בדף הזה מוסבר על התובנות של Network Analyzer לגבי קישוריות הצמתים ב-Google Kubernetes Engine (GKE). מידע על כל סוגי התובנות זמין במאמר קבוצות וסוגים של תובנות.
Network Analyzer מזהה בעיות בקישוריות שנגרמות כתוצאה מהגדרות, כשצומת GKE יוזם חיבור למישור הבקרה של GKE.
צפייה בתובנות ב-Recommender API
כדי לראות את התובנות האלה ב-Google Cloud CLI או ב-Recommender API, משתמשים בסוג התובנה הבא:
google.networkanalyzer.container.connectivityInsight
נדרשות ההרשאות הבאות:
recommender.networkAnalyzerGkeConnectivityInsights.listrecommender.networkAnalyzerGkeConnectivityInsights.get
מידע נוסף על שימוש ב-Recommender API לקבלת תובנות מ-Network Analyzer זמין במאמר שימוש ב-Recommender CLI וב-API.
הקישוריות בין צומת GKE למישור הבקרה נחסמת בגלל בעיה בניווט
התובנה הזו מציינת שהחיבורים מצמתי GKE לנקודת הקצה של מישור הבקרה חסומים בגלל בעיה בניתוב.
באשכולות פרטיים, רשת ה-VPC של מישור הבקרה מחוברת לרשת ה-VPC של האשכול באמצעות קישור בין רשתות VPC. התעבורה מנותבת למישור הבקרה באמצעות מסלול של רשת משנה שמקושרת לרשתות שכנות שיובא על ידי ההגדרה של קישור בין רשתות VPC שכנות (peering). באשכולות ציבוריים, התעבורה מנותבת למישור הבקרה דרך כתובת ה-IP של נקודת הקצה של מישור הבקרה באמצעות מסלול לשער האינטרנט שמוגדר כברירת מחדל.
התובנה הזו כוללת את המידע הבא:
- GKE cluster: השם של אשכול GKE.
- נקודת קצה (endpoint) של מישור הבקרה: כתובת ה-IP של נקודת הקצה.
- רשת: השם של הרשת שבה מוגדר אשכול GKE.
נושאים קשורים
מידע נוסף זמין במאמר בנושא מישור הבקרה באשכולות פרטיים.
המלצות
עוברים לפרטי אשכול GKE ומאמתים את ה-VPC peering. אם מוחקים את ה-VPC peering, צריך ליצור מחדש את אשכול GKE.
קישוריות בין צומת GKE למישור הבקרה: נקודת קצה ציבורית נחסמת על ידי חומת אש של תעבורה יוצאת
התובנה הזו מציינת שחומת אש ליציאה חוסמת את הקישוריות מצמתי GKE לנקודת הקצה הציבורית.
צמתי GKE באשכול ציבורי מתקשרים עם מישור הבקרה באמצעות TCP ביציאה 443. החיבור הזה מותר כברירת מחדל על ידי כללי חומת האש המשתמעים בפרויקט Google Cloud . כלל חומת האש שחוסם את החיבור מופיע בפרטי התובנה.
נושאים קשורים
מידע נוסף זמין במאמר שימוש בכללים של חומת האש.
המלצות
יוצרים כלל חומת אש לתעבורת נתונים יוצאת שמאפשר תעבורת נתוני TCP ביציאה 443 עם מסנן יעד של נקודת הקצה של האשכול. הכלל הזה צריך להיות בעדיפות גבוהה יותר מכלל חומת האש שחוסם את הגישה.
כדי לשפר את האבטחה, אפשר להגדיר את הכלל הזה באמצעות תג הרשת של צמתי אשכול GKE.
קישוריות בין צומת GKE למישור הבקרה: נקודת קצה פרטית נחסמת על ידי חומת אש ליציאה
התובנה הזו מציינת שחומת אש ליציאה חוסמת את הקישוריות מצמתי GKE לנקודת הקצה הפרטית.
צמתי GKE באשכול ציבורי מתקשרים עם מישור הבקרה באמצעות TCP ביציאה 443. החיבור הזה מותר כברירת מחדל על ידי כללי חומת האש המשתמעים בפרויקט Google Cloud . כלל חומת האש שחוסם את החיבור מופיע בפרטי התובנה.
נושאים קשורים
מידע נוסף זמין במאמר בנושא שימוש בכללים של חומת האש.
המלצות
יוצרים כלל חומת אש לתעבורת נתונים יוצאת (egress) שמאפשר תעבורת TCP ביציאה 443 עם מסנן יעד של טווח הכתובות של מישור הבקרה של האשכול. הכלל הזה צריך להיות בעדיפות גבוהה יותר מכלל חומת האש שחוסם את האתר.
כדי לשפר את האבטחה, אפשר להגדיר את הכלל הזה באמצעות תג הרשת של צמתי אשכול GKE.