nos seus nós. Para os nós do GKE, use sempre, pelo menos, os âmbitos predefinidos ou não vão conseguir registar-se.
Esta estatística inclui as seguintes informações:
- Cluster do GKE: o nome do cluster do GKE
- Pools de nós: uma lista de pools de nós com âmbitos de acesso configurados incorretamente
Tópicos relacionados
Para mais informações, consulte o artigo Âmbitos de acesso no GKE.
Recomendações
Substitua o conjunto de nós por um com âmbitos de acesso suficientes. Para criar um conjunto de nós com âmbitos de acesso suficientes, faça uma das seguintes ações:
Crie o novo node pool sem especificar âmbitos de acesso. Na CLI gcloud, não inclua a flag
--scopesquando chamargcloud container node-pools create.Para autorizar cargas de trabalho em execução nos seus nós, use as autorizações de gestão de identidade e de acesso (IAM) ou o controlo de acesso baseado em funções (CABF) do Kubernetes. Isto destina-se a conceder acesso a contas de serviço IAM específicas ou contas de serviço do Kubernetes. Para mais informações, consulte o artigo Configurar uma conta de serviço personalizada para cargas de trabalho.
Na nova lista de conjuntos de nós de âmbitos de acesso especificados manualmente, adicione os seguintes âmbitos.
https://www.googleapis.com/auth/devstorage.read_onlyhttps://www.googleapis.com/auth/service.management.readonlyhttps://www.googleapis.com/auth/servicecontrolhttps://www.googleapis.com/auth/trace.appendhttps://www.googleapis.com/auth/logging.writehttps://www.googleapis.com/auth/monitoring.write