IP-Masquerade-Agent

Autopilot Standard

Auf dieser Seite wird erläutert, wie die IP-Maskierung in Google Kubernetes Engine (GKE) funktioniert. Außerdem werden Konfigurationsoptionen für verschiedene Szenarien angegeben.

Übersicht über die IP-Maskierung

IP-Maskierung ist eine Form von Quellnetzwerkadressübersetzung (SNAT), die n:1-IP-Adressübersetzungen durchführt. GKE kann die IP-Maskierung verwenden, um die Quell-IP-Adressen von Pods gesendeter Pakete zu ändern.

Eine allgemeine Übersicht über die IP-Maskierung in beliebigen Kubernetes-Implementierungen finden Sie im Nutzerhandbuch des IP-Masquerade-Agenten.

GKE-IP-Maskierung

Wenn IP-Maskierung für ein von einem Pod ausgegebenes Paket gilt, ändert GKE die IP-Quelladresse des Pakets von der Pod-IP-Adresse in die IP-Adresse des zugrunde liegenden Knotens. Die Maskierung der Quell-IP-Adresse eines Pakets ist hilfreich, wenn ein Empfänger so konfiguriert ist, dass er nur Pakete von den Knoten-IP-Adressen des Clusters empfängt.

Auf Linux-Knoten konfiguriert GKE iptables-Regeln. GKE verwendet das DaemonSet ip-masq-agent, um die entsprechende Datenebene zu konfigurieren.

Die IP-Maskierung wird in Windows Server-Knotenpools nicht unterstützt.

IP-Maskierung für Standardcluster

In Standard-Clustern wird das Verhalten der IP-Maskierung des Clusters von drei Faktoren gesteuert:

Unabhängig davon, ob Sie das ip-masq-agent-DaemonSet Cluster bereitgestellt haben oder ob GKE es automatisch bereitgestellt hat. Weitere Informationen zu den Szenarien, in denen GKE das DaemonSet ip-masq-agent automatisch bereitstellt, finden Sie unter Wann die ip-masq-agent automatisch bereitgestellt wird.
Ob Sie eine benutzerdefinierte Liste nonMasqueradeCIDRs in der configMap ip-masq-agent erstellt haben.
Wenn kein ip-masq-agent-DaemonSet im Cluster bereitgestellt wird, ist es egal, ob Sie den Cluster mit dem Flag --disable-default-snat erstellt haben. Weitere Informationen zu diesem Flag finden Sie unter Auswirkungen des Flags --disable-default-snat.

In der folgenden Tabelle sind die IP-Maskierungskonfigurationen für GKE-Standardcluster zusammengefasst:

Clusterkonfiguration	Daraus resultierendes SNAT-Verhalten
Das `ip-masq-agent`-DaemonSet ist im Cluster vorhanden und eine benutzerdefinierte `nonMasqueradeCIDRs`-Liste ist in der `ip-masq-agent`-ConfigMap vorhanden.	GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an Ziele in der `nonMasqueradeCIDRs`-Liste gesendet werden. GKE ändert die Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele gesendet werden, die nicht in der `nonMasqueradeCIDRs`-Liste angegeben sind.
Das `ip-masq-agent`-DaemonSet ist im Cluster vorhanden, aber eine benutzerdefinierte `nonMasqueradeCIDRs`-Liste existiert nicht in der `ip-masq-agent`-ConfigMap oder die `ip-masq-agent`-ConfigMap ist überhaupt nicht vorhanden.	GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an eine Reihe von Standardzielen ohne Maskierung gesendet werden. GKE ändert Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele außerhalb der Standardziele ohne Maskierung gesendet werden.
Das `ip-masq-agent`-DaemonSet ist nicht im Cluster vorhanden, und Sie haben den Cluster ohne das Flag `--disable-default-snat` erstellt.	GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an eine Reihe von Standardzielen ohne Maskierung gesendet werden. GKE ändert Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele außerhalb der Standardziele ohne Maskierung gesendet werden.
Das `ip-masq-agent`-DaemonSet ist nicht im Cluster vorhanden, und Sie haben den Cluster mit dem Flag `--disable-default-snat` erstellt.	GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an alle Ziele gesendet werden. Unter Pod-IPv4-Adressquellen an Internetziele beibehalten finden Sie wichtige Überlegungen zum Routing, wenn Pod-IPv4-Quelladressen beibehalten werden und Pakete an das Internet weitergeleitet werden müssen.

