Insights sur la connectivité des nœuds GKE

Cette page décrit les insights de Network Analyzer pour la connectivité des nœuds Google Kubernetes Engine (GKE). Pour en savoir plus sur tous les types d'insights, consultez la section Groupes et types d'insights.

L'analyseur réseau détecte les problèmes de connectivité causés par les configurations lorsqu'un nœud GKE établit une connexion au plan de contrôle GKE.

Afficher les insights dans l'API Recommender

Pour afficher ces insights dans la Google Cloud CLI ou l'API Recommender, utilisez le type d'insight suivant:

  • google.networkanalyzer.container.connectivityInsight

Vous devez disposer des autorisations suivantes :

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Pour en savoir plus sur l'utilisation de l'API Recommender pour les insights de Network Analyzer, consultez la section Utiliser la CLI et l'API Recommender.

Connectivité du nœud GKE vers le plan de contrôle bloquée par un problème de routage

Cet insight indique que les connexions entre les nœuds GKE et le point de terminaison du plan de contrôle sont bloquées par un problème de routage.

Dans les clusters privés, le réseau VPC du plan de contrôle est connecté au réseau VPC de votre cluster via l'appairage de réseaux VPC. Le trafic est acheminé vers le plan de contrôle à l'aide d'une route de sous-réseau d'appairage importée par la configuration d'appairage de réseaux VPC. Dans les clusters publics, le trafic est acheminé vers le plan de contrôle via l'adresse IP du point de terminaison du plan de contrôle à l'aide d'une route vers la passerelle Internet par défaut.

Cet insight inclut les informations suivantes:

  • Cluster GKE:nom du cluster GKE.
  • Point de terminaison du plan de contrôle:adresse IP du point de terminaison.
  • Réseau:nom du réseau dans lequel le cluster GKE est configuré.

Pour en savoir plus, consultez la section Plan de contrôle dans les clusters privés.

Recommandations

Accédez aux détails du cluster GKE et vérifiez l'appairage de VPC. Si l'appairage VPC est supprimé, créez à nouveau le cluster GKE.

Connectivité du nœud GKE vers le plan de contrôle : point de terminaison public bloqué par le pare-feu de sortie

Cet insight indique que la connectivité des nœuds GKE avec le point de terminaison public est bloquée par un pare-feu de sortie.

Les nœuds GKE d'un cluster public communiquent avec le plan de contrôle via TCP sur le port 443. Cette connexion est autorisée par défaut par les règles de pare-feu implicites dans votre projet Google Cloud. La règle de pare-feu qui bloque la connexion est répertoriée dans les détails de l'insight.

Pour plus d'informations, consultez la section Utiliser des règles de pare-feu.

Recommandations

Créez une règle de pare-feu de sortie qui autorise le trafic TCP sur le port 443 avec un filtre de destination du point de terminaison du cluster. Cette règle doit avoir une priorité plus élevée que la règle de pare-feu bloquant.

Pour renforcer la sécurité, cette règle peut être configurée avec le tag réseau de vos nœuds de cluster GKE.

Connectivité de nœud GKE vers le plan de contrôle : point de terminaison privé bloqué par le pare-feu de sortie

Cet insight indique que la connectivité des nœuds GKE avec le point de terminaison privé est bloquée par un pare-feu de sortie.

Les nœuds GKE d'un cluster public communiquent avec le plan de contrôle via TCP sur le port 443. Cette connexion est autorisée par défaut par les règles de pare-feu implicites dans votre projet Google Cloud. La règle de pare-feu qui bloque la connexion est répertoriée dans les détails de l'insight.

Pour plus d'informations, consultez la section Utiliser des règles de pare-feu.

Recommandations

Créez une règle de pare-feu de sortie qui autorise le trafic TCP sur le port 443 avec un filtre de destination compris dans la plage d'adresses du plan de contrôle du cluster. Cette règle doit avoir une priorité plus élevée que la règle de pare-feu bloquant.

Pour renforcer la sécurité, cette règle peut être configurée avec le tag réseau de vos nœuds de cluster GKE.