In questa pagina vengono descritti gli insight di Network Analyzer per la connettività dei nodi di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.
Network Analyzer rileva i problemi di connettività causati dalle configurazioni quando un nodo GKE avvia una connessione al piano di controllo GKE.
Visualizza insight nell'API Recommender
Per visualizzare questi insight in Google Cloud CLI o nell'API Recommender, utilizza il seguente tipo di insight:
google.networkanalyzer.container.connectivityInsight
Devi disporre delle seguenti autorizzazioni:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Per ulteriori informazioni sull'utilizzo dell'API Recommender per gli insight di Network Analyzer, consulta Utilizzare l'interfaccia a riga di comando e l'API Recommender.
Connettività del nodo GKE al piano di controllo bloccata da un problema di routing
Indica che le connessioni dai nodi GKE all'endpoint del piano di controllo sono bloccate da un problema di routing.
Nei cluster privati, la rete VPC del piano di controllo è connessa alla rete VPC del cluster tramite Peering di rete VPC. Il traffico viene instradato al piano di controllo utilizzando una route di subnet di peering importata dalla configurazione di peering di rete VPC. Nei cluster pubblici, il traffico viene instradato al piano di controllo attraverso l'IP dell'endpoint del piano di controllo utilizzando una route verso il gateway internet predefinito.
Questo approfondimento include le seguenti informazioni:
- Cluster GKE:il nome del cluster GKE.
- Endpoint del piano di controllo:l'indirizzo IP dell'endpoint.
- Rete: il nome della rete in cui è configurato il cluster GKE.
Argomenti correlati
Per maggiori informazioni, consulta Piano di controllo nei cluster privati.
Suggerimenti
Vai ai dettagli del cluster GKE e verifica il peering VPC. Se il peering VPC viene eliminato, crea di nuovo il cluster GKE.
Nodo GKE per la connettività del piano di controllo: endpoint pubblico bloccato dal firewall in uscita
Indica che la connettività dai nodi GKE all'endpoint pubblico è bloccata da un firewall in uscita.
I nodi GKE in un cluster pubblico comunicano con il piano di controllo tramite TCP sulla porta 443. Questa connessione è consentita per impostazione predefinita dalle regole firewall integrate nel tuo progetto Google Cloud. La regola firewall che blocca la connessione è elencata nei dettagli dell'insight.
Argomenti correlati
Per ulteriori informazioni, consulta Utilizzo delle regole firewall.
Suggerimenti
Crea una regola firewall in uscita che consenta il traffico TCP sulla porta 443 con un filtro di destinazione dell'endpoint del cluster. Questa regola dovrebbe avere una priorità più elevata rispetto alla regola firewall di blocco.
Per maggiore sicurezza, questa regola può essere configurata con il tag di rete dei nodi del cluster GKE.
Nodo GKE per la connettività del piano di controllo: endpoint privato bloccato dal firewall in uscita
Indica che la connettività dai nodi GKE all'endpoint privato è bloccata da un firewall in uscita.
I nodi GKE in un cluster pubblico comunicano con il piano di controllo tramite TCP sulla porta 443. Questa connessione è consentita per impostazione predefinita dalle regole firewall integrate nel tuo progetto Google Cloud. La regola firewall che blocca la connessione è elencata nei dettagli dell'insight.
Argomenti correlati
Per ulteriori informazioni, consulta Utilizzo delle regole firewall.
Suggerimenti
Crea una regola firewall in uscita che consenta il traffico TCP sulla porta 443 con un filtro di destinazione dell'intervallo di indirizzi del piano di controllo del cluster. Questa regola deve avere una priorità più elevata rispetto alla regola firewall di blocco.
Per maggiore sicurezza, questa regola può essere configurata con il tag di rete dei nodi del cluster GKE.