Insights da conta de serviço do nó do GKE

Nesta página, descrevemos os insights do Network Analyzer para insights da conta de serviço do nó do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.

Para acessar esses insights na CLI gcloud ou na API Recommender, use o seguinte tipo de insight:

  • google.networkanalyzer.container.serviceAccountInsight

Você precisa das seguintes permissões:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Para mais informações sobre o uso da API Recommender para insights do Network Analyzer, consulte Usar a CLI e a API Recommender.

A conta de serviço do nó do GKE está desativada

Indica que um ou mais pools no cluster usam uma conta de serviço do nó do GKE desativada, o que pode levar a falhas no registro e na inicialização de todos os nós no cluster criados quando a conta de serviço está desativada.

Esse insight inclui as seguintes informações:

  • Uma conta de serviço é um tipo especial de conta usada normalmente por um aplicativo ou carga de trabalho de computação, como uma instância do Compute Engine, em vez de uma pessoa. Ela é identificada por seu endereço de e-mail, que é exclusivo da conta. Essas informações estão disponíveis na API Recommender.
  • Cluster do GKE: o nome do cluster do GKE.
  • Pools de nós: uma lista de pools de nós usando a conta de serviço desativada

Para mais informações, consulte Ativar a conta de serviço padrão do Compute Engine e Como desativar uma conta de serviço.

Recomendações

Ative a conta de serviço do nó. Se houver nós não registrados nos pools afetados, os nós serão reiniciados e serão registrados corretamente no cluster. Pode levar algum tempo para que todos os nós sejam reiniciados. Para uma resolução rápida, recomendamos resize o pool de nós para zero e de volta para X nós ou criar um novo pool de nós que use a mesma conta de serviço de nó de dois minutos.

O pool de nós do GKE usa a conta de serviço padrão do Compute Engine

Um pool de nós no cluster do GKE usa a conta de serviço padrão do Compute Engine como a conta de serviço do nó. Essa conta requer mais permissões do que as necessárias para executar seu cluster do Google Kubernetes Engine.

Esse insight inclui as seguintes informações:

  • Cluster do GKE: o nome do cluster do GKE.
  • Pools de nós: uma lista de pools de nós usando a conta de serviço padrão

Para mais informações, acesse Usar contas de serviço com privilégios mínimos.

Recomendações

Em vez da conta de serviço padrão do Compute Engine, crie e use uma conta de serviço menos privilegiada para seus nós.

O pool de nós do GKE tem escopos de acesso configurados incorretamente

Um pool de nós no cluster do GKE tem escopos de acesso especificados manualmente, mas eles são insuficientes para registrar um nó.

Se as cargas de trabalho usarem o Application Default Credentials (ADC), os escopos de acesso serão o método legado para conceder permissões aos nós e para as cargas de trabalho em execução nos nós. Para os nós do GKE, sempre use pelo menos os escopos padrão, ou eles não poderão ser registrados.

Esse insight inclui as seguintes informações:

  • Cluster do GKE: o nome do cluster do GKE.
  • Pools de nós: uma lista de pools de nós com escopos de acesso configurados incorretamente

Para mais informações, consulte Escopos de acesso no GKE.

Recomendações

Substitua o pool de nós por um com escopos de acesso suficientes. Para criar um pool de nós com escopos de acesso suficientes, siga um destes procedimentos:

  • Crie o novo pool de nós sem especificar escopos de acesso. Na Google Cloud CLI, não inclua a sinalização --scopes ao chamar gcloud container node-pools create.

    Para autorizar cargas de trabalho em execução nos seus nós, use as permissões do Identity and Access Management (IAM) ou o controle de acesso com base em papéis (RBAC, na sigla em inglês) do Kubernetes. Isso concede acesso a contas de serviço específicas do IAM ou contas de serviço do Kubernetes. Para mais informações, consulte Como configurar uma conta de serviço personalizada para cargas de trabalho.

  • Na nova lista do pool de nós de escopos de acesso especificados manualmente, adicione os escopos a seguir.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write