Profilanwendbarkeit: Stufe 2
Aktivieren Sie VPC Flow Logs und Intranode-Sichtbarkeit, um den Datenverkehr auf Pod-Ebene
zu sehen, auch für den Datenverkehr innerhalb eines Worker-Knotens.
Durch Aktivieren der Intranode-Sichtbarkeit wird der Verkehr von Pod zu Pod innerhalb
eines Knotens für das Netzwerkgewebe sichtbar. Mit dieser Funktion können VPC Flow
Logs oder andere VPC-Funktionen für den Intranode-Verkehr verwendet werden.
 |
HinweisStandardmäßig ist die Intranode-Sichtbarkeit deaktiviert.
|
Auswirkung
Das Aktivieren auf einem bestehenden Cluster führt dazu, dass der Cluster-Master und
die Cluster-Knoten neu starten, was zu Unterbrechungen führen kann.
Prüfung
Verwendung der Google Cloud Console:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen
- Wählen Sie den gewünschten Cluster aus, und stellen Sie im Abschnitt Cluster sicher, dass die Intranode-Sichtbarkeit auf Aktiviert gesetzt ist.
Verwendung der Befehlszeile:
Um die Intranode-Sichtbarkeit im Cluster zu überprüfen, definieren Sie zuerst 3 Variablen:
Clustername, Standort und Projekt, und führen Sie dann den folgenden Befehl für jeden
Knotenpool aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --
project $PROJECT_ID --format json | jq
'.networkConfig.enableIntraNodeVisibility' { "enableIntraNodeVisibility": true } if Intranode Visibility is Enabled.
Das Ergebnis sollte Folgendes zurückgeben, wenn die Intranode-Sichtbarkeit aktiviert
ist:
{ "enableIntraNodeVisibility": true }
Wiederherstellung
Intranode-Sichtbarkeit aktivieren:
Verwendung der Google Cloud Console:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
- Select Kubernetes clusters for which intranode visibility is disabled.
- Im Detailbereich, unter dem Abschnitt Netzwerk, klicken Sie auf das Stiftsymbol mit der Bezeichnung Intranode-Sichtbarkeit bearbeiten.
- Aktivieren Sie das Kontrollkästchen neben Intranode-Sichtbarkeit aktivieren.
- Klicken Sie auf ÄNDERUNGEN SPEICHERN.
Verwendung der Befehlszeile:
Um die Sichtbarkeit zwischen den Knoten in einem bestehenden Cluster zu aktivieren,
führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --enable-intra-node- visibility
VPC Flow Logs aktivieren: Mit der Google Cloud Console:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
- Wählen Sie Kubernetes-Cluster aus, für die VPC Flow Logs deaktiviert sind.
- Wählen Sie die Registerkarte Knoten aus.
- Wählen Sie einen Node-Pool ohne aktivierte VPC Flow Logs aus.
- Wählen Sie eine Instanzgruppe innerhalb des Node-Pools aus.
- Wählen Sie ein Mitglied der Instanzgruppe aus.
- Wählen Sie das Subnetz unter Netzwerk-Schnittstellen aus.
- Klicken Sie auf BEARBEITEN.
- Setzen Sie Flow-Logs auf Ein.
- Klicken Sie auf SPEICHERN.
Verwendung der Befehlszeile:
Finden Sie den mit dem Cluster verbundenen Subnetzwerknamen.
gcloud container clusters describe <cluster_name> --region <cluster_region> - -format json | jq '.subnetwork'
Aktualisieren Sie das Subnetzwerk, um VPC Flow Logs zu aktivieren.
gcloud compute networks subnets update <subnet_name> --enable-flow-logs