Insights da conta de serviço do nó do GKE

Nesta página, descrevemos os insights do Network Analyzer para a conta de serviço do nó do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insights.

Para conferir esses insights na gcloud CLI ou na API Recommender, use este tipo de insight:

  • google.networkanalyzer.container.serviceAccountInsight

Você precisa destas permissões:

  • recommender.networkAnalyzerGkeServiceAccountInsights.list
  • recommender.networkAnalyzerGkeServiceAccountInsights.get

Para mais informações sobre o uso da API Recommender para insights do Network Analyzer, consulte Usar a CLI e a API Recommender.

A conta de serviço do nó do GKE está desativada

Esse insight indica que um ou mais pools no cluster usam uma conta de serviço do nó do GKE desativada, o que pode resultar em falhas no registro e na inicialização dos nós no cluster que foram criados com ela desativada.

Ele inclui as seguintes informações:

  • Conta de serviço: tipo especial de conta usada normalmente por um aplicativo ou carga de trabalho de computação, como uma instância do Compute Engine, em vez de uma pessoa. Ela é identificada pelo endereço de e-mail, que é exclusivo. Essas informações estão disponíveis na API Recommender.
  • Cluster do GKE: o nome do cluster do GKE.
  • Pools de nós: uma lista de pools de nós que usam a conta de serviço desativada.

Saiba mais em Ativar a conta de serviço padrão do Compute Engine e em Como desativar uma conta de serviço.

Recomendações

Ative a conta de serviço do nó. Se houver nós não registrados nos pools afetados, eles serão reiniciados e registrados corretamente no cluster. Pode levar algum tempo para que todos os nós sejam reiniciados. Para uma resolução rápida, recomendamos redimensionar o pool de nós para zero e novamente para X nós ou criar um pool que use a mesma conta de serviço do nó.

O pool de nós do GKE usa a conta de serviço padrão do Compute Engine

Um pool de nós no cluster do GKE usa a conta de serviço padrão do Compute Engine como a conta de serviço do nó. Essa conta requer mais permissões do que as necessárias para executar o cluster do Google Kubernetes Engine.

Esse insight inclui as seguintes informações:

  • Cluster do GKE: o nome do cluster do GKE.
  • Pools de nós: uma lista de pools de nós que usam a conta de serviço padrão.

Saiba mais em Usar contas de serviço com privilégios mínimos.

Recomendações

Em vez da conta de serviço padrão do Compute Engine, crie e use uma conta de serviço com menos privilégios para os nós.

O pool de nós do GKE tem escopos de acesso configurados incorretamente

Um pool de nós no cluster do GKE tem escopos de acesso especificados manualmente, mas eles são insuficientes para registrar um nó.

Se as cargas de trabalho usarem o Application Default Credentials (ADC), os escopos de acesso serão o método legado para conceder permissões aos nós e às cargas de trabalho em execução neles. Para que os nós do GKE possam ser registrados, sempre use pelo menos os escopos padrão.

Esse insight inclui as seguintes informações:

  • Cluster do GKE: o nome do cluster do GKE.
  • Pools de nós: uma lista de pools de nós com escopos de acesso configurados incorretamente.

Para mais informações, consulte Escopos de acesso no GKE.

Recomendações

Substitua o pool de nós por outro com escopos de acesso suficientes. Para criar um pool de nós com escopos de acesso suficientes, siga um destes procedimentos:

  • Crie o pool de nós sem especificar escopos de acesso. Na CLI do Google Cloud, não inclua a flag --scopes ao chamar gcloud container node-pools create.

    Para autorizar cargas de trabalho em execução nos nós, use as permissões do Identity and Access Management (IAM) ou o controle de acesso baseado em papéis (RBAC, na sigla em inglês) do Kubernetes. Isso concede acesso a contas de serviço específicas do IAM ou a contas de serviço do Kubernetes. Para mais informações, consulte Como configurar uma conta de serviço personalizada para cargas de trabalho.

  • Na nova lista de pools de nós com escopos de acesso especificados manualmente, adicione os escopos a seguir.

    • https://www.googleapis.com/auth/devstorage.read_only
    • https://www.googleapis.com/auth/service.management.readonly
    • https://www.googleapis.com/auth/servicecontrol
    • https://www.googleapis.com/auth/trace.append
    • https://www.googleapis.com/auth/logging.write
    • https://www.googleapis.com/auth/monitoring.write