Estadísticas de la cuenta de servicio del nodo de GKE

En esta página, se describen las estadísticas de Network Analyzer para las estadísticas de la cuenta de servicio del nodo de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Para ver estas estadísticas en gcloud CLI o en la API de Recommender, usa el siguiente tipo de estadística:

  • google.networkanalyzer.container.serviceAccountInsight

Necesitas los siguientes permisos:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Para obtener más información sobre el uso de la API de Recommender en las estadísticas de Network Analyzer, consulta Usa la CLI y la API de Recommender.

La cuenta de servicio del nodo de GKE está inhabilitada

Esta estadística indica que uno o más grupos del clúster usan una cuenta de servicio del nodo de GKE inhabilitada, lo que podría provocar errores en el arranque y el registro de cualquier nodo del clúster creado cuando la cuenta de servicio esté inhabilitada.

Esta estadística incluye la siguiente información:

  • Cuenta de servicio: Es un tipo de cuenta especial y similar que, por lo general, es usada por una carga de trabajo de aplicación o procesamiento, como una instancia de Compute Engine, en lugar de una persona. Se identifica por su dirección de correo electrónico, que es única para la cuenta. Esta información está disponible en la API de Recommender.
  • Clúster de GKE: Es el nombre del clúster de GKE.
  • Grupos de nodos: Es una lista de grupos de nodos que usan la cuenta de servicio inhabilitada.

Para obtener más información, consulta Habilita la cuenta de servicio predeterminada de Compute Engine y Cómo inhabilitar una cuenta de servicio.

Recomendaciones

Habilita la cuenta de servicio del nodo. Si hay nodos sin registrar en los grupos de nodos afectados, los nodos se reiniciarán y se registrarán correctamente en el clúster. Es posible que todos los nodos tarden un tiempo en reiniciarse. Para obtener una resolución rápida, te recomendamos que cambies el tamaño del grupo de nodos a cero nodos y, luego, a X nodos, o que crees un grupo de nodos nuevo que use la misma cuenta de servicio del nodo.

El grupo de nodos de GKE usa la cuenta de servicio predeterminada de Compute Engine

Un grupo de nodos en tu clúster de GKE usa la cuenta de servicio predeterminada de Compute Engine como su cuenta de servicio de nodo. Esta cuenta requiere más permisos de los necesarios para ejecutar tu clúster de Google Kubernetes Engine.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: Es el nombre del clúster de GKE.
  • Grupos de nodos: Es una lista de grupos de nodos que usan la cuenta de servicio predeterminada.

Para obtener más información, consulta Usa las cuentas de servicio de Google con privilegios mínimos.

Recomendaciones

En lugar de la cuenta de servicio predeterminada de Compute Engine, crea y usa una cuenta de servicio con menos privilegios para tus nodos.

El grupo de nodos de GKE tiene permisos de acceso mal configurados

Un grupo de nodos en tu clúster de GKE tiene permisos de acceso especificados de forma manual, pero los permisos especificados no son suficientes para registrar un nodo.

Si tus cargas de trabajo usan las Credenciales predeterminadas de la aplicación (ADC), los permisos de acceso son el método heredado para otorgar permisos a tus nodos y a las cargas de trabajo que se ejecutan en ellos. En el caso de los nodos de GKE, siempre usa al menos los permisos predeterminados, ya que, de lo contrario, no se podrán registrar.

Esta estadística incluye la siguiente información:

  • Clúster de GKE: Es el nombre del clúster de GKE.
  • Grupos de nodos: Es una lista de grupos de nodos con permisos de acceso mal configurados.

Para obtener más información, consulta Permisos de acceso en GKE.

Recomendaciones

Reemplaza el grupo de nodos por uno con permisos de acceso suficientes. Para crear un grupo de nodos con suficientes permisos de acceso, lleva a cabo una de las siguientes acciones:

  • Crea el grupo de nodos nuevo sin especificar permisos de acceso. En Google Cloud CLI, no incluyas la marca --scopes cuando llames a gcloud container node-pools create.

    Para autorizar las cargas de trabajo que se ejecutan en tus nodos, usa permisos de Identity and Access Management (IAM) o el control de acceso basado en roles (RBAC) de Kubernetes. De esta manera, se puede otorgar acceso a cuentas de servicio de IAM o de Kubernetes específicas. Para obtener más información, consulta Configura una cuenta de servicio personalizada para las cargas de trabajo.

  • En la nueva lista de grupos de nodos de los permisos de acceso especificados manualmente, agrega los siguientes permisos.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write