Questo documento descrive come configurare un gateway NAT in uscita per Google Distributed Cloud. Questo gateway fornisce indirizzi IP SNAT deterministici e persistenti per il traffico in uscita dai cluster. Quando esegui carichi di lavoro che hanno traffico utente in uscita (al di fuori dei cluster), i tuoi clienti vogliono identificare questo traffico utilizzando alcuni indirizzi IP deterministici. Ciò consente ai tuoi clienti di stabilire misure di sicurezza basate sull'IP, come le norme di allowlisting.
Questa pagina è dedicata agli specialisti di networking che progettano e realizzano l'architettura di rete per la propria organizzazione e installano, configurano e supportano le apparecchiature di rete. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli e attività comuni degli utenti GKE.
Il gateway NAT in uscita è abilitato utilizzando due risorse personalizzate. Per un determinato
spazio dei nomi, la risorsa personalizzata NetworkGatewayGroup specifica gli indirizzi IP
mobili che possono essere configurati sull'interfaccia di rete di un nodo scelto
per fungere da gateway. La risorsa personalizzata EgressNatPolicy consente di specificare i criteri di routing in uscita per controllare il traffico sul gateway di uscita.
Se non configuri un gateway NAT in uscita o se il traffico in uscita non soddisfa le regole di selezione del traffico, il traffico in uscita da un determinato pod a una destinazione al di fuori del cluster viene mascherato all'indirizzo IP del nodo in cui è in esecuzione il pod. In questo scenario, non è garantito che tutto il traffico in uscita da un determinato pod abbia lo stesso indirizzo IP di origine o che venga mascherato con lo stesso indirizzo IP del nodo.
Il gateway NAT in uscita è un'offerta di networking avanzato basata su Dataplane V2.
Come funziona il gateway NAT in uscita
La logica di selezione del traffico in uscita si basa su un selettore di spazi dei nomi, un selettore di pod e un insieme di intervalli di indirizzi IP di destinazione nella notazione del blocco CIDR. Per illustrare il funzionamento del gateway NAT in uscita, prendiamo in esame il flusso di un pacchetto da un pod a un consumer esterno e la risposta corrispondente. Supponi che la subnet del nodo abbia indirizzi IP nel blocco CIDR 192.168.1.0/24.
Il seguente diagramma mostra l'architettura di rete per il traffico in uscita tramite un nodo gateway.
Il flusso di pacchetti attraverso il gateway NAT in uscita potrebbe essere simile al seguente:
Il traffico in uscita viene generato da un pod con indirizzo IP
10.10.10.1in un nodo con indirizzo IP192.168.1.1.L'indirizzo di destinazione del traffico è un endpoint esterno al cluster.
Se il traffico corrisponde a una regola di uscita, il programma eBPF indirizza il traffico in uscita al nodo gateway, anziché eseguire il masquerading direttamente con l'indirizzo IP del nodo.
Il nodo gateway riceve il traffico in uscita.
Il nodo gateway maschera l'indirizzo IP di origine del traffico di origine,
10.10.10.1, con l'indirizzo IP di uscita di origine,192.168.1.100specificato nella risorsa personalizzataEgressNATPolicy.Il traffico di ritorno torna al nodo gateway con destinazione
192.168.1.100.Il nodo gateway corrisponde al conntrack del traffico di ritorno con quello del traffico in uscita originale e riscrive l'indirizzo IP di destinazione come
10.10.10.1.10.10.10.1viene considerato traffico in cluster, indirizzato al nodo originale e restituito al pod originale.
Configura gli indirizzi IP mobili per il traffico dei nodi
La risorsa personalizzata Network Gateway Group è un componente in bundle di Google Distributed Cloud. La risorsa gestisce un elenco di uno o più indirizzi IP mobili da utilizzare per il traffico in uscita dai nodi del cluster. I nodi partecipanti sono determinati dallo spazio dei nomi specificato. Il gruppo di gateway di rete rende disponibile un indirizzo IP mobile in qualsiasi momento in base al massimo impegno. Se un nodo che utilizza un indirizzo IP mobile non funziona, l'operatore di rete avanzato sposta l'indirizzo IP assegnato al nodo successivo disponibile. Anche tutto il traffico di uscita del workload che utilizza questo indirizzo IP verrà spostato.
Includi i dettagli del gruppo di gateway di rete (annotazione e specifica) nel file di configurazione del cluster quando crei un nuovo cluster 1.32.200-gke.104.
Crea la risorsa personalizzata NetworkGatewayGroup
Abiliti il gruppo di gateway di rete impostando il campo spec.clusterNetwork.advancedNetworking su true nel file di configurazione del cluster quando crei un cluster, come mostrato nell'esempio seguente:
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
name: cluster1
namespace: cluster-cluster1
spec:
clusterNetwork:
...
advancedNetworking: true
...
Quando crei la risorsa personalizzata NetworkGatewayGroup, imposta il relativo spazio dei nomi sullo spazio dei nomi del cluster e specifica un elenco di indirizzi IP mobili, come mostrato nell'esempio seguente:
kind: NetworkGatewayGroup
apiVersion: networking.gke.io/v1
metadata:
namespace: cluster-cluster1
name: default
spec:
floatingIPs:
- 192.168.1.100
- 192.168.1.101
- 192.168.1.102
L'operatore di rete avanzata assegna gli IP mobili ai nodi in base ai seguenti criteri:
- Subnet del nodo: l'indirizzo IP mobile deve corrispondere alla subnet del nodo.
- Ruolo del nodo (control plane, worker): i nodi worker hanno la precedenza sui nodi del control plane quando vengono assegnati indirizzi IP mobili.
- Se un nodo ha un indirizzo IP mobile: l'operatore assegna la priorità alle assegnazioni ai nodi a cui non è già stato assegnato un IP mobile.
La mappatura di indirizzi/nodi si trova nella sezione status quando ottieni l'oggetto
NetworkGatewayGroup. Tieni presente che l'oggetto NetworkGatewayGroup si trova
nello spazio dei nomi kube-system. Se un nodo gateway non è attivo, l'operatore di rete avanzata
assegna gli indirizzi IP mobili al nodo successivo disponibile.
Verificare la configurazione del gateway
Dopo aver applicato le modifiche alla configurazione del gateway, puoi utilizzare kubectl
per controllare lo stato del gateway e recuperare gli indirizzi IP mobili
specificati per il gateway.
Utilizza il seguente comando per controllare lo stato di
NetworkGatewayGroupe vedere come vengono allocati gli indirizzi IP mobili:kubectl -n kube-system get networkgatewaygroups.networking.gke.io default -o yamlLa risposta per un cluster con due nodi,
worker1eworker2, potrebbe avere il seguente aspetto:kind: NetworkGatewayGroup apiVersion: networking.gke.io/v1 metadata: namespace: kube-system name: default spec: floatingIPs: - 192.168.1.100 - 192.168.1.101 - 192.168.1.102 status: nodes: worker1: Up worker2: Up // Or Down floatingIPs: 192.168.1.100: worker1 192.168.1.101: worker2 192.168.1.102: worker1
Impostare le regole di selezione del traffico
La risorsa personalizzata EgressNATPolicy specifica le regole di selezione del traffico e
assegna un indirizzo IP deterministico per il traffico in uscita dal cluster.
Quando specifichi la risorsa personalizzata, sono obbligatori egress (con almeno una regola), destinationCIDRs e egressSourceIP.
Utilizza kubectl apply per creare la risorsa personalizzata EgressNATPolicy. Le
sezioni seguenti forniscono dettagli ed esempi per definire la specifica.
Specifica le regole di routing in uscita
La risorsa personalizzata EgressNatPolicy ti consente di specificare le seguenti regole per
il traffico in uscita:
Devi specificare una o più regole di selezione del traffico in uscita nella sezione
egress.- Ogni regola è composta da un
podSelectore da unnamespaceSelector. - La selezione si basa su un'etichetta dello spazio dei nomi,
namespaceSelector.matchLabels.user, e un'etichetta del pod,podSelector.matchLabels.role. - Se un pod corrisponde a una delle regole (la corrispondenza utilizza una relazione OR), viene selezionato per il traffico in uscita.
- Ogni regola è composta da un
Specifica gli indirizzi di destinazione consentiti nella sezione
destinationCIDRs.destinationCIDRsaccetta un elenco di blocchi CIDR.- Se il traffico in uscita da un pod ha un indirizzo IP di destinazione che rientra nell'intervallo di uno dei blocchi CIDR specificati, viene selezionato per il traffico in uscita.
Nell'esempio seguente, il traffico in uscita da un pod è consentito quando sono soddisfatti i seguenti criteri:
- Il pod è etichettato con
role: frontend. - Il pod si trova in uno spazio dei nomi etichettato come
user: aliceouser: paul. - Il pod comunica con gli indirizzi IP nel blocco CIDR
8.8.8.0/24.
kind: EgressNATPolicy
apiVersion: networking.gke.io/v1
metadata:
name: egress
spec:
sources:
- namespaceSelector:
matchLabels:
user: alice
podSelector:
matchLabels:
role: frontend
- namespaceSelector:
matchLabels:
user: paul
podSelector:
matchLabels:
role: frontend
action: SNAT
destinations:
- cidr: 8.8.8.0/24
gatewayRef:
name: default
namespace: kube-system
Per saperne di più sull'utilizzo delle etichette, consulta Etichette e selettori nella documentazione di Kubernetes.
Ottenere un indirizzo IP di origine per il traffico in uscita
La risorsa personalizzata EgressNATPolicy (policy) utilizza i valori gatewayRef.name e
gatewayRef.namespace per trovare un oggetto NetworkGatewayGroup (gateway).
La policy utilizza uno degli indirizzi IP mobili del gateway come indirizzo IP di origine per il traffico in uscita. Se nel gateway corrispondente sono presenti più indirizzi IP mobili, il criterio utilizza il primo indirizzo IP nell'elenco floatingIPs e ignora tutti gli altri indirizzi IP. Per il
gateway di esempio, il primo
indirizzo nell'elenco floatingIPs è 192.168.1.100. La presenza di campi o valori non validi nella sezione gatewayRef comporterà la mancata applicazione dell'oggetto norma.
Più criteri di uscita e più oggetti gateway
Come descritto nella sezione precedente, ogni oggetto egressNATPolicy (norma)
utilizza il primo indirizzo IP nell'elenco floatingIPs dell'oggetto gateway che
corrisponde a gatewayRef.name e gatewayRef.namespace. Puoi creare più
policy e, se intendi utilizzare indirizzi IP diversi, devi creare
più oggetti NetworkGatewayGroup e farvi riferimento rispettivamente.
Ogni risorsa NetworkGatewayGroup deve contenere indirizzi IP mobili univoci.
Per configurare più oggetti EgressNATPolicy in modo che utilizzino lo stesso indirizzo IP, utilizza
gli stessi gatewayRef.name e gatewayRef.namespace per entrambi.
Per configurare più criteri in uscita e più oggetti gateway:
Crea oggetti gateway nello spazio dei nomi
kube-systemper gestire ogni indirizzo IP mobile. In genere, ogni criterio di uscita deve avere un oggetto gateway corrispondente per garantire l'allocazione dell'indirizzo IP corretto.Quindi, verifica ogni oggetto gateway con
kubectlper ottenere lo stato di allocazione degli indirizzi IP mobili:kind: NetworkGatewayGroup apiVersion: networking.gke.io/v1 metadata: namespace: kube-system name: gateway1 spec: floatingIPs: - 192.168.1.100 status: ... floatingIPs: 192.168.1.100: worker1 --- kind: NetworkGatewayGroup apiVersion: networking.gke.io/v1 metadata: namespace: kube-system name: gateway2 spec: floatingIPs: - 192.168.1.101 status: ... floatingIPs: 192.168.1.101: worker2 --- kind: NetworkGatewayGroup apiVersion: networking.gke.io/v1 metadata: namespace: kube-system name: gateway3 spec: floatingIPs: - 192.168.1.102 status: ... floatingIPs: 192.168.1.102: worker1Crea più criteri che fanno riferimento agli oggetti gateway, ad esempio
gateway1creato nel passaggio precedente:kind: EgressNATPolicy apiVersion: networking.gke.io/v1 metadata: name: egress1 spec: ... gatewayRef: name: gateway1 namespace: kube-system --- kind: EgressNATPolicy apiVersion: networking.gke.io/v1 metadata: name: egress2 spec: ... gatewayRef: name: gateway2 namespace: kube-system --- kind: EgressNATPolicy apiVersion: networking.gke.io/v1 metadata: name: egress3 spec: ... gatewayRef: name: gateway3 namespace: kube-system
(Facoltativo) Specifica i nodi su cui posizionare gli indirizzi IP mobili
NetworkGatewayGroup risorse supportano i selettori dei nodi. Per specificare un sottoinsieme
di nodi da considerare per l'hosting di un indirizzo IP mobile, puoi aggiungere il
selettore di nodi all'oggetto NetworkGatewayGroup come mostrato nel seguente
esempio:
kind: NetworkGatewayGroup
apiVersion: networking.gke.io/v1
metadata:
namespace: cluster-cluster1
name: default
spec:
floatingIPs:
- 192.168.1.100
- 192.168.1.101
- 192.168.1.102
nodeSelector:
node-type: "egressNat"
Il selettore di nodi corrisponde ai nodi che hanno l'etichetta specificata e solo questi nodi vengono presi in considerazione per l'hosting di un indirizzo IP mobile. Se specifichi più selettori, la loro logica è additiva, quindi un nodo deve corrispondere a ogni etichetta per essere preso in considerazione per l'hosting di un indirizzo IP mobile. Se non ci sono molti nodi con etichette corrispondenti, un selettore di nodi può ridurre le qualità di alta disponibilità (HA) del posizionamento dell'indirizzo IP mobile.
Regole di selezione del traffico in uscita e criteri di rete
Il gateway NAT in uscita è compatibile con le API delle policy di rete. I criteri di rete vengono valutati per primi e hanno la precedenza sulle regole di selezione del traffico del gateway NAT in uscita. Ad esempio, se il traffico in uscita attiva un criterio di rete che comporta l'eliminazione del pacchetto, le regole del gateway di uscita non controlleranno il pacchetto. Solo quando il criterio di rete consente l'uscita del pacchetto, le regole di selezione del traffico in uscita vengono valutate per decidere come viene gestito il traffico, utilizzando il gateway NAT in uscita o il mascheramento diretto con l'indirizzo IP del nodo in cui è in esecuzione il pod.
Limitazioni
Le limitazioni attuali per il gateway NAT in uscita includono:
Il gateway NAT in uscita è abilitato solo per la modalità IPv4.
Gli indirizzi IP di uscita devono trovarsi nello stesso dominio di livello 2 degli indirizzi IP dei nodi.