이 페이지에서는 Google Kubernetes Engine(GKE) 노드 연결에 대한 네트워크 분석기 통계에 대해 설명합니다. 모든 통계 유형에 대한 자세한 내용은 통계 그룹 및 유형을 참조하세요.
네트워크 분석기는 GKE 노드가 GKE 제어 영역에 대한 연결을 시작할 때 구성으로 인해 발생한 연결 문제를 감지합니다.
Recommender API에서 통계 보기
Google Cloud CLI 또는 Recommender API에서 이러한 통계를 보려면 다음 통계 유형을 사용하세요.
google.networkanalyzer.container.connectivityInsight
다음 권한이 필요합니다.
recommender.networkAnalyzerGkeConnectivityInsights.list
recommender.networkAnalyzerGkeConnectivityInsights.get
네트워크 분석기 통계에 Recommender API를 사용하는 방법에 대한 자세한 내용은 Recommender CLI 및 API 사용을 참조하세요.
라우팅 문제로 차단된 GKE 노드와 제어 영역 간 연결
이 통계는 GKE 노드와 제어 영역 엔드포인트 간의 연결이 라우팅 문제로 인해 차단되었음을 나타냅니다.
비공개 클러스터에서 제어 영역의 VPC 네트워크는 VPC 네트워크 피어링을 통해 클러스터의 VPC 네트워크에 연결됩니다. 트래픽은 VPC 네트워크 피어링 구성으로 가져온 피어링 서브넷 경로를 사용하여 제어 영역으로 라우팅됩니다. 공개 클러스터에서 트래픽은 기본 인터넷 게이트웨이 경로를 사용하여 제어 영역 엔드포인트 IP를 통해 제어 영역으로 라우팅됩니다.
이 통계에는 다음 정보가 포함됩니다.
- GKE 클러스터: GKE 클러스터의 이름입니다.
- 제어 영역 엔드포인트: 엔드포인트의 IP 주소입니다.
- 네트워크: GKE 클러스터가 구성된 네트워크의 이름입니다.
관련 주제
자세한 내용은 비공개 클러스터의 제어 영역을 참조하세요.
권장사항
GKE 클러스터 세부정보로 이동하고 VPC 피어링을 확인합니다. VPC 피어링이 삭제되었으면 GKE 클러스터를 다시 만듭니다.
GKE 노드와 제어 영역 간 연결: 이그레스 방화벽으로 인해 공개 엔드포인트가 차단됨
이 통계는 GKE 노드에서 공개 엔드포인트로의 연결이 이그레스 방화벽으로 인해 차단되었음을 나타냅니다.
공개 클러스터의 GKE 노드는 포트 443에서 TCP를 통해 제어 영역과 통신합니다. Google Cloud 프로젝트의 묵시적 방화벽 규칙에 의해 이 연결이 기본적으로 허용됩니다. 연결을 차단하는 방화벽 규칙이 통계 세부정보에 나열됩니다.
관련 주제
자세한 내용은 방화벽 규칙 사용을 참조하세요.
권장사항
클러스터 엔드포인트의 대상 필터를 사용하여 포트 443에서 TCP 트래픽을 허용하는 이그레스 방화벽 규칙을 만듭니다. 이 규칙은 차단 방화벽 규칙보다 우선순위가 높아야 합니다.
보안 강화를 위해 이 규칙은 GKE 클러스터 노드의 네트워크 태그로 구성할 수 있습니다.
GKE 노드와 제어 영역 간 연결: 이그레스 방화벽으로 인해 비공개 엔드포인트가 차단됨
이 통계는 GKE 노드에서 비공개 엔드포인트로의 연결이 이그레스 방화벽으로 인해 차단되었음을 나타냅니다.
공개 클러스터의 GKE 노드는 포트 443에서 TCP를 통해 제어 영역과 통신합니다. Google Cloud 프로젝트의 묵시적 방화벽 규칙에 의해 이 연결이 기본적으로 허용됩니다. 연결을 차단하는 방화벽 규칙이 통계 세부정보에 나열됩니다.
관련 주제
자세한 내용은 방화벽 규칙 사용을 참조하세요.
권장사항
클러스터 제어 영역 IP 주소 범위의 대상 필터를 사용하여 포트 443에서 TCP 트래픽을 허용하는 이그레스 방화벽 규칙을 만듭니다. 이 규칙은 차단 방화벽 규칙보다 우선순위가 높아야 합니다.
보안 강화를 위해 이 규칙은 GKE 클러스터 노드의 네트워크 태그로 구성할 수 있습니다.