Auf dieser Seite werden die Network Analyzer-Statistiken für die GKE-Knotenverbindung (Google Kubernetes Engine) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.
Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, bei denen ein GKE-Knoten eine Verbindung zur GKE-Steuerungsebene initiiert.
Statistiken in der Recommender API ansehen
Verwenden Sie den folgenden Statistiktyp, um diese Statistiken in der Google Cloud CLI oder Recommender API anzusehen:
google.networkanalyzer.container.connectivityInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Weitere Informationen zur Verwendung der Recommender API für Network Analyzer-Statistiken finden Sie unter Recommender-Befehlszeile und -API verwenden.
Verbindung vom GKE-Knoten zur Steuerungsebene, die durch Routingproblem blockiert wird
Diese Information deutet darauf hin, dass die Verbindungen von den GKE-Knoten zum Endpunkt der Steuerungsebene durch ein Routingproblem blockiert werden.
In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. In öffentlichen Clustern wird der Traffic zur Steuerungsebene über die Endpunkt-IP-Adresse der Steuerungsebene an eine Route zum Standard-Internetgateway weitergeleitet.
Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
- Netzwerk:Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
Weitere Informationen
Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.
Empfehlungen
Rufen Sie die GKE-Clusterdetails auf und prüfen Sie das VPC-Peering. Wenn das VPC-Peering gelöscht wird, erstellen Sie den GKE-Cluster noch einmal.
Verbindung vom GKE-Knoten zur Steuerungsebene: öffentlicher Endpunkt durch ausgehende Firewall blockiert
Diese Statistik zeigt an, dass die Verbindung von GKE-Knoten zum öffentlichen Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.
GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP an Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig von den implizierten Firewallregeln in Ihrem Google Cloud-Projekt zugelassen. Die Firewallregel, die die Verbindung blockiert, ist in den Statistikdetails aufgeführt.
Weitere Informationen
Weitere Informationen finden Sie unter Firewallregeln verwenden.
Empfehlungen
Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Endpunkt des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.
Zur Erhöhung der Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.
Verbindung vom GKE-Knoten zur Steuerungsebene: privater Endpunkt durch ausgehende Firewall blockiert
Diese Statistik lässt darauf schließen, dass die Verbindung von GKE-Knoten zum privaten Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.
GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP an Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig von den implizierten Firewallregeln in Ihrem Google Cloud-Projekt zugelassen. Die Firewallregel, die die Verbindung blockiert, ist in den Statistikdetails aufgeführt.
Weitere Informationen
Weitere Informationen finden Sie unter Firewallregeln verwenden.
Empfehlungen
Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Adressbereich der Steuerungsebene des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.
Zur Erhöhung der Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.