En esta página se describen las estadísticas de Network Analyzer sobre la conectividad de los nodos de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta el artículo Grupos y tipos de estadísticas.
Network Analyzer detecta problemas de conectividad causados por configuraciones cuando un nodo de GKE inicia una conexión con el plano de control de GKE.
Ver estadísticas en la API Recommender
Para ver estas estadísticas en la CLI de Google Cloud o en la API Recommender, usa el siguiente tipo de estadística:
google.networkanalyzer.container.connectivityInsight
Necesitas los siguientes permisos:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Para obtener más información sobre cómo usar la API Recommender para obtener estadísticas de Analizador de redes, consulta Usar la CLI y la API Recommender.
La conectividad del nodo de GKE al plano de control está bloqueada por un problema de enrutamiento
Esta información indica que las conexiones de los nodos de GKE al endpoint del plano de control están bloqueadas debido a un problema de enrutamiento.
En los clústeres privados, la red de VPC del plano de control está conectada a la red de VPC del clúster mediante el emparejamiento de redes de VPC. El tráfico se dirige al plano de control mediante una ruta de subred de emparejamiento importada por la configuración de emparejamiento entre redes de VPC. En los clústeres públicos, el tráfico se enruta al plano de control a través de la IP del endpoint del plano de control mediante una ruta a la pasarela de Internet predeterminada.
Esta estadística incluye la siguiente información:
- Clúster de GKE: el nombre del clúster de GKE.
- Endpoint del plano de control: la dirección IP del endpoint.
- Red: el nombre de la red en la que se ha configurado el clúster de GKE.
Temas relacionados
Para obtener más información, consulta Plano de control en clústeres privados.
Recomendaciones
Ve a los detalles del clúster de GKE y verifica el peering de VPC. Si se elimina el peering de VPC, vuelve a crear el clúster de GKE.
Conectividad del nodo de GKE al plano de control: endpoint público bloqueado por el cortafuegos de salida
Esta información indica que la conectividad de los nodos de GKE al endpoint público está bloqueada por un cortafuegos de salida.
Los nodos de GKE de un clúster público se comunican con el plano de control a través de TCP en el puerto 443. Esta conexión está permitida de forma predeterminada por las reglas de cortafuegos implícitas de tu Google Cloud proyecto. La regla de cortafuegos que bloquea la conexión se indica en los detalles de la información valiosa.
Temas relacionados
Para obtener más información, consulta Usar reglas de firewall.
Recomendaciones
Crea una regla de cortafuegos de salida que permita el tráfico TCP en el puerto 443 con un filtro de destino del endpoint del clúster. Esta regla debe tener una prioridad más alta que la regla de cortafuegos de bloqueo.
Para aumentar la seguridad, esta regla se puede configurar con la etiqueta de red de los nodos de tu clúster de GKE.
Conectividad del nodo de GKE al plano de control: punto final privado bloqueado por el cortafuegos de salida
Esta información indica que la conectividad de los nodos de GKE al endpoint privado está bloqueada por un cortafuegos de salida.
Los nodos de GKE de un clúster público se comunican con el plano de control a través de TCP en el puerto 443. Esta conexión está permitida de forma predeterminada por las reglas de cortafuegos implícitas de tu Google Cloud proyecto. La regla de cortafuegos que bloquea la conexión se indica en los detalles de la información valiosa.
Temas relacionados
Para obtener más información, consulta Usar reglas de cortafuegos.
Recomendaciones
Crea una regla de cortafuegos de salida que permita el tráfico TCP en el puerto 443 con un filtro de destino del intervalo de direcciones del plano de control del clúster. Esta regla debe tener una prioridad más alta que la regla de cortafuegos de bloqueo.
Para aumentar la seguridad, esta regla se puede configurar con la etiqueta de red de los nodos de tu clúster de GKE.