プロファイル適用性: レベル2
VPC Flow LogsとIntranode Visibilityを有効にして、ワーカーノード内のトラフィックであっても、ポッドレベルのトラフィックを確認します。
Intranode Visibilityを有効にすると、ノード内のポッド間トラフィックがネットワークファブリックに表示されます。この機能により、ノード内トラフィックに対してVPC
Flow Logsやその他のVPC機能を使用できます。
 |
注意デフォルトでは、Intranode Visibilityは無効になっています。
|
影響
既存のクラスターで有効にすると、クラスターのマスターとクラスターのノードが再起動し、障害が発生する可能性があります。
監査
Google Cloud Consoleを使用する:
- Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します
- 希望するクラスターを選択し、クラスターセクションでノード間の可視性が有効になっていることを確認してください。
コマンドラインを使用する:
クラスタ内のノード間可視性を確認するには、まず3つの変数、クラスタ名、ロケーション、プロジェクトを定義し、次に各ノードプールに対して以下のコマンドを実行します。
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --
project $PROJECT_ID --format json | jq
'.networkConfig.enableIntraNodeVisibility' { "enableIntraNodeVisibility": true } if Intranode Visibility is Enabled.
Intranode Visibilityが有効になっている場合、次の結果が返されます:
{ "enableIntraNodeVisibility": true }
修復
イントラノードの可視性を有効にする:
Google Cloud Consoleを使用する:
- Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
- ノード間の可視性が無効になっているKubernetesクラスターを選択してください。
- 詳細ペインのネットワークセクションで、鉛筆アイコンのノード間の可視性を編集をクリックします。
- ノード間の可視性を有効にするの横のチェックボックスをオンにします。
- 変更を保存をクリックします。
コマンドラインを使用する:
既存のクラスターでノード間の可視性を有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --enable-intra-node- visibility
VPC Flow Logsを有効にする: Google Cloudコンソールを使用して:
- Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
- VPC Flow Logsが無効になっているKubernetesクラスターを選択してください。
- ノードタブを選択してください。
- VPC Flow Logsが有効になっていないノードプールを選択してください。
- ノードプール内のインスタンスグループを選択してください。
- インスタンスグループメンバーを選択。
- ネットワークインターフェースの下でサブネットワークを選択してください。
- 編集をクリックしてください。
- フローログをオンに設定します。
- 保存をクリック。
コマンドラインを使用する:
クラスターに関連付けられたサブネットワーク名を見つけます。
gcloud container clusters describe <cluster_name> --region <cluster_region> - -format json | jq '.subnetwork'
サブネットワークを更新してVPC Flow Logsを有効にします。
gcloud compute networks subnets update <subnet_name> --enable-flow-logs