本頁說明 Google Kubernetes Engine (GKE) 控制層連線的網路分析器洞察資料。如要瞭解所有洞察資料類型,請參閱「洞察資料群組和類型」。
當 GKE 控制層啟動與 GKE 節點的連線時,Network Analyzer 會偵測設定造成的連線問題。
在 Recommender API 中查看洞察資料
如要在 Google Cloud CLI 或 Recommender API 中查看這些洞察資料,請使用下列洞察資料類型:
google.networkanalyzer.container.connectivityInsight
您需要具備下列權限:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
如要進一步瞭解如何使用 Recommender API 取得 Network Analyzer 深入分析資料,請參閱「使用 Recommender CLI 和 API」。
發生轉送問題,因此 GKE 控制層至節點的連線已遭封鎖
這項洞察資料表示,GKE 控制層至節點的連線因轉送問題而遭到封鎖。這項洞察包含下列資訊:
- GKE 叢集:GKE 叢集名稱。
- 控制層端點:端點的 IP 位址。
- Network:設定 GKE 叢集的網路名稱。
在私人叢集中,控制層的虛擬私有雲網路會透過虛擬私有雲網路對等互連連線至叢集的虛擬私有雲網路。系統會使用由 VPC 網路對等互連設定匯入的對等互連子網路路徑,將流量轉送至控制層。這項洞察不應出現在公開叢集中。
相關主題
詳情請參閱「私人叢集中的控制層」。
建議
前往 GKE 叢集詳細資料頁面,確認 VPC 網路對等互連設定。如果刪除虛擬私有雲網路對等互連,請重新建立 GKE 叢集。
GKE 控制層至節點的連線遭節點上的輸入防火牆封鎖
這項洞察資料表示,從 GKE 控制層傳送至節點的連線遭到節點上的輸入防火牆封鎖。這項洞察資料包含下列資訊:
- GKE 叢集:GKE 叢集名稱。
- 控制層端點:GKE 控制層的 IP 位址。
- Network:設定 GKE 叢集的網路名稱。
- 封鎖輸入防火牆:如果控制層至節點的連線遭到輸入防火牆封鎖,系統會顯示這項防火牆的名稱;否則,系統不會顯示這個欄位。
- 通訊埠:遭到封鎖的 GKE 節點通訊埠。對於公開叢集,控制層會透過 22 號通訊埠與 GKE 節點通訊。對於私人叢集,控制層會透過通訊埠 443 和 10250 與 GKE 節點通訊。
根據預設,GKE 會建立防火牆規則,允許控制層與專案中的 GKE 節點之間通訊。這項洞察資訊表示這些預設防火牆規則已修改或移除,或是 VPC 網路中的其他防火牆規則遮蔽了自動建立的防火牆規則。
相關主題
詳情請參閱「自動建立的防火牆規則」和「防火牆規則總覽」。
建議
- 如果自動建立的防火牆規則從 VPC 網路中刪除,請重新建立防火牆規則。
- 如果已自動建立防火牆規則,則封鎖防火牆規則的優先順序會較高。提高自動建立的防火牆規則優先順序。