Halaman ini menjelaskan insight Network Analyzer untuk konektivitas node Google Kubernetes Engine (GKE). Untuk informasi tentang semua jenis insight, lihat Jenis dan grup insight.
Network Analyzer mendeteksi masalah konektivitas yang disebabkan oleh konfigurasi saat node GKE memulai koneksi ke bidang kontrol GKE.
Melihat insight di Recommender API
Untuk melihat insight ini di Google Cloud CLI atau Recommender API, gunakan jenis insight berikut:
google.networkanalyzer.container.connectivityInsight
Anda memerlukan izin berikut:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Untuk mengetahui informasi selengkapnya tentang penggunaan Recommender API untuk insight Network Analyzer, lihat Menggunakan Recommender CLI dan API.
Node GKE untuk mengontrol konektivitas pesawat diblokir karena masalah pemilihan rute
Menunjukkan koneksi dari node GKE ke endpoint bidang kontrol diblokir oleh masalah perutean.
Dalam cluster pribadi, jaringan VPC bidang kontrol terhubung ke jaringan VPC cluster Anda dengan Peering Jaringan VPC. Traffic dirutekan ke bidang kontrol menggunakan rute subnet peering yang diimpor oleh konfigurasi Peering Jaringan VPC. Di cluster publik, traffic dirutekan ke bidang kontrol melalui IP endpoint bidang kontrol menggunakan rute ke gateway internet default.
Insight ini mencakup informasi berikut:
- Cluster GKE: Nama cluster GKE.
- Endpoint bidang kontrol: Alamat IP endpoint.
- Jaringan: Nama jaringan tempat cluster GKE dikonfigurasi.
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Bidang kontrol dalam cluster pribadi.
Rekomendasi
Buka detail cluster GKE dan verifikasi peering VPC. Jika peering VPC dihapus, buat lagi cluster GKE.
Node GKE untuk mengontrol konektivitas pesawat: endpoint publik diblokir oleh firewall keluar
Menunjukkan bahwa konektivitas dari node GKE ke endpoint publik diblokir oleh firewall keluar.
Node GKE di cluster publik berkomunikasi dengan bidang kontrol melalui TCP pada port 443. Koneksi ini diizinkan secara default oleh aturan firewall tersirat di project Google Cloud Anda. Aturan firewall yang memblokir koneksi dicantumkan dalam detail insight.
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Menggunakan aturan firewall.
Rekomendasi
Buat aturan firewall keluar yang mengizinkan traffic TCP pada port 443 dengan filter tujuan endpoint cluster. Aturan ini harus memiliki prioritas yang lebih tinggi daripada aturan firewall pemblokiran.
Untuk meningkatkan keamanan, aturan ini dapat dikonfigurasi dengan tag jaringan node cluster GKE Anda.
Node GKE untuk mengontrol konektivitas pesawat: endpoint pribadi diblokir oleh firewall keluar
Menunjukkan bahwa konektivitas dari node GKE ke endpoint pribadi diblokir oleh firewall keluar.
Node GKE di cluster publik berkomunikasi dengan bidang kontrol melalui TCP pada port 443. Koneksi ini diizinkan secara default oleh aturan firewall tersirat di project Google Cloud Anda. Aturan firewall yang memblokir koneksi dicantumkan dalam detail insight.
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Menggunakan aturan firewall.
Rekomendasi
Buat aturan firewall keluar yang mengizinkan traffic TCP pada port 443 dengan filter tujuan untuk rentang alamat bidang kontrol cluster. Aturan ini harus memiliki prioritas yang lebih tinggi daripada aturan firewall pemblokiran.
Untuk meningkatkan keamanan, aturan ini dapat dikonfigurasi dengan tag jaringan node cluster GKE Anda.