IP-Maskierung für Autopilot-Cluster

In Autopilot-Clustern stellt GKE immer ein ip-masq-agent-DaemonSet bereit. Mit Ausnahme von Paketen, die von Pods an die Knoten-, Pod- oder Servicebereiche des Clusters gesendet werden, können Sie das Verhalten der IP-Maskierung mit einer EgressNATPolicy steuern. Damit Sie eine EgressNATPolicy verwenden können, muss der Autopilot-Cluster die beiden folgenden Anforderungen erfüllen:

Der Cluster muss die GKE-Version 1.23.4-gke.1600 oder höher oder die Version 1.22.7-gke.1500 oder höher verwenden.
Der Cluster muss mit aktiviertem GKE Dataplane V2 erstellt worden sein.

In der folgenden Tabelle sind die IP-Maskierungskonfigurationen für Autopilot GKE-Cluster zusammengefasst:

Autopilot-Clusterkonfiguration Daraus resultierendes SNAT-Verhalten

Autopilot-Clusterkonfiguration	Daraus resultierendes SNAT-Verhalten
Der Cluster enthält eine benutzerdefinierte `EgressNATPolicy`, deren `spec.action` `NoSNAT` ist, die Ziele ohne Maskierung enthält, die in `spec.destinations[]` angegeben sind.	GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an Ziele in `spec.destinations[]` der `EgressNATPolicy` gesendet werden. GKE erreicht dies durch die Übersetzung von `spec.destinations[]` in eine `nonMasqueradeCIDRs`-Liste in einer `ip-masq-agent`-configMap. GKE ändert die Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele gesendet werden, die nicht in `spec.destinations[]` der `EgressNATPolicy` angegeben sind.
Der Cluster enthält keine benutzerdefinierte `EgressNATPolicy`.	Sowohl die Standard-`EgressNATPolicy` als auch die von GKE verwaltete Richtlinie gelten, was zu folgendem Verhalten führt: GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an eine Reihe von Standardzielen ohne Maskierung gesendet werden. GKE ändert Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele außerhalb der Standardziele ohne Maskierung gesendet werden.

Der Cluster enthält eine benutzerdefinierte EgressNATPolicy, deren spec.action NoSNAT ist, die Ziele ohne Maskierung enthält, die in spec.destinations[] angegeben sind.

GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an Ziele in spec.destinations[] der EgressNATPolicy gesendet werden. GKE erreicht dies durch die Übersetzung von spec.destinations[] in eine nonMasqueradeCIDRs-Liste in einer ip-masq-agent-configMap.

GKE ändert die Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele gesendet werden, die nicht in spec.destinations[] der EgressNATPolicy angegeben sind.

Der Cluster enthält keine benutzerdefinierte EgressNATPolicy.

Sowohl die Standard-EgressNATPolicy als auch die von GKE verwaltete Richtlinie gelten, was zu folgendem Verhalten führt:

GKE behält die Quell-Pod-IP-Adressen für Pakete bei, die an eine Reihe von Standardzielen ohne Maskierung gesendet werden.
GKE ändert Quell-Pod-IP-Adressen in Quellknoten-IP-Adressen für Pakete, die an Ziele außerhalb der Standardziele ohne Maskierung gesendet werden.

Konfigurationsbeispiele

Maximieren Sie die folgenden Abschnitte, um Beispiele für die IP-Maskierung und -Konfiguration basierend auf dem Clustertyp anzuzeigen.

Konfigurationsbeispiele für die Standardcluster-IP-Maskierung

Um dieses SNAT-Verhalten zu erzielen Implementieren Sie die folgende Konfiguration

Behalten Sie die Quell-Pod-IP-Adressen in den Paketen bei, die von Pods¹ an die Ziele 198.15.5.92/24 und 10.0.0.0/8 gesendet werden.
Maskieren Sie die Quell-Pod-IP-Adressen in Paketen, die von Pods¹ an alle anderen Ziele gesendet werden. Ändern Sie dazu die Paketquelle in die zugrunde liegende Knoten-IP-Adresse.

