En esta página, se describen las estadísticas de Network Analyzer para la conectividad de nodos de Google Kubernetes Engine (GKE). Para obtener información acerca de todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.
Network Analyzer detecta problemas de conectividad causados por las pautas de configuración cuando un nodo de GKE inicia una conexión con el plano de control de GKE.
Consulta las estadísticas en la API de Recommender
Para ver las estadísticas en Google Cloud CLI o en la API de Recommender, usa el siguiente tipo de estadística:
google.networkanalyzer.container.connectivityInsight
Debes tener los siguientes permisos:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
Obtén más información acerca del uso de la API de Recommender para las estadísticas de Network Analyzer en Uso de la CLI y la API de Recommender.
Conectividad del nodo de GKE al plano de control bloqueada por un problema de enrutamiento
Esta estadística indica que las conexiones de los nodos de GKE al extremo del plano de control se encuentran bloqueadas por un problema de enrutamiento.
En clústeres privados, la red de VPC del plano de control se conecta a la red de VPC de tu clúster por medio del intercambio de tráfico entre redes de VPC. El tráfico se enruta al plano de control por medio de una ruta de subred de intercambio de tráfico importada por la configuración de intercambio de tráfico de redes de VPC. En los clústeres públicos, el tráfico se enruta al plano de control con la IP de extremo del plano de control por una ruta a la puerta de enlace de Internet predeterminada.
Esta estadística incluye la siguiente información:
- Clúster de GKE: Es el nombre del clúster de GKE.
- Extremo del plano de control: Es la dirección IP del extremo.
- Red: Es el nombre de la red en la que se configuró el clúster de GKE.
Temas relacionados
Para obtener más información, consulta Plano de control en clústeres privados.
Recomendaciones
Dirígete a los detalles del clúster de GKE y verifica el intercambio de tráfico de VPC. Si se borra el intercambio de tráfico de VPC, vuelve a crear el clúster de GKE.
Conectividad del nodo de GKE al plano de control: extremo público bloqueado por un firewall de salida
Esta estadística indica la conectividad de los nodos de GKE al extremo público se encuentra bloqueada por un firewall de salida.
Los nodos de GKE en un clúster público se comunican con el plano de control por TCP en el puerto 443. Esta conexión está permitida según la configuración predeterminada por las reglas de firewall implícitas en tu proyecto de Google Cloud . La regla de firewall que bloquea la conexión se muestra en los detalles de la estadística.
Temas relacionados
Para obtener más información, consulta Usa reglas de firewall.
Recomendaciones
Crea una regla de firewall de salida que permita el tráfico de TCP en el puerto 443 con un filtro de destino del extremo del clúster. Esta regla debe tener una prioridad más alta que la regla de firewall de bloqueo.
Para lograr mayor seguridad, esta regla se puede configurar con la etiqueta de red de los nodos del clúster de GKE.
Conectividad del nodo de GKE al plano de control: extremo privado que está bloqueado por un firewall de salida
Esta estadística indica la conectividad de los nodos de GKE al extremo privado se encuentra bloqueada por un firewall de salida.
Los nodos de GKE en un clúster público se comunican con el plano de control por TCP en el puerto 443. Esta conexión está permitida según la configuración predeterminada por las reglas de firewall implícitas en tu proyecto de Google Cloud . La regla de firewall que bloquea la conexión se muestra en los detalles de la estadística.
Temas relacionados
Para obtener más información, consulta Usa reglas de firewall.
Recomendaciones
Crea una regla de firewall de salida que permita el tráfico de TCP en el puerto 443 con un filtro de lugar de destino del rango de direcciones del plano de control del clúster. Esta regla debe tener una prioridad más alta que la regla de firewall de bloqueo.
Para lograr mayor seguridad, esta regla se puede configurar con la etiqueta de red de los nodos del clúster de GKE.