このページでは、Google Kubernetes Engine(GKE)ノード接続に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。
ネットワーク アナライザは、GKE ノードが GKE コントロール プレーンへの接続を開始するときに、構成に起因する接続の問題を検出します。
Recommender API で分析情報を表示する
これらの分析情報を Google Cloud CLI または Recommender API で表示するには、次の分析情報の種類を使用します。
google.networkanalyzer.container.connectivityInsight
次の権限が必要です。
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
ネットワーク アナライザの分析情報に Recommender API を使用する方法の詳細については、Recommender CLI と API の使用をご覧ください。
ルーティングの問題により、GKE ノードからコントロール プレーンへの接続がブロックされる
この分析情報は、GKE ノードからコントロール プレーン エンドポイントへの接続がルーティングの問題によってブロックされていることを示しています。
プライベート クラスタでは、コントロール プレーンの VPC ネットワークが VPC ネットワーク ピアリングによりクラスタの VPC ネットワークに接続します。トラフィックは、VPC ネットワーク ピアリング構成によってインポートされたピアリング サブネット ルートを使用して、コントロール プレーンに転送されます。一般公開クラスタでは、トラフィックはデフォルトのインターネット ゲートウェイへのルートを使用して、コントロール プレーン エンドポイント IP を介してコントロール プレーンに転送されます。
この分析情報には次の情報が含まれます。
- GKE クラスタ: GKE クラスタの名前。
- コントロール プレーン エンドポイント: エンドポイントの IP アドレス。
- ネットワーク: GKE クラスタが構成されているネットワークの名前。
関連トピック
詳細については、限定公開クラスタのコントロール プレーンをご覧ください。
推奨事項
GKE クラスタの詳細に移動し、VPC ピアリングを確認します。VPC ピアリングが削除された場合は、GKE クラスタを再度作成します。
GKE ノードからコントロール プレーンへの接続: 下り(外向き)ファイアウォールによってパブリック エンドポイントがブロックされる
この分析情報は、GKE ノードからパブリック エンドポイントへの接続が下り(外向き)ファイアウォールによってブロックされていることを示しています。
一般公開クラスタ内の GKE ノードは、ポート 443 で TCP を介してコントロール プレーンと通信します。この接続は、 Google Cloud プロジェクトの暗黙のファイアウォール ルールによってデフォルトで許可されます。接続をブロックしているファイアウォール ルールが分析情報の詳細に表示されます。
関連トピック
詳細については、ファイアウォール ルール ロギングの使用をご覧ください。
推奨事項
クラスタのエンドポイントの宛先フィルタを使用して、ポート 443 で TCP トラフィックを許可する下り(外向き)ファイアウォール ルールを作成します。このルールには、ブロックするファイアウォール ルールよりも高い優先度を設定する必要があります。
セキュリティを強化するため、GKE クラスタノードのネットワーク タグを使用してこのルールを構成できます。
GKE ノードからコントロール プレーンへの接続: 下り(外向き)ファイアウォールによってプライベート エンドポイントがブロックされる
この分析情報は、GKE ノードからプライベート エンドポイントへの接続が下り(外向き)ファイアウォールによってブロックされていることを示しています。
一般公開クラスタ内の GKE ノードは、ポート 443 で TCP を介してコントロール プレーンと通信します。この接続は、 Google Cloud プロジェクトの暗黙のファイアウォール ルールによってデフォルトで許可されます。接続をブロックしているファイアウォール ルールが分析情報の詳細に表示されます。
関連トピック
詳細については、ファイアウォール ルールの使用をご覧ください。
推奨事項
クラスタのコントロール プレーン アドレス範囲の宛先フィルタを使用して、ポート 443 で TCP トラフィックを許可する下り(外向き)ファイアウォール ルールを作成します。このルールには、ブロックするファイアウォール ルールよりも高い優先度を設定する必要があります。
セキュリティを強化するため、GKE クラスタノードのネットワーク タグを使用してこのルールを構成できます。