Behalten Sie die Quell-Pod-IP-Adressen in Paketen bei, die von Pods¹ an Standardziele ohne Maskierung gesendet werden.
Maskieren Sie die Quell-Pod-IP-Adressen in Paketen, die von Pods¹ an alle anderen Ziele gesendet werden. Ändern Sie dazu die Paketquelle in die zugrunde liegende Knoten-IP-Adresse.

Gehen Sie nach einer der folgenden Methoden vor:

Methode 1

Erstellen oder aktualisieren Sie den Cluster, sodass das Flag --disable-default-snat nicht festgelegt ist.
Achten Sie darauf, dass nonMasqueradeCIDRs nicht in der ConfigMap ip-masq-agent angegeben ist oder dass die ip-masq-agent-ConfigMap fehlt.

Selbst wenn GKE bei dieser Konfiguration automatisch ein ip-masq-agent-DaemonSet bereitstellt, weist die ip-masq-agent-ConfigMap es an, die Standardziele ohne Maskierung zu verwenden.

Methode 2

Achten Sie darauf, dass nonMasqueradeCIDRs nicht in der ip-masq-agent-ConfigMap angegeben ist oder dass die ip-masq-agent-ConfigMap nicht im Cluster vorhanden ist, und
Stellen Sie das ip-masq-agent-DaemonSet im Cluster bereit.

Bei dieser Konfiguration wird die Auswirkung des Flags --disable-default-snat durch die Bereitstellung eines ip-masq-agent-DaemonSets annulliert.

Behalten Sie die Quell-Pod-IP-Adressen in Paketen bei, die von Pods¹ an alle Ziele gesendet werden.
Deaktivieren Sie die IP-Maskierung vollständig.

Unter Pod-IPv4-Adressquellen an Internetziele beibehalten finden Sie wichtige Routingaspekte, wenn Sie IPv4-Quelladressen von Pods beibehalten und Pakete an das Internet weiterleiten müssen.
Verwenden Sie eine der folgenden Methoden zur Clusterkonfiguration:

Methode 1

Erstellen oder aktualisieren Sie den Cluster, sodass das Flag --disable-default-snat festgelegt ist, und
Achten Sie darauf, dass das ip-masq-agent-DaemonSet nicht im Cluster bereitgestellt ist.

Sie können das ip-masq-agent-DaemonSet löschen, damit das Festlegen des Flags --disable-default-snat einen Effekt hat. Da das ip-masq-agent-DaemonSet bei dieser Methode nicht vorhanden ist, spielt es keine Rolle, ob der Cluster eine ip-masq-agent-ConfigMap hat oder was der Inhalt der ip-masq-agent-ConfigMap sein könnte.

Methode 2

Bei dieser Konfiguration wird der Effekt des Flags --disable-default-snat annulliert, da Sie ein ip-masq-agent-DaemonSet absichtlich bereitgestellt haben.

¹Außer bei Diagnosecontainern und Pods mit hostNetwork: true.

