Ansichten:
Profilanwendbarkeit: Stufe 2
Aktivieren Sie VPC-Flow-Logs und Intranode-Sichtbarkeit, um den Datenverkehr auf Pod-Ebene zu sehen, auch für den Datenverkehr innerhalb eines Worker-Knotens.
Das Aktivieren der Intranode-Sichtbarkeit macht den Pod-zu-Pod-Verkehr innerhalb des Knotens für das Netzwerkgewebe sichtbar. Mit dieser Funktion können VPC-Flow-Logs oder andere VPC-Funktionen für den Intranode-Verkehr verwendet werden.
Hinweis
Hinweis
Standardmäßig ist die Intranode-Sichtbarkeit deaktiviert.

Auswirkung

Das Aktivieren auf einem bestehenden Cluster führt dazu, dass der Cluster-Master und die Cluster-Knoten neu starten, was zu Unterbrechungen führen kann.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den gewünschten Cluster aus.
  3. Stellen Sie im Abschnitt Cluster sicher, dass die Intranode-Sichtbarkeit auf Aktiviert eingestellt ist.
Verwendung der Befehlszeile:
Führen Sie diesen Befehl aus:
gcloud container clusters describe <cluster_name> --zone <compute_zone> --
format json | jq '.networkConfig.enableIntraNodeVisibility'
Das Ergebnis sollte true zurückgeben, wenn die Intranode-Sichtbarkeit aktiviert ist.

Wiederherstellung

Intranode-Sichtbarkeit aktivieren:

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Select Kubernetes clusters for which intranode visibility is disabled.
  3. Klicken Sie im Detailbereich unter dem Abschnitt Netzwerk auf das Stiftsymbol mit dem Namen Edit intranode visibility.
  4. Aktivieren Sie das Kontrollkästchen neben Enable Intranode visibility.
  5. Klicken Sie auf SAVE CHANGES.
Verwendung der Befehlszeile:
Um die Sichtbarkeit zwischen den Knoten in einem bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --enable-intra-node-
visibility

VPC-Flussprotokolle aktivieren:

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie Kubernetes-Cluster aus, für die VPC-Flow-Logs deaktiviert sind.
  3. Wählen Sie die Registerkarte Nodes aus.
  4. Wählen Sie Node Pool ohne aktivierte VPC-Flow-Logs aus.
  5. Wählen Sie eine Instanzgruppe innerhalb des Node-Pools aus.
  6. Wählen Sie einen Instance Group Member aus.
  7. Wählen Sie Subnetwork unter Netzwerk-Schnittstellen aus.
  8. Klicken Sie auf EDIT.
  9. Setzen Sie Flow-Logs auf On.
  10. Klicken Sie auf Speichern.
Verwendung der Befehlszeile:
Finden Sie den mit dem Cluster verbundenen Subnetzwerknamen:
gcloud container clusters describe <cluster_name> --region <cluster_region> 
--format json | jq '.subnetwork'
Aktualisieren Sie das Subnetz, um VPC-Flow-Protokolle zu aktivieren:
gcloud compute networks subnets update <subnet_name> --enable-flow-logs