Insights sobre conectividade do nó do GKE

Nesta página, descrevemos os insights do Network Analyzer sobre a conectividade de nós do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.

O Network Analyzer detecta problemas de conectividade causados por configurações quando um nó do GKE inicia uma conexão com o plano de controle do GKE.

Ver insights na API Recommender

Para ver esses insights na CLI do Google Cloud ou na API Recommender, use o seguinte tipo de insight:

  • google.networkanalyzer.container.connectivityInsight

Você precisa das seguintes permissões:

  • recommender.networkAnalyzerGkeConnectivityInsights.list
  • recommender.networkAnalyzerGkeConnectivityInsights.get

Para mais informações sobre o uso da API Recommender para insights do Network Analyzer, consulte Usar a CLI e a API Recommender.

Conectividade do nó do GKE ao plano de controle bloqueada por problema de roteamento

Esse insight indica que as conexões dos nós do GKE endpoint do plano de controle foram bloqueados por um problema de roteamento.

Em clusters particulares, a rede VPC do plano de controle está conectada à rede VPC do cluster com o peering de rede VPC. O tráfego é roteado para o plano de controle usando uma rota de sub-rede de peering importada pela configuração de peering de rede VPC. Em clusters públicos, o tráfego é roteado para o plano de controle por meio do IP do endpoint do plano de controle usando uma rota para o gateway de internet padrão.

Esse insight inclui as seguintes informações:

  • Cluster do GKE: o nome do cluster do GKE.
  • Endpoint do plano de controle: o endereço IP do endpoint.
  • Rede: o nome da rede em que o cluster do GKE está configurado.

Para mais informações, consulte Plano de controle em clusters particulares.

Recomendações

Acesse os detalhes do cluster do GKE e verifique o peering de VPC. Se o peering de VPC foi excluído, crie o cluster do GKE novamente.

Conectividade do nó do GKE ao plano de controle: endpoint público bloqueado pelo firewall de saída

Esse insight indica que a conectividade dos nós do GKE com o endpoint público está bloqueada por um firewall de saída.

Os nós do GKE em um cluster público se comunicam com o plano de controle pelo TCP na porta 443. Essa conexão é permitida por padrão pelas regras de firewall implícitas no projeto do Google Cloud. A regra de firewall que está bloqueando a conexão é listada nos detalhes do insight.

Para mais informações, consulte Como usar regras de firewall.

Recomendações

Crie uma regra de firewall de saída que permita o tráfego TCP na porta 443 com um filtro de destino do endpoint do cluster. Essa regra precisa ter uma prioridade maior do que a regra de firewall de bloqueio.

Para aumentar a segurança, essa regra pode ser configurada com a tag de rede dos nós do cluster do GKE.

Conectividade do nó do GKE ao plano de controle: endpoint particular bloqueado pelo firewall de saída

Esse insight indica que a conectividade dos nós do GKE com o endpoint particular é bloqueado por um firewall de saída.

Os nós do GKE em um cluster público se comunicam com o plano de controle pelo TCP na porta 443. Essa conexão é permitida por padrão pelas regras de firewall implícitas no projeto do Google Cloud. A regra de firewall que está bloqueando a conexão é listada nos detalhes do insight.

Para mais informações, consulte Como usar regras de firewall.

Recomendações

Crie uma regra de firewall de saída que permita o tráfego TCP na porta 443 com um filtro de destino do intervalo de endereços do plano de controle do cluster. Essa regra deve ter uma prioridade maior que a regra de firewall de bloqueio.

Para aumentar a segurança, essa regra pode ser configurada com a tag de rede dos nós do cluster do GKE.