Auf dieser Seite werden die Network Analyzer-Statistiken für die Google Kubernetes Engine (GKE) beschrieben Knotenverbindung. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen:
Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, bei denen ein GKE-Knoten eine Verbindung zur GKE-Steuerungsebene initiiert.
Statistiken in der Recommender API ansehen
Um diese Statistiken in der Google Cloud CLI oder Recommender API anzusehen, verwenden Sie folgenden Statistiktyp:
google.networkanalyzer.container.connectivityInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Weitere Informationen zur Verwendung der Recommender API für Network Analyzer-Statistiken unter Recommender-Befehlszeile und -API verwenden
Verbindung vom GKE-Knoten zur Steuerungsebene, die durch Routingproblem blockiert wird
Diese Statistik zeigt, dass die Verbindungen von den GKE-Knoten zu der Endpunkt der Steuerungsebene durch ein Routingproblem blockiert wird.
In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. In öffentlichen Clustern wird der Traffic zur Steuerungsebene über die Endpunkt-IP-Adresse der Steuerungsebene an eine Route zum Standard-Internetgateway weitergeleitet.
Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
- Netzwerk:Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
Weitere Informationen
Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.
Empfehlungen
GKE-Clusterdetails aufrufen und VPC prüfen Peering. Wenn VPC-Peering gelöscht wird, erstellen Sie die GKE. noch einmal zu gruppieren.
Verbindung vom GKE-Knoten zur Steuerungsebene: öffentlicher Endpunkt durch ausgehende Firewall blockiert
Diese Statistik zeigt, dass die Konnektivität von GKE-Knoten zu Der öffentliche Endpunkt wird durch eine Firewall für ausgehenden Traffic blockiert.
GKE-Knoten in einem öffentlichen Cluster kommunizieren mit der Steuerungsebene über TCP an Port 443. Diese Verbindung wird standardmäßig vom Implizierte Firewallregeln in Ihrem Google Cloud-Projekt. Die Firewallregel, die die Verbindung blockiert sind in den Statistikdetails aufgeführt.
Weitere Informationen
Weitere Informationen finden Sie unter Firewallregeln verwenden.
Empfehlungen
Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Endpunkt des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.
Zur Erhöhung der Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihres GKE-Clusterknoten.
Verbindung vom GKE-Knoten zur Steuerungsebene: privater Endpunkt durch ausgehende Firewall blockiert
Diese Statistik zeigt, dass die Konnektivität von GKE-Knoten zu wird der private Endpunkt durch eine Firewall für ausgehenden Traffic blockiert.
GKE-Knoten in einem öffentlichen Cluster kommunizieren mit der Steuerungsebene über TCP an Port 443. Diese Verbindung wird standardmäßig vom Implizierte Firewallregeln in Ihrem Google Cloud-Projekt. Die Firewallregel, die die Verbindung blockiert sind in den Statistikdetails aufgeführt.
Weitere Informationen
Weitere Informationen finden Sie unter Firewallregeln verwenden.
Empfehlungen
Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Adressbereich der Steuerungsebene des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.
Zur Erhöhung der Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihres GKE-Clusterknoten.