Konfigurationsbeispiele für die Autopilot-Cluster-IP-Maskierung

Um dieses SNAT-Verhalten zu erzielen	Implementieren Sie die folgende Konfiguration
Behalten Sie die Quell-Pod-IP-Adressen in den Paketen bei, die von Pods an die Ziele `198.15.5.92/24` und `10.0.0.0/8` gesendet werden. Maskieren Sie die Quell-Pod-IP-Adressen in Paketen, die von Pods an alle anderen Ziele gesendet werden. Ändern Sie dazu die Paketquelle in die zugrunde liegende Knoten-IP-Adresse.	Bearbeiten Sie die standardmäßige EgressNATPolicy, sodass: `spec.action` `NoSNAT` ist und `spec.destinations` nur folgendes enthält: `Cidr: 198.15.5.92/24` `Cidr: 10.0.0.0/8`
Behalten Sie die Quell-Pod-IP-Adressen in Paketen bei, die von Pods an Standardziele ohne Maskierung gesendet werden. Maskieren Sie die Quell-Pod-IP-Adressen in Paketen, die von Pods an alle anderen Ziele gesendet werden. Ändern Sie dazu die Paketquelle in die zugrunde liegende Knoten-IP-Adresse.	Bearbeiten Sie die standardmäßige EgressNATPolicy, sodass: `spec.action` `NoSNAT` ist und `spec.destinations` einen `Cidr`-Eintrag für jedes der Standardziele ohne Maskierung enthält.
Behalten Sie die Quell-Pod-IP-Adressen in Paketen bei, die von Pods an alle Ziele gesendet werden. Deaktivieren Sie die IP-Maskierung vollständig.	Unter Pod-IPv4-Adressquellen an Internetziele beibehalten finden Sie wichtige Routingaspekte, wenn Sie IPv4-Quelladressen von Pods beibehalten und Pakete an das Internet weiterleiten müssen. Bearbeiten Sie die standardmäßige EgressNATPolicy, sodass: `spec.action` `NoSNAT` ist und `spec.destinations` enthält `Cidr: 0.0.0.0/0`.

Erweiterte Konfigurationsreferenz

Wenn der `ip-masq-agent` automatisch bereitgestellt wird

In Autopilot-Modus-Clustern stellt GKE immer ein ip-masq-agent-DaemonSet bereit.

In Standardclustern stellt GKE ein ip-masq-agent-DaemonSet bereit, wenn das Flag --disable-default-snat nicht festgelegt ist und der Cluster eine der folgenden Konfigurationskombinationen verwendet:

Der Cluster verwendet GKE Dataplane V2 nicht und die Durchsetzung von Netzwerkrichtlinien ist aktiviert.
Der Cluster verwendet einen Pod-IP-Adressbereich, der nicht in 10.0.0.0/8 passt.

Damit das DaemonSet ip-masq-agent wirksam ist, müssen Sie auch die Liste nonMasqueradeCIDRs in der ConfigMap ip-masq-agent angeben. Weitere Informationen finden Sie unter IP-Masquerade-Agent konfigurieren.

Wenn ein ip-masq-agent-DaemonSet in einem Cluster vorhanden ist, aktualisiert GKE einen Bereitstellungs-Pod auf jedem Knoten des Clusters und gleicht ihn ab.

Standardziele ohne Maskierung

Das Standardziel ohne Maskierung ist:

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
240.0.0.0/4

Die Standardziele ohne Maskierung gelten für Cluster mit den folgenden Konfigurationen:

Ihr Cluster hat ein ip-masq-agent-DaemonSet, aber keine nonMasqueradeCIDRs-Liste in seiner ip-masq-agent-ConfigMap angegeben. Dies gilt auch, wenn Ihr Cluster ein ip-masq-agent-DaemonSet, aber keine ip-masq-agent-ConfigMap hat.
Ihr Cluster hat kein ip-masq-agent-DaemonSet und das Flag --disable-default-snat ist nicht festgelegt.

Die Standardziele ohne Maskierung gelten nicht für Cluster mit den folgenden Konfigurationen:

Ihr Cluster hat ein ip-masq-agent-DaemonSet und Sie haben eine benutzerdefinierte nonMasqueradeCIDRs-Liste, die in der ip-masq-agent-ConfigMap angegeben ist. Eine benutzerdefinierte nonMasqueradeCIDRs-Liste überschreibt immer die Standardziele ohne Maskierung, wenn der Cluster ein ip-masq-agent-DaemonSet hat.
Ihr Cluster hat kein ip-masq-agent-DaemonSet und das Flag --disable-default-snat ist festgelegt. Weitere Informationen zu dieser Konfiguration finden Sie unter Auswirkungen des Flags --disable-default-snat.

Auswirkungen des Flags `--disable-default-snat`

Das Flag --disable-default-snat ändert das standardmäßige GKE-SNAT-Verhalten, sodass die Quell-Pod-IP-Adressen für Pakete beibehalten werden, die an alle Ziele gesendet werden. GKE implementiert das Standard-SNAT-Verhalten, indem kein ip-masq-agent-DaemonSet im Cluster bereitgestellt wird.

