Esta página descreve as estatísticas do analisador de rede para a conetividade dos nós do Google Kubernetes Engine (GKE). Para ver informações sobre todos os tipos de estatísticas, consulte o artigo Grupos e tipos de estatísticas.
O analisador de rede deteta problemas de conetividade causados por configurações quando um nó do GKE inicia uma ligação ao plano de controlo do GKE.
Veja estatísticas na API Recommender
Para ver estas estatísticas na CLI do Google Cloud ou na API Recommender, use o seguinte tipo de estatísticas:
google.networkanalyzer.container.connectivityInsight
Precisa das seguintes autorizações:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Para mais informações sobre a utilização da API Recommender para estatísticas do Network Analyzer, consulte o artigo Use a CLI e a API Recommender.
Conetividade do nó do GKE ao plano de controlo bloqueada por um problema de encaminhamento
Esta estatística indica que as ligações dos nós do GKE ao ponto final do plano de controlo estão bloqueadas devido a um problema de encaminhamento.
Nos clusters privados, a rede VPC do plano de controlo está ligada à rede VPC do cluster com VPC Network Peering. O tráfego é encaminhado para o plano de controlo através de uma rota de sub-rede de intercâmbio importada pela configuração do intercâmbio da rede da VPC. Em clusters públicos, o tráfego é encaminhado para o plano de controlo através do IP do ponto final do plano de controlo, usando um caminho para o gateway de Internet predefinido.
Esta estatística inclui as seguintes informações:
- Cluster do GKE: o nome do cluster do GKE.
- Ponto final do plano de controlo: o endereço IP do ponto final.
- Rede: o nome da rede onde o cluster do GKE está configurado.
Tópicos relacionados
Para mais informações, consulte o artigo Plano de controlo em clusters privados.
Recomendações
Aceda aos detalhes do cluster do GKE e verifique a interligação de VPCs. Se o peering de VPC for eliminado, crie novamente o cluster do GKE.
Conetividade do nó do GKE ao plano de controlo: ponto final público bloqueado pela firewall de saída
Esta estatística indica que a conetividade dos nós do GKE ao endpoint público está bloqueada por uma firewall de saída.
Os nós do GKE num cluster público comunicam com o plano de controlo através do TCP na porta 443. Esta ligação é permitida por predefinição pelas regras de firewall implícitas no seu Google Cloud projeto. A regra de firewall que está a bloquear a ligação está listada nos detalhes das estatísticas.
Tópicos relacionados
Para mais informações, consulte o artigo Usar regras da firewall.
Recomendações
Crie uma regra de firewall de saída que permita o tráfego TCP na porta 443 com um filtro de destino do ponto final do cluster. Esta regra deve ter uma prioridade superior à regra de firewall de bloqueio.
Para aumentar a segurança, esta regra pode ser configurada com a etiqueta de rede dos nós do cluster do GKE.
Conetividade do nó do GKE ao plano de controlo: ponto final privado bloqueado pela firewall de saída
Esta estatística indica que a conetividade dos nós do GKE ao ponto final privado está bloqueada por uma firewall de saída.
Os nós do GKE num cluster público comunicam com o plano de controlo através do TCP na porta 443. Esta ligação é permitida por predefinição pelas regras de firewall implícitas no seu Google Cloud projeto. A regra de firewall que está a bloquear a ligação está listada nos detalhes das estatísticas.
Tópicos relacionados
Para mais informações, consulte o artigo Usar regras de firewall.
Recomendações
Crie uma regra de firewall de saída que permita o tráfego TCP na porta 443 com um filtro de destino do intervalo de endereços do plano de controlo do cluster. Esta regra deve ter uma prioridade mais elevada do que a regra de firewall de bloqueio.
Para aumentar a segurança, esta regra pode ser configurada com a etiqueta de rede dos nós do cluster do GKE.