Insights: GKE-Knotenverbindung

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Der Network Analyzer erkennt Verbindungsprobleme, die durch Konfigurationen verursacht werden, bei denen ein GKE-Knoten eine Verbindung zur GKE-Steuerungsebene initiiert.

Verbindung vom GKE-Knoten zur Steuerungsebene, die durch Routingproblem blockiert wird

Bedeutet, dass Verbindungen von den GKE-Knoten zum Endpunkt der Steuerungsebene durch ein Routingproblem blockiert werden.

In privaten Clustern ist das VPC-Netzwerk der Steuerungsebene mit VPC-Netzwerk-Peering mit dem VPC-Netzwerk Ihres Clusters verbunden. Der Traffic wird über eine von der VPC-Netzwerk-Peering-Konfiguration importierte Peering-Subnetzroute an die Steuerungsebene weitergeleitet. In öffentlichen Clustern wird der Traffic zur Steuerungsebene über die Endpunkt-IP-Adresse der Steuerungsebene an eine Route zum Standard-Internetgateway weitergeleitet.

Dies enthält folgende Informationen:

  • GKE-Cluster: Der Name des GKE-Clusters.
  • Endpunkt der Steuerungsebene: Die IP-Adresse des Endpunkts.
  • Netzwerk: Der Name des Netzwerks, in dem der GKE-Cluster konfiguriert ist.

Weitere Informationen finden Sie unter Steuerungsebenen in privaten Clustern.

Empfehlungen

Rufen Sie die GKE-Clusterdetails auf und prüfen Sie das VPC-Peering. Wenn das VPC-Peering gelöscht wird, erstellen Sie den GKE-Cluster noch einmal.

Verbindung vom GKE-Knoten zur Steuerungsebene: öffentlicher Endpunkt durch ausgehende Firewall blockiert

Bedeutet, dass die Verbindung von GKE-Knoten zum öffentlichen Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.

GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP an Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig durch die impliziten Firewallregeln in Ihrem Google Cloud-Projekt zugelassen. Die Firewallregel, die die Verbindung blockiert, wird in den Statistikdetails aufgeführt.

Weitere Informationen finden Sie unter Firewallregeln verwenden.

Empfehlungen

Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Endpunkt des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.

Zur Erhöhung der Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.

Verbindung vom GKE-Knoten zur Steuerungsebene: privater Endpunkt durch ausgehende Firewall blockiert

Bedeutet, dass die Verbindung von GKE-Knoten zum privaten Endpunkt durch eine Firewall für ausgehenden Traffic blockiert wird.

GKE-Knoten in einem öffentlichen Cluster kommunizieren über TCP an Port 443 mit der Steuerungsebene. Diese Verbindung wird standardmäßig durch die impliziten Firewallregeln in Ihrem Google Cloud-Projekt zugelassen. Die Firewallregel, die die Verbindung blockiert, wird in den Statistikdetails aufgeführt.

Weitere Informationen finden Sie unter Firewallregeln verwenden.

Empfehlungen

Erstellen Sie eine Firewallregel für ausgehenden Traffic, die TCP-Traffic auf Port 443 mit einem Zielfilter für den Adressbereich der Steuerungsebene des Clusters zulässt. Diese Regel muss eine höhere Priorität als die blockierende Firewallregel haben.

Zur Erhöhung der Sicherheit kann diese Regel mit dem Netzwerk-Tag Ihrer GKE-Clusterknoten konfiguriert werden.