In questa pagina vengono descritti gli insight di Network Analyzer per Google Kubernetes Engine (GKE) e la connettività dei nodi. Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando un nodo GKE avvia una connessione dal piano di controllo.
Visualizza insight nell'API Recommender
Per visualizzare questi insight in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per Per gli insight di Network Analyzer, consulta Utilizzare l'interfaccia a riga di comando e l'API del motore per suggerimenti.
Connettività dal nodo GKE al piano di controllo bloccata da un problema di routing
Questo insight indica che le connessioni dai nodi GKE l'endpoint del piano di controllo è bloccato da un problema di routing.
Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster con Rete VPC Peering. Il traffico viene instradato a sul piano di controllo, utilizzando route di subnet in peering importati dalla configurazione di peering di rete VPC. Nei cluster pubblici, il traffico viene instradato al piano di controllo l'IP dell'endpoint del piano utilizzando una route al gateway internet predefinito.
Questo insight include le seguenti informazioni:
- Cluster GKE: il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP dell'endpoint.
- Rete: il nome della rete in cui è configurato il cluster GKE.
Argomenti correlati
Per ulteriori informazioni, vedi Piano di controllo nei cluster privati.
Consigli
Vai ai dettagli del cluster GKE e verifica il VPC e il peering. Se il peering VPC viene eliminato, crea il cluster GKE nel cluster.
Connettività dal nodo GKE al piano di controllo: endpoint pubblico bloccato dal firewall in uscita
Questo insight indica che la connettività dai nodi GKE l'endpoint pubblico è bloccato da un firewall in uscita.
I nodi GKE in un cluster pubblico comunicano con il piano di controllo attraverso TCP sulla porta 443. Questa connessione è consentita per impostazione predefinita dal regole firewall implicite nel tuo progetto Google Cloud. La regola firewall che blocca la connessione è elencato nei dettagli degli insight.
Argomenti correlati
Per ulteriori informazioni, consulta la sezione sull'utilizzo del firewall .
Consigli
Crea una regola firewall in uscita che consenta il traffico TCP sulla porta 443 con un filtro di destinazione dell'endpoint del cluster. Questa regola deve avere un valore una priorità più elevata rispetto alla regola firewall di blocco.
Per maggiore sicurezza, questa regola può essere configurata con il tag di rete del tuo dei nodi dei cluster GKE.
Connettività dal nodo GKE al piano di controllo: endpoint privato bloccato dal firewall in uscita
Questo insight indica che la connettività dai nodi GKE l'endpoint privato è bloccato da un firewall in uscita.
I nodi GKE in un cluster pubblico comunicano con il piano di controllo attraverso TCP sulla porta 443. Questa connessione è consentita per impostazione predefinita dal regole firewall implicite nel tuo progetto Google Cloud. La regola firewall che blocca la connessione è elencato nei dettagli degli insight.
Argomenti correlati
Per ulteriori informazioni, vedi Utilizzo delle regole firewall.
Consigli
Crea una regola firewall in uscita che consenta il traffico TCP sulla porta 443 con un filtro di destinazione dell'intervallo di indirizzi del piano di controllo del cluster. Questo deve avere una priorità maggiore rispetto alla regola firewall di blocco.
Per maggiore sicurezza, questa regola può essere configurata con il tag di rete del tuo dei nodi dei cluster GKE.