Nesta página, descrevemos os insights do Network Analyzer sobre a conectividade de nós do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.
O Network Analyzer detecta problemas de conectividade causados por configurações quando um nó do GKE inicia uma conexão com o plano de controle do GKE.
Ver insights na API Recommender
Para ver esses insights na CLI do Google Cloud ou na API Recommender, use o seguinte tipo de insight:
google.networkanalyzer.container.connectivityInsight
Você precisa das seguintes permissões:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Para mais informações sobre o uso da API Recommender para insights do Network Analyzer, consulte Usar a CLI e a API Recommender.
Conectividade do nó do GKE ao plano de controle bloqueada por problema de roteamento
Esse insight indica que as conexões dos nós do GKE com o endpoint do plano de controle estão bloqueadas por um problema de roteamento.
Em clusters particulares, a rede VPC do plano de controle está conectada à rede VPC do cluster com o peering de rede VPC. O tráfego é roteado para o plano de controle usando uma rota de sub-rede de peering importada pela configuração de peering de rede VPC. Em clusters públicos, o tráfego é roteado para o plano de controle por meio do IP do endpoint do plano de controle usando uma rota para o gateway de internet padrão.
Esse insight inclui as seguintes informações:
- Cluster do GKE: o nome do cluster do GKE.
- Endpoint do plano de controle: o endereço IP do endpoint.
- Rede: o nome da rede em que o cluster do GKE está configurado.
Temas relacionados
Para mais informações, consulte Plano de controle em clusters particulares.
Recomendações
Acesse os detalhes do cluster do GKE e verifique o peering de VPC. Se o peering de VPC foi excluído, crie o cluster do GKE novamente.
Conectividade do nó do GKE ao plano de controle: endpoint público bloqueado pelo firewall de saída
Esse insight indica que a conectividade dos nós do GKE com o endpoint público está bloqueada por um firewall de saída.
Os nós do GKE em um cluster público se comunicam com o plano de controle pelo TCP na porta 443. Essa conexão é permitida por padrão pelas regras de firewall implícitas no projeto do Google Cloud. A regra de firewall que está bloqueando a conexão é listada nos detalhes do insight.
Temas relacionados
Para mais informações, consulte Como usar regras de firewall.
Recomendações
Crie uma regra de firewall de saída que permita o tráfego TCP na porta 443 com um filtro de destino do endpoint do cluster. Essa regra precisa ter uma prioridade maior do que a regra de firewall de bloqueio.
Para aumentar a segurança, essa regra pode ser configurada com a tag de rede dos nós do cluster do GKE.
Conectividade do nó do GKE ao plano de controle: endpoint particular bloqueado pelo firewall de saída
Esse insight indica que a conectividade dos nós do GKE com o endpoint particular é bloqueada por um firewall de saída.
Os nós do GKE em um cluster público se comunicam com o plano de controle pelo TCP na porta 443. Essa conexão é permitida por padrão pelas regras de firewall implícitas no projeto do Google Cloud. A regra de firewall que está bloqueando a conexão é listada nos detalhes do insight.
Temas relacionados
Para mais informações, consulte Como usar regras de firewall.
Recomendações
Crie uma regra de firewall de saída que permita o tráfego TCP na porta 443 com um filtro de destino do intervalo de endereços do plano de controle do cluster. Essa regra deve ter uma prioridade maior que a regra de firewall de bloqueio.
Para aumentar a segurança, essa regra pode ser configurada com a tag de rede dos nós do cluster do GKE.