Insight konektivitas node GKE

Halaman ini menjelaskan insight Network Analyzer untuk konektivitas node Google Kubernetes Engine (GKE). Untuk mengetahui informasi tentang semua jenis insight, lihat Grup dan jenis insight.

Network Analyzer mendeteksi masalah konektivitas yang disebabkan oleh konfigurasi saat node GKE memulai koneksi ke bidang kontrol GKE.

Melihat insight di Recommender API

Untuk melihat insight ini di Google Cloud CLI atau Recommender API, gunakan jenis insight berikut:

  • google.networkanalyzer.container.connectivityInsight

Anda memerlukan izin berikut:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Untuk informasi selengkapnya tentang penggunaan Recommender API untuk insight Penganalisis Jaringan, lihat Menggunakan Recommender CLI dan API.

Konektivitas node GKE ke bidang kontrol diblokir oleh masalah pemilihan rute

Insight ini menunjukkan bahwa koneksi dari node GKE ke endpoint bidang kontrol diblokir oleh masalah perutean.

Dalam cluster pribadi, jaringan VPC bidang kontrol terhubung ke jaringan VPC cluster Anda dengan Peering Jaringan VPC. Traffic dirutekan ke bidang kontrol menggunakan rute subnet peering yang diimpor oleh konfigurasi Peering Jaringan VPC. Di cluster publik, traffic dirutekan ke bidang kontrol melalui IP endpoint bidang kontrol menggunakan rute ke gateway internet default.

Insight ini mencakup informasi berikut:

  • Cluster GKE: Nama cluster GKE.
  • Endpoint bidang kontrol: Alamat IP endpoint.
  • Jaringan: Nama jaringan tempat cluster GKE dikonfigurasi.

Untuk mengetahui informasi selengkapnya, lihat Panel kontrol di cluster pribadi.

Rekomendasi

Buka detail cluster GKE dan verifikasi peering VPC. Jika peering VPC dihapus, buat ulang cluster GKE.

Konektivitas node GKE ke bidang kontrol: endpoint publik diblokir oleh firewall keluar

Insight ini menunjukkan bahwa konektivitas dari node GKE ke endpoint publik diblokir oleh firewall keluar.

Node GKE dalam cluster publik berkomunikasi dengan control plane melalui TCP di port 443. Koneksi ini diizinkan secara default oleh aturan firewall implisit di project Google Cloud Anda. Aturan firewall yang memblokir koneksi tercantum dalam detail insight.

Untuk mengetahui informasi selengkapnya, lihat Menggunakan aturan firewall.

Rekomendasi

Buat aturan firewall keluar yang mengizinkan traffic TCP di port 443 dengan filter tujuan endpoint cluster. Aturan ini harus memiliki prioritas yang lebih tinggi daripada aturan firewall pemblokiran.

Untuk meningkatkan keamanan, aturan ini dapat dikonfigurasi dengan tag jaringan node cluster GKE Anda.

Konektivitas node GKE ke bidang kontrol: endpoint pribadi diblokir oleh firewall keluar

Insight ini menunjukkan bahwa konektivitas dari node GKE ke endpoint pribadi diblokir oleh firewall keluar.

Node GKE dalam cluster publik berkomunikasi dengan control plane melalui TCP di port 443. Koneksi ini diizinkan secara default oleh aturan firewall implisit di project Google Cloud Anda. Aturan firewall yang memblokir koneksi tercantum dalam detail insight.

Untuk mengetahui informasi selengkapnya, lihat Menggunakan aturan firewall.

Rekomendasi

Buat aturan firewall keluar yang mengizinkan traffic TCP di port 443 dengan filter tujuan rentang alamat panel kontrol cluster. Aturan ini harus memiliki prioritas lebih tinggi daripada aturan firewall pemblokiran.

Untuk meningkatkan keamanan, aturan ini dapat dikonfigurasi dengan tag jaringan node cluster GKE Anda.