本頁面說明 Google Kubernetes Engine (GKE) 節點連線的 Network Analyzer 深入分析資料。如要瞭解所有洞察類型,請參閱「洞察群組和類型」。
當 GKE 節點啟動與 GKE 控制層的連線時,Network Analyzer 會偵測設定造成的連線問題。
在 Recommender API 中查看深入分析
如要在 Google Cloud CLI 或 Recommender API 中查看這些洞察資料,請使用下列洞察資料類型:
google.networkanalyzer.container.connectivityInsight
您需要具備下列權限:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
如要進一步瞭解如何使用 Recommender API 取得 Network Analyzer 深入分析資料,請參閱「使用 Recommender CLI 和 API」。
發生轉送問題,因此 GKE 節點至控制層的連線已遭封鎖
這項洞察資料指出,從 GKE 節點到控制層端點的連線因轉送問題而遭到封鎖。
在私人叢集中,控制層的虛擬私有雲網路會透過虛擬私有雲網路對等互連連線至叢集的虛擬私有雲網路。系統會使用由 VPC 網路對等互連設定匯入的對等互連子網路路徑,將流量轉送至控制層。在公開叢集中,流量會透過控制層端點 IP 和通往預設網際網路閘道的路徑,轉送至控制層。
這項洞察包含下列資訊:
- GKE 叢集:GKE 叢集名稱。
- 控制層端點:端點的 IP 位址。
- Network:設定 GKE 叢集的網路名稱。
相關主題
詳情請參閱「私人叢集中的控制層」。
建議
前往 GKE 叢集詳細資料頁面,確認 VPC 對等連線。如果刪除虛擬私有雲對等互連,請重新建立 GKE 叢集。
GKE 節點至控制層連線:輸出防火牆封鎖公開端點
這項洞察資料表示輸出防火牆會封鎖 GKE 節點與公開端點的連線。
公開叢集中的 GKE 節點會透過 TCP 通訊埠 443 與控制層通訊。根據預設, Google Cloud 專案中的隱含防火牆規則會允許這類連線。洞察詳細資料會列出封鎖連線的防火牆規則。
相關主題
詳情請參閱「使用防火牆規則」一文。
建議
建立輸出防火牆規則,允許通訊埠 443 上的 TCP 流量,並設有叢集端點的目的地篩選器。此規則的優先順序應高於封鎖防火牆規則。
為提升安全性,您可以使用 GKE 叢集節點的網路標記設定這項規則。
GKE 節點至控制層連線:輸出防火牆封鎖私人端點
這項洞察資料表示,輸出防火牆會封鎖 GKE 節點與私人端點的連線。
公開叢集中的 GKE 節點會透過 TCP 通訊埠 443 與控制層通訊。根據預設, Google Cloud 專案中的隱含防火牆規則會允許這類連線。洞察詳細資料會列出封鎖連線的防火牆規則。
相關主題
詳情請參閱「使用防火牆規則」。
建議
建立輸出防火牆規則,允許通訊埠 443 上的 TCP 流量,並設有叢集控制平面位址範圍的目的地篩選器。這個規則的優先順序應高於封鎖防火牆規則。
為提升安全性,您可以使用 GKE 叢集節點的網路標記設定這項規則。