Das Flag --disable-default-snat hat keine Auswirkungen, wenn ein Cluster ein ip-masq-agent-DaemonSet enthält:

Da Autopilot-Cluster immer ein ip-masq-agent-DaemonSet enthalten, hat das Flag --disable-default-snat keine Auswirkungen auf Autopilot-Cluster.

Für Standardcluster: Wenn Sie ein ip-masq-agent-DaemonSet bereitstellen oder wenn GKE automatisch einip-masq-agent-DaemonSet bereitstellt, hat das Flag --disable-default-snat keine Bedeutung für den Cluster, auch wenn --disable-default-snat festgelegt ist. Wenn ein ip-masq-agent-DaemonSet im Cluster vorhanden ist, werden Nicht-Masquerade-Ziele entweder explizit in einer nonMasqueradeCIDRs-Liste der ip-masq-agent-ConfigMap angegeben oder aus den standardmäßigen Nicht-Masquerade-Zielen ausgewählt, wenn keine nonMasqueradeCIDRs-Liste definiert ist.

Sie können das Flag --disable-default-snat festlegen, indem Sie einen Cluster aktualisieren, nachdem er erstellt wurde. Wenn für den Cluster kein ip-masq-agent-DaemonSet bereitgestellt ist, wird die Deaktivierung des Standard-SNAT wirksam, nachdem der Cluster alle Knoten ersetzt hat – in manchen Fällen erst Stunden später. Dies liegt daran, dass GKE Ihre konfigurierten Wartungsfenster berücksichtigt, wenn Knoten im Cluster ersetzt werden. Wenn Sie kein Wartungsfenster konfiguriert haben, müssen Sie die Knoten im Cluster manuell rotieren, bevor das Flag --disable-default-snat Auswirkungen hat.

Link-Local-Maskierung

Der Bereich 169.254.0.0/16 wird für Link-Local-IP-Adressen verwendet. Die Link-Local-Maskierung bezieht sich auf das Ändern einer Quell-Pod-IP-Adresse in eine Quellknoten-IP-Adresse für Pakete, die an die 169.254.0.0/16-Ziele gesendet werden.

Autopilot-Cluster behalten immer Quell-Pod-IP-Adressen für Pakete bei, die an 169.254.0.0/16-Ziele gesendet werden.

Standardmäßig behalten Standardcluster auch die Quell-Pod-IP-Adressen für Pakete bei, die an 169.254.0.0/16-Ziele gesendet werden.

Sie können die Link-Local-IP-Maskierung in einem Standard-Cluster aktivieren. Gehen Sie dazu so vor:

Prüfen Sie, ob der Parameter masqLinkLocal vorhanden und in der ConfigMap ip-masq-agent auf True gesetzt ist. Wenn der Parameter masqLinkLocal nicht in der ip-masq-agent-ConfigMap vorhanden ist, ist der Standardwert False. Weitere Informationen finden Sie unter ip-masq-agent-ConfigMap prüfen, ip-masq-agent-ConfigMap erstellen und Vorhandene ConfigMap ip-masq-agent bearbeiten.
Achten Sie darauf, dass in Ihrem Cluster das DaemonSet ip-masq-agent bereitgestellt ist. Weitere Informationen finden Sie unter ip-masq-agent-DaemonSet prüfen und ip-masq-agent-DaemonSet bereitstellen.

Diagnosecontainer und Pods mit `hostNetwork: true`

Solange Sie keine benutzerdefinierte Quell-IP-Adresse für Pakete angeben, senden Pods, die mit hostNetwork: true und Diagnosecontainer ausgeführt werden, Pakete mit Quellen, die mit der IP-Adresse des Knotens übereinstimmen. Bei Pods, die mit hostNetwork: true ausgeführt werden, weist GKE dem Pod die IP-Adresse des Knotens zu. GKE verwaltet keine IP-Adressen für Diagnosecontainer, einschließlich Containern zum Beheben von Knotenproblemen mit der Toolbox.

Autopilot-Cluster unterstützen die Ausführung von Pods mit spec.hostNetwork: true nicht. Da auf die Knoten eines Autopilot-Clusters nicht über SSH zugegriffen werden kann, können Sie keine Diagnosecontainer darauf ausführen.

Pod-IPv4-Adressquellen an Internetziele beibehalten

Wenn die IP-Masquerade-Konfiguration Ihres Clusters eine der folgenden ist, behält GKE Pod-IP-Adressquellen für Pakete bei, die an alle Ziele gesendet werden, einschließlich Internetziele:

In Standardclustern mit einem ip-masq-agent-DaemonSet, wenn Sie nonMasqueradeCIDRs in der ip-masq-agent-ConfigMap auf 0.0.0.0 festgelegt haben.
In Standardclustern ohne das DaemonSet ip-masq-agent, wenn Sie das Flag --disable-default-snat festgelegt haben.

Wenn Sie in Autopilot-Clustern die Standard-Egress-NAT-Richtlinie bearbeiten, sodass spec.action NoSNAT ist und spec.destinations Cidr: 0.0.0.0/0 enthält.

Sowohl in öffentlichen als auch in privaten Clustern sind Pod-IPv4-Quellen interne IPv4-Adressen. Das bedeutet, dass sie im Internet nicht routingfähig sind. Wenn Sie Quell-Pod-IPv4-Adressen für an das Internet gesendete Pakete beibehalten, müssen Sie daher eine Technik wie eine der folgenden verwenden, um Pakete weiterzuleiten, nachdem sie die Knoten des Clusters verlassen haben:

Achten Sie darauf, dass Ihr VPC-Netzwerk eine Standardroute mit dem Standard-Internetgateway als nächsten Hop hat und konfigurieren Sie ein Cloud NAT-Gateway, um öffentliche NAT-Dienste für mindestens die sekundären Subnetz-IPv4-Adressbereiche bereitzustellen, die von Pods in Ihrem Cluster verwendet werden. Weitere Informationen finden Sie unter GKE-Interaktion in der Cloud NAT-Übersicht.
Konfigurieren Sie Ihr VPC-Netzwerk für die Verwendung einer benutzerdefinierten Standardroute, deren nächster Hop eine VM-Instanz oder ein interner Passthrough-Netzwerk-Load-Balancer ist, wobei die VM oder die Back-Ends des Load-Balancers so konfiguriert wurden, dass Pakete im Namen der Pods an das Internet weitergeleitet werden.

Standard-SNAT-Verhalten wiederherstellen

Wenn Sie das Standard-SNAT-Verhalten wiederherstellen möchten, wenn sich ein ip-masq-agent-DaemonSet in einem Cluster befindet, löschen Sie die zugehörige ip-masq-agent-ConfigMap. Das ip-masq-agent-DaemonSet stellt das standardmäßige IP-Masquerading-Verhalten auf den verwalteten Knoten wieder her.

Wenn Sie das Standard-SNAT-Verhalten wiederherstellen möchten, wenn kein ip-masq-agent-DaemonSet in einem Cluster vorhanden ist, müssen Sie den Knotenpool aktualisieren. Achten Sie darauf, dass --disable-default-snat nicht für den Cluster festgelegt ist.

Wirkungen der NAT-Richtlinie für ausgehenden Traffic in Autopilot-Clustern

Mit der GKE-NAT-Richtlinie für ausgehenden Traffic können Sie die IP-Maskierung für Autopilot-Cluster konfigurieren. Sie können die benutzerdefinierte Ressourcendefinition (CRD) der GKE-NAT-Richtlinie für ausgehenden Traffic verwenden, um die Quell-IP-Adressen der von Pods gesendeten Pakete zu ändern.

Aus Sicherheits- oder IP-Adressüberlastungsgründen können Sie IP-Adressen von Pod-zu-Knoten-IP-Adressbereichen für ausgehenden Traffic zu lokalen Netzwerken maskieren. Beispiel: Sie können einen Bereich außerhalb von RFC 1918 für Autopilot-Cluster und einen RFC-1918-Bereich für die Knoten verwenden. Wenn Pods jedoch mit lokalen Netzwerken kommunizieren müssen, die auch einen Bereich außerhalb von RFC 1918 verwenden, können sich die IP-Adressen überschneiden. Um Trafficverluste zu vermeiden, können Sie eine NAT-Richtlinie für ausgehenden Traffic konfigurieren, um lokalen Netzwerken die Pod-Bereiche außerhalb von RFC-1918 nicht anzubieten. Die NAT-Richtlinie für ausgehenden Traffic maskiert den Bereich außerhalb des RFC-1918-Bereichs der Pods, damit der RFC-1918-Bereich des Knotens verwendet wird. Achten Sie darauf, dass sich kein Knotenbereich mit einem lokalen Bereich überschneidet, da dies eine Trafficschleife verursachen kann.

GKE erzwingt das IP-Maskierungsverhalten für Autopilot-Cluster so:

GKE stellt den NAT-Controller für ausgehenden Traffic und das ip-masq-agent.
Sie erstellen die NAT-Richtlinie für ausgehenden Traffic.
Der GKE-Controller übersetzt die Richtlinie in die ip-masq-agent-ConfigMap.
Das DaemonSet ip-masq-agent liest die ConfigMap und GKE erzwingt dann das IP-Maskierungsverhalten.

Automatisch generierte Richtlinien

GKE unterstützt die folgenden zwei automatisch generierten NAT-Richtlinien für ausgehenden Traffic:

Standard: Diese Richtlinien können bearbeitet werden.
Von GKE verwaltet: Diese Richtlinien sind fixiert und können nicht bearbeitet werden.

Standardrichtlinie

GKE definiert eine Reihe von Standard-IP-Adressbereichen. Wenn Pakete an diese Ziele gesendet werden, maskiert Ihr Cluster keine IP-Adressquellen und behält Quell-Pod-IP-Adressen bei. Informationen zum Ändern dieser Standard-IP-Adressbereiche finden Sie unter NAT-Richtlinie für ausgehenden Traffic bearbeiten und bereitstellen.

Das folgende Manifest beschreibt eine Standard-NAT-Richtlinie für ausgehenden Traffic:

    Name:         default
    Namespace:
    Labels:       <none>
    Annotations:  <none>
    API Version:  networking.gke.io/v1
    Kind:         EgressNATPolicy
    Metadata:
      Creation Timestamp:  2022-03-16T21:05:45Z
      Generation:          2
      Managed Fields:
        API Version:  networking.gke.io/v1
        Fields Type:  FieldsV1
        fieldsV1:
          f:spec:
            .:
            f:action:
          f:status:
        Manager:      egress-nat-controller
        Operation:    Update
        Time:         2022-03-16T21:05:45Z
        API Version:  networking.gke.io/v1
        Fields Type:  FieldsV1
        fieldsV1:
          f:spec:
            f:destinations:
        Manager:         kubectl
        Operation:       Update
        Time:            2022-03-17T01:58:13Z
      Resource Version:  189346
      UID:               06acbb5a-23ba-4c2a-bb34-9b6ed8c4a87f
    Spec:
      Action:  NoSNAT
      Destinations:
        Cidr:  10.0.0.0/8
        Cidr:  172.16.0.0/12
        Cidr:  192.168.0.0/16
        Cidr:  240.0.0.0/4
        Cidr:  192.0.2.0/24
        Cidr:  198.51.100.0/24
        Cidr:  203.0.113.0/24
        Cidr:  100.64.0.0/10
        Cidr:  198.18.0.0/15
        Cidr:  192.0.0.0/24
        Cidr:  192.88.99.0/24
    Status:
    Events:  <none>

Die CIDR-Bereiche sind mit den Standardzielbereichen ohne Maskierung identisch.

Von der GKE-Richtlinie verwaltet

Die NAT-Richtlinie für ausgehenden Traffic reserviert einen statischen Bereich von IP-Adressen, der für den Betrieb des Clusters erforderlich ist. Dieser statische Bereich enthält die Pod-, Dienst- und Knoten-IP-Adressbereiche des Clusters und kann sich mit der Standardrichtlinie überschneiden.

Sie können diese Richtlinie durch einen dynamischen 8-Byte-Hash (gke-{CLUSTER_SHORT_HASH}) identifizieren, der von GKE zugewiesen wird. Sie können diese Richtlinie nicht bearbeiten.

Das folgende Manifest definiert eine von GKE verwaltete Richtlinie namens gke-bbfa