設定檔適用性:等級 2
啟用 VPC 流量日誌和節點內可見性以查看 Pod 級別流量,即使是工作節點內的流量。
啟用節點內可見性使節點內 Pod 到 Pod 的流量對網路架構可見。使用此功能,VPC 流量日誌或其他 VPC 功能可用於節點內流量。
 |
注意預設情況下,節點內可見性已停用。
|
影響
啟用它會導致現有叢集的叢集主機和叢集節點重新啟動,這可能會造成中斷。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 選擇所需的叢集。
- 在叢集部分,請確保節點內可見性設置為已啟動。
使用命令列:
執行此命令:
gcloud container clusters describe <cluster_name> --zone <compute_zone> -- format json | jq '.networkConfig.enableIntraNodeVisibility'
如果已啟動節點內可見性,結果應返回
true。補救
啟用節點內可見性:
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 選擇已停用節點內可見性的 Kubernetes 叢集。
- 在詳細資訊窗格的網路部分,點擊名為Edit intranode visibility的鉛筆圖示。
- 在Enable Intranode visibility旁邊勾選方框。
- 點擊SAVE CHANGES。
使用命令列:
要在現有叢集上啟用節點內可見性,請執行以下命令:
gcloud container clusters update <cluster_name> --enable-intra-node- visibility
啟用 VPC 流量日誌:
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 選擇已停用 VPC 流量日誌的 Kubernetes 叢集。
- 選擇Nodes標籤。
- 選擇Node Pool,未啟動 VPC 流量日誌。
- 在節點池中選擇一個實例群組。
- 選擇Instance Group Member。
- 在網路介面下選擇Subnetwork。
- 點擊EDIT。
- 將流量日誌設為
開啟。 - 按一下「SAVE」。
使用命令列:
尋找與叢集相關的子網路名稱:
gcloud container clusters describe <cluster_name> --region <cluster_region> --format json | jq '.subnetwork'
更新子網路以啟用 VPC 流量記錄:
gcloud compute networks subnets update <subnet_name> --enable-flow-logs