Auf dieser Seite werden die Network Analyzer-Statistiken für die Google Kubernetes Engine (GKE) beschrieben Knotenverbindung. Informationen zu allen Arten von Statistiken finden Sie unter Statistikgruppen und ‑typen.
Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, bei denen ein GKE-Knoten eine Verbindung zur GKE-Steuerungsebene initiiert.
Statistiken in der Recommender API ansehen
Um diese Statistiken in der Google Cloud CLI oder Recommender API anzusehen, verwenden Sie folgenden Statistiktyp:
google.networkanalyzer.container.connectivityInsight
Sie benötigen die folgenden Berechtigungen:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Weitere Informationen zur Verwendung der Recommender API für Network Analyzer-Statistiken unter Recommender-Befehlszeile und -API verwenden
Verbindung vom GKE-Knoten zur Steuerungsebene, die durch Routingproblem blockiert wird
Diese Statistik zeigt, dass die Verbindungen von den GKE-Knoten zu der Endpunkt der Steuerungsebene durch ein Routingproblem blockiert wird.
In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. In öffentlichen Clustern wird der Traffic zur Steuerungsebene über die Endpunkt-IP-Adresse der Steuerungsebene an eine Route zum Standard-Internetgateway weitergeleitet.
Dies enthält folgende Informationen:
- GKE-Cluster: Der Name des GKE-Clusters.
- Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
- Netzwerk:Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.
Weitere Informationen
Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.
Empfehlungen
Rufen Sie die GKE-Clusterdetails auf und prüfen Sie das VPC-Peering. Erstellen Sie den GKE-Cluster noch einmal, wenn das VPC-Peering gelöscht wird.
Verbindung vom GKE-Knoten zur Steuerungsebene: öffentlicher Endpunkt durch ausgehende Firewall blockiert
Dieser Insight gibt an, dass die Verbindung von GKE-Knoten zum öffentlichen Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.
GKE-Knoten in einem öffentlichen Cluster kommunizieren mit der Steuerungsebene über TCP an Port 443. Diese Verbindung wird standardmäßig vom Implizierte Firewallregeln in Ihrem Google Cloud-Projekt. Die Firewallregel, die die Verbindung blockiert sind in den Statistikdetails aufgeführt.
Weitere Informationen
Weitere Informationen finden Sie unter Firewallregeln verwenden.
Empfehlungen
Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Endpunkt des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.
Für mehr Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.
Verbindung vom GKE-Knoten zur Steuerungsebene: privater Endpunkt durch ausgehende Firewall blockiert
Diese Statistik zeigt, dass die Konnektivität von GKE-Knoten zu wird der private Endpunkt durch eine Firewall für ausgehenden Traffic blockiert.
GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP auf Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig vom Implizierte Firewallregeln in Ihrem Google Cloud-Projekt. Die Firewallregel, die die Verbindung blockiert, ist in den Statistikdetails aufgeführt.
Weitere Informationen
Weitere Informationen finden Sie unter Firewallregeln verwenden.
Empfehlungen
Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Adressbereich der Steuerungsebene des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.
Für mehr Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.