Estadísticas de conectividad de nodos de GKE

En esta página, se describen las estadísticas de Network Analyzer para Google Kubernetes Engine (GKE) la conectividad del nodo. Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Network Analyzer detecta problemas de conectividad causados por las configuraciones cuando un nodo de GKE inicia una conexión con el plano de control de GKE.

Cómo ver estadísticas en la API de Recommender

Para ver estas observaciones en Google Cloud CLI o en la API de recomendador, usa el siguiente tipo de estadísticas:

  • google.networkanalyzer.container.connectivityInsight

Necesitas los siguientes permisos:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Para obtener más información sobre el uso de la API de Recommender para las estadísticas de Network Analyzer, consulta Cómo usar la CLI y la API de Recommender.

Conectividad del nodo de GKE al plano de control bloqueada por un problema de enrutamiento

Esta estadística indica que las conexiones de los nodos de GKE al extremo del plano de control están bloqueadas por un problema de enrutamiento.

En clústeres privados, la red de VPC del plano de control se conecta a la red de VPC de tu clúster con el intercambio de tráfico entre redes de VPC. El tráfico se enruta al plano de control mediante una ruta de subred de intercambio de tráfico importada por la configuración de intercambio de tráfico entre redes de VPC. En los clústeres públicos, el tráfico se enruta al plano de control a través de la IP de extremo del plano de control mediante una ruta a la puerta de enlace de Internet predeterminada.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: Es el nombre del clúster de GKE.
  • Extremo del plano de control: La dirección IP del extremo.
  • Red: Es el nombre de la red en la que se configuró el clúster de GKE.

Para obtener más información, consulta Plano de control en clústeres privados.

Recomendaciones

Ve a los detalles del clúster de GKE y verifica el intercambio de tráfico de VPC. Si se borra el intercambio de tráfico de VPC, vuelve a crear el clúster de GKE.

Conectividad del nodo de GKE al plano de control: extremo público bloqueado por un firewall de salida

Esta estadística indica que un firewall de salida bloquea la conectividad de los nodos de GKE al extremo público.

Los nodos de GKE en un clúster público se comunican con el plano de control a través de TCP en el puerto 443. Esta conexión está permitida de forma predeterminada por las reglas de firewall implícitas en tu proyecto de Google Cloud. La regla de firewall que bloquea la conexión se muestra en los detalles de la estadística.

Para obtener más información, consulta Usa reglas de firewall.

Recomendaciones

Crea una regla de firewall de salida que permita el tráfico de TCP en el puerto 443 con un filtro de destino del extremo del clúster. Esta regla debe tener una prioridad más alta que la regla de firewall de bloqueo.

Para mayor seguridad, esta regla se puede configurar con la etiqueta de red de los nodos del clúster de GKE.

Conectividad del nodo de GKE al plano de control: extremo privado bloqueado por un firewall de salida

Esta estadística indica que un firewall de salida bloquea la conectividad de los nodos de GKE al extremo privado.

Los nodos de GKE en un clúster público se comunican con el plano de control a través de TCP en el puerto 443. Esta conexión está permitida de forma predeterminada por las reglas de firewall implícitas en tu proyecto de Google Cloud. La regla de firewall que bloquea la conexión se muestra en los detalles de la estadística.

Para obtener más información, consulta Usa reglas de firewall.

Recomendaciones

Crea una regla de firewall de salida que permita el tráfico de TCP en el puerto 443 con un filtro de destino del rango de direcciones del plano de control del clúster. Esta regla debe tener una prioridad más alta que la regla de firewall de bloqueo.

Para mayor seguridad, esta regla se puede configurar con la etiqueta de red de los nodos del clúster de GKE.