GKE 节点连接数据分析

本页面介绍了 Google Kubernetes Engine (GKE) 节点连接的网络分析器数据分析。如需了解所有数据分析类型,请参阅数据分析组和类型

网络分析器会检测 GKE 节点启动与 GKE 控制平面的连接时由配置引起的连接问题。

在 Recommender API 中查看数据分析

如需在 Google Cloud CLI 或 Recommender API 中查看这些数据分析,请使用以下数据分析类型:

  • google.networkanalyzer.container.connectivityInsight

您需要以下权限:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

如需详细了解如何使用 Recommender API 获取网络分析器数据分析,请参阅使用 Recommender CLI 和 API

GKE 节点到控制平面的连接被路由问题阻止

此数据分析表明,从 GKE 节点到控制平面端点的连接由于路由问题而被阻止。

在专用集群中,控制平面的 VPC 网络通过 VPC 网络对等互连连接到集群的 VPC 网络。流量会使用 VPC 网络对等互连配置导入的对等互连子网路由路由到控制平面。在公共集群中,流量会使用通向默认互联网网关的路由通过控制平面端点 IP 路由到控制平面。

此数据分析包括以下信息:

  • GKE 集群:GKE 集群的名称。
  • 控制平面端点:端点的 IP 地址。
  • 网络:在其中配置了 GKE 集群的网络的名称。

如需了解详情,请参阅专用集群中的控制平面

建议

转到 GKE 集群详情并验证 VPC 对等互连。如果 VPC 对等互连已删除,请再次创建 GKE 集群。

GKE 节点到控制平面的连接:公共端点被出站防火墙阻止

此数据分析表明,从 GKE 节点到公共端点的连接被出站防火墙阻止。

公共集群中的 GKE 节点通过端口 443 上的 TCP 与控制平面通信。默认情况下, Google Cloud 项目中的隐式防火墙规则允许此连接。数据分析详情中会列出阻止连接的防火墙规则。

如需了解详情,请参阅使用防火墙规则

建议

创建一条出站防火墙规则,该规则通过集群端点的目的地过滤条件允许端口 443 上的 TCP 流量。此规则的优先级应高于阻止防火墙规则的优先级。

为了提高安全性,您可以使用 GKE 集群节点的网络标记来配置此规则。

GKE 节点到控制平面的连接:专用端点被出站防火墙阻止

此数据分析表明,从 GKE 节点到专用端点的连接被出站防火墙阻止。

公共集群中的 GKE 节点通过端口 443 上的 TCP 与控制平面通信。默认情况下, Google Cloud 项目中的隐式防火墙规则允许此连接。数据分析详情中会列出阻止连接的防火墙规则。

如需了解详情,请参阅使用防火墙规则

建议

创建一条出站防火墙规则,该规则通过集群控制平面地址范围的目的地过滤条件允许端口 443 上的 TCP 流量。此规则的优先级应高于阻止防火墙规则的优先级。

为了提高安全性,您可以使用 GKE 集群节点的网络标记来配置此规则。