このページでは、Google Kubernetes Engine(GKE)ノード接続に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。
ネットワーク アナライザは、GKE ノードが GKE コントロール プレーンへの接続を開始するときに、構成に起因する接続の問題を検出します。
Recommender API で分析情報を表示する
これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。
google.networkanalyzer.container.connectivityInsight
次の権限が必要です。
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。
ルーティングの問題により、GKE ノードからコントロール プレーンへの接続がブロックされる
この分析情報は、GKE ノードからコントロール プレーン エンドポイントへの接続がルーティングの問題によってブロックされていることを示しています。
限定公開クラスタでは、コントロール プレーンの VPC ネットワークが VPC ネットワーク ピアリングによりクラスタの VPC ネットワークに接続します。トラフィックは、VPC ネットワーク ピアリング構成によってインポートされたピアリング サブネット ルートを使用して、コントロール プレーンに転送されます。一般公開クラスタでは、トラフィックはデフォルトのインターネット ゲートウェイへのルートを使用して、コントロール プレーン エンドポイント IP を介してコントロール プレーンに転送されます。
この分析情報には次の情報が含まれます。
- GKE クラスタ: GKE クラスタの名前。
- コントロール プレーン エンドポイント: エンドポイントの IP アドレス。
- ネットワーク: GKE クラスタが構成されているネットワークの名前。
関連トピック
詳細については、限定公開クラスタのコントロール プレーンをご覧ください。
推奨事項
GKE クラスタの詳細に移動し、VPC ピアリングを確認します。VPC ピアリングが削除された場合は、GKE クラスタを再度作成します。
GKE ノードからコントロール プレーンへの接続: 下り(外向き)ファイアウォールによってパブリック エンドポイントがブロックされる
この分析情報は、GKE ノードからパブリック エンドポイントへの接続が下り(外向き)ファイアウォールによってブロックされていることを示しています。
一般公開クラスタ内の GKE ノードは、ポート 443 で TCP を介してコントロール プレーンと通信します。この接続は、Google Cloud プロジェクトの暗黙のファイアウォール ルールによってデフォルトで許可されます。接続をブロックしているファイアウォール ルールが分析情報の詳細に表示されます。
関連トピック
詳細については、ファイアウォール ルールの使用をご覧ください。
推奨事項
クラスタのエンドポイントの宛先フィルタを使用して、ポート 443 で TCP トラフィックを許可する下り(外向き)ファイアウォール ルールを作成します。このルールには、ブロックするファイアウォール ルールよりも高い優先度を設定する必要があります。
セキュリティを強化するため、GKE クラスタノードのネットワーク タグを使用してこのルールを構成できます。
GKE ノードからコントロール プレーンへの接続: 下り(外向き)ファイアウォールによってプライベート エンドポイントがブロックされる
この分析情報は、GKE ノードからプライベート エンドポイントへの接続が下り(外向き)ファイアウォールによってブロックされていることを示しています。
一般公開クラスタ内の GKE ノードは、ポート 443 で TCP を介してコントロール プレーンと通信します。この接続は、Google Cloud プロジェクトの暗黙のファイアウォール ルールによってデフォルトで許可されます。接続をブロックしているファイアウォール ルールが分析情報の詳細に表示されます。
関連トピック
詳細については、ファイアウォール ルールロギングの使用をご覧ください。
推奨事項
クラスタのコントロール プレーン アドレス範囲の宛先フィルタを使用して、ポート 443 で TCP トラフィックを許可する下り(外向き)ファイアウォール ルールを作成します。このルールには、ブロックするファイアウォール ルールよりも高い優先度を設定する必要があります。
セキュリティを強化するため、GKE クラスタノードのネットワーク タグを使用してこのルールを構成できます。