GKE ノード接続の分析情報

このページでは、Google Kubernetes Engine(GKE)ノード接続に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。

ネットワーク アナライザは、GKE ノードが GKE コントロール プレーンへの接続を開始するときに、構成に起因する接続の問題を検出します。

Recommender API で分析情報を表示する

これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。

  • google.networkanalyzer.container.connectivityInsight

次の権限が必要です。

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。

ルーティングの問題により、GKE ノードからコントロール プレーンへの接続がブロックされる

この分析情報は、GKE ノードからコントロール プレーン エンドポイントへの接続がルーティングの問題によってブロックされていることを示しています。

限定公開クラスタでは、コントロール プレーンの VPC ネットワークが VPC ネットワーク ピアリングによりクラスタの VPC ネットワークに接続します。トラフィックは、VPC ネットワーク ピアリング構成によってインポートされたピアリング サブネット ルートを使用して、コントロール プレーンに転送されます。一般公開クラスタでは、トラフィックはデフォルトのインターネット ゲートウェイへのルートを使用して、コントロール プレーン エンドポイント IP を介してコントロール プレーンに転送されます。

この分析情報には次の情報が含まれます。

  • GKE クラスタ: GKE クラスタの名前。
  • コントロール プレーン エンドポイント: エンドポイントの IP アドレス。
  • ネットワーク: GKE クラスタが構成されているネットワークの名前。

詳細については、限定公開クラスタのコントロール プレーンをご覧ください。

推奨事項

GKE クラスタの詳細に移動し、VPC ピアリングを確認します。VPC ピアリングが削除された場合は、GKE クラスタを再度作成します。

GKE ノードからコントロール プレーンへの接続: 下り(外向き)ファイアウォールによってパブリック エンドポイントがブロックされる

この分析情報は、GKE ノードからパブリック エンドポイントへの接続が下り(外向き)ファイアウォールによってブロックされていることを示しています。

一般公開クラスタ内の GKE ノードは、ポート 443 で TCP を介してコントロール プレーンと通信します。この接続は、Google Cloud プロジェクトの暗黙のファイアウォール ルールによってデフォルトで許可されます。接続をブロックしているファイアウォール ルールが分析情報の詳細に表示されます。

詳細については、ファイアウォール ルールの使用をご覧ください。

推奨事項

クラスタのエンドポイントの宛先フィルタを使用して、ポート 443 で TCP トラフィックを許可する下り(外向き)ファイアウォール ルールを作成します。このルールには、ブロックするファイアウォール ルールよりも高い優先度を設定する必要があります。

セキュリティを強化するため、GKE クラスタノードのネットワーク タグを使用してこのルールを構成できます。

GKE ノードからコントロール プレーンへの接続: 下り(外向き)ファイアウォールによってプライベート エンドポイントがブロックされる

この分析情報は、GKE ノードからプライベート エンドポイントへの接続が下り(外向き)ファイアウォールによってブロックされていることを示しています。

一般公開クラスタ内の GKE ノードは、ポート 443 で TCP を介してコントロール プレーンと通信します。この接続は、Google Cloud プロジェクトの暗黙のファイアウォール ルールによってデフォルトで許可されます。接続をブロックしているファイアウォール ルールが分析情報の詳細に表示されます。

詳細については、ファイアウォール ルールロギングの使用をご覧ください。

推奨事項

クラスタのコントロール プレーン アドレス範囲の宛先フィルタを使用して、ポート 443 で TCP トラフィックを許可する下り(外向き)ファイアウォール ルールを作成します。このルールには、ブロックするファイアウォール ルールよりも高い優先度を設定する必要があります。

セキュリティを強化するため、GKE クラスタノードのネットワーク タグを使用してこのルールを構成できます。