本页面介绍了 Google Kubernetes Engine (GKE) 节点连接的网络分析器数据分析。如需了解所有数据分析类型,请参阅数据分析组和类型。
网络分析器会检测 GKE 节点启动与 GKE 控制平面的连接时由配置引起的连接问题。
在 Recommender API 中查看数据分析
如需在 Google Cloud CLI 或 Recommender API 中查看这些数据分析,请使用以下数据分析类型:
google.networkanalyzer.container.connectivityInsight
您需要以下权限:
recommender.networkAnalyzerGkeConnectivityInsights.list
recommender.networkAnalyzerGkeConnectivityInsights.get
如需详细了解如何使用 Recommender API 获取网络分析器数据分析,请参阅使用 Recommender CLI 和 API。
GKE 节点到控制平面的连接被路由问题阻止
此数据分析表示,从 GKE 节点到控制平面端点的连接被路由问题阻止。
在专用集群中,控制平面的 VPC 网络通过 VPC 网络对等互连连接到集群的 VPC 网络。流量会使用 VPC 网络对等互连配置导入的对等互连子网路由路由到控制平面。在公共集群中,流量会使用通向默认互联网网关的路由通过控制平面端点 IP 路由到控制平面。
此数据分析包括以下信息:
- GKE 集群:GKE 集群的名称。
- 控制平面端点:端点的 IP 地址。
- 网络:在其中配置了 GKE 集群的网络的名称。
相关主题
如需了解详情,请参阅专用集群中的控制平面。
建议
转到 GKE 集群详情并验证 VPC 对等互连。如果 VPC 对等互连已删除,请再次创建 GKE 集群。
GKE 节点到控制平面的连接:公共端点被出站防火墙阻止
这一数据分析表明,从 GKE 节点到 公共端点被出站防火墙阻止。
公共集群中的 GKE 节点通过端口 443 上的 TCP 与控制平面通信。默认情况下,Google Cloud 项目中的隐式防火墙规则允许此连接。数据分析详情中会列出阻止连接的防火墙规则。
相关主题
如需了解详情,请参阅使用防火墙规则。
建议
创建一条出站防火墙规则,该规则通过集群端点的目的地过滤条件允许端口 443 上的 TCP 流量。此规则的优先级应高于阻止防火墙规则的优先级。
为了提高安全性,您可以使用 GKE 集群节点的网络标记来配置此规则。
GKE 节点到控制平面的连接:专用端点被出站防火墙阻止
这一数据分析表明,从 GKE 节点到 专用端点被出站流量防火墙阻止。
公共集群中的 GKE 节点通过端口 443 上的 TCP 与控制平面通信。默认情况下,Google Cloud 项目中的隐式防火墙规则允许此连接。数据分析详情中会列出阻止连接的防火墙规则。
相关主题
如需了解详情,请参阅使用防火墙规则。
建议
创建一条出站防火墙规则,该规则通过集群控制平面地址范围的目的地过滤条件允许端口 443 上的 TCP 流量。此规则的优先级应高于阻止防火墙规则的优先级。
为了提高安全性,您可以使用 GKE 集群节点的网络标记来配置此规则。