設定檔適用性:等級 2
啟用 VPC Flow Logs 和節點內可見性,以查看 Pod 級別的流量,即使是工作節點內的流量。
啟用節點內可見性使節點內的 Pod 到 Pod 流量對網路結構可見。使用此功能,VPC Flow Logs 或其他 VPC 功能可以用於節點內流量。
 |
注意預設情況下,節點間可見性是停用的。
|
影響
啟用它會導致現有叢集的叢集主機和叢集節點重新啟動,這可能會造成中斷。
稽核
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面
- 選擇所需的叢集,並在叢集部分確保節點內可見性已設為已啟動。
使用命令列:
要檢查叢集中節點間的可見性,首先定義三個變數:叢集名稱、位置資訊和專案,然後對每個節點池執行以下命令:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --
project $PROJECT_ID --format json | jq
'.networkConfig.enableIntraNodeVisibility' { "enableIntraNodeVisibility": true } if Intranode Visibility is Enabled.
如果已啟動節點內可見性,結果應返回以下內容:
{ "enableIntraNodeVisibility": true }
補救
啟用節點內可見性:
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 選擇已停用節點內可見性的 Kubernetes 叢集。
- 在詳細資訊窗格中,於網路部分,點擊名為編輯節點內可見性的鉛筆圖示。
- 勾選旁邊的方框以啟用節點內可見性。
- 點擊儲存變更。
使用命令列:
要在現有叢集上啟用節點間可見性,請執行以下命令:
gcloud container clusters update <cluster_name> --enable-intra-node- visibility
啟用 VPC Flow Logs:使用 Google Cloud 控制台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 選擇已停用 VPC Flow Logs 的 Kubernetes 叢集。
- 選擇節點標籤。
- 選擇未啟動 VPC Flow Logs 的節點池。
- 在節點池中選擇一個實例群組。
- 選擇一個實例群組成員。
- 在網路介面下選擇子網路。
- 點擊編輯。
- 將流量日誌設為開啟。
- 點擊儲存。
使用命令列:
尋找與叢集關聯的子網路名稱。
gcloud container clusters describe <cluster_name> --region <cluster_region> - -format json | jq '.subnetwork'
更新子網路以啟用 VPC Flow Logs。
gcloud compute networks subnets update <subnet_name> --enable-flow-logs