プロファイル適用性: レベル2
VPCフローログとイントラノードの可視性を有効にして、ワーカーノード内のトラフィックであっても、ポッドレベルのトラフィックを確認します。
Intranode Visibilityを有効にすると、ノード内のポッド間トラフィックがネットワークファブリックに表示されます。この機能により、VPCフローログやその他のVPC機能をノード内トラフィックに使用できます。
 |
注意デフォルトでは、Intranode Visibilityは無効になっています。
|
影響
既存のクラスターで有効にすると、クラスターのマスターとクラスターのノードが再起動し、障害が発生する可能性があります。
監査
Google Cloud Consoleを使用して:
- Kubernetes Engine のウェブサイトに移動します。
- 希望するクラスターを選択してください。
- クラスタセクションで、ノード間の可視性が[有効化]に設定されていることを確認してください。
コマンドラインの使用:
このコマンドを実行してください:
gcloud container clusters describe <cluster_name> --zone <compute_zone> -- format json | jq '.networkConfig.enableIntraNodeVisibility'
Intranode Visibilityが有効になっている場合、結果は
trueを返す必要があります。修復
イントラノードの可視性を有効にする:
Google Cloud Consoleを使用して:
- Kubernetes Engine のウェブサイトに移動します。
- ノード間の可視性が無効になっているKubernetesクラスターを選択してください。
- 詳細ペイン内のネットワークセクションで、[Edit intranode visibility]という名前の鉛筆アイコンをクリックします。
- [Enable Intranode visibility]の横のボックスをチェックしてください。
- [SAVE CHANGES]をクリックします。
コマンドラインの使用:
既存のクラスターでノード間の可視性を有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --enable-intra-node- visibility
VPCフローログを有効化:
Google Cloud Consoleを使用して:
- Kubernetes Engine のウェブサイトに移動します。
- VPCフローログが無効になっているKubernetesクラスターを選択してください。
- [ノード]タブを選択します。
- [Node Pool]を選択し、VPCフローログを有効にしないでください。
- ノードプール内のインスタンスグループを選択してください。
- [Instance Group Member]を選択してください。
- ネットワークインターフェイスの[Subnetwork]を選択します。
- [EDIT]をクリックします。
- フローログを
オンに設定します。 - [保存] をクリックします。
コマンドラインの使用:
クラスターに関連付けられたサブネットワーク名を見つけてください:
gcloud container clusters describe <cluster_name> --region <cluster_region> --format json | jq '.subnetwork'
VPCフローログを有効にするためにサブネットワークを更新してください。
gcloud compute networks subnets update <subnet_name> --enable-flow-logs