Questa pagina descrive gli approfondimenti di Network Analyzer per la connettività dei nodi di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando un nodo GKE avvia una connessione al control plane GKE.
Visualizzare gli approfondimenti nell'API Recommender
Per visualizzare questi approfondimenti in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di approfondimento:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli approfondimenti di Network Analyzer, consulta Utilizzare l'API e la CLI Recommender.
La connettività dal nodo GKE al control plane è bloccata da un problema di routing
Questa informazione indica che le connessioni dai nodi GKE all'endpoint del piano di controllo sono bloccate da un problema di routing.
Nei cluster privati, la rete VPC del control plane è collegata alla rete VPC del cluster tramite il peering di rete VPC. Il traffico viene indirizzato al control plane utilizzando una route di subnet di peering importata dalla configurazione del peering di rete VPC. Nei cluster pubblici, il traffico viene instradato al piano di controllo tramite l'IP dell'endpoint del piano di controllo utilizzando una route per il gateway internet predefinito.
Questa informazione include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP dell'endpoint.
- Network:il nome della rete in cui è configurato il cluster GKE.
Argomenti correlati
Per ulteriori informazioni, consulta Piano di controllo nei cluster privati.
Consigli
Vai ai dettagli del cluster GKE e verifica il peering VPC. Se il peering VPC viene eliminato, crea di nuovo il cluster GKE.
Connettività del nodo GKE al control plane: endpoint pubblico bloccato dal firewall in uscita
Questo insight indica che la connettività dai nodi GKE all'endpoint pubblico è bloccata da un firewall in uscita.
I nodi GKE in un cluster pubblico comunicano con il piano di controllo tramite TCP sulla porta 443. Questa connessione è consentita per impostazione predefinita dalle regole del firewall implicite nel tuo progetto Google Cloud. La regola firewall che blocca la connessione è elencata nei dettagli dell'insight.
Argomenti correlati
Per ulteriori informazioni, consulta la sezione Utilizzare le regole del firewall.
Consigli
Crea una regola firewall in uscita che consenta il traffico TCP sulla porta 443 con un filtro di destinazione dell'endpoint del cluster. Questa regola deve avere una priorità superiore alla regola firewall di blocco.
Per una maggiore sicurezza, questa regola può essere configurata con il tag di rete dei nodi del cluster GKE.
Connettività del nodo GKE al control plane: endpoint privato bloccato dal firewall in uscita
Questo insight indica che la connettività dai nodi GKE all'endpoint privato è bloccata da un firewall in uscita.
I nodi GKE in un cluster pubblico comunicano con il piano di controllo tramite TCP sulla porta 443. Questa connessione è consentita per impostazione predefinita dalle regole del firewall implicite nel tuo progetto Google Cloud. La regola firewall che blocca la connessione è elencata nei dettagli dell'insight.
Argomenti correlati
Per ulteriori informazioni, consulta Utilizzare le regole firewall.
Consigli
Crea una regola firewall in uscita che consenta il traffico TCP sulla porta 443 con un filtro di destinazione dell'intervallo di indirizzi del piano di controllo del cluster. Questa regola deve avere una priorità maggiore rispetto alla regola firewall di blocco.
Per una maggiore sicurezza, questa regola può essere configurata con il tag di rete dei nodi del cluster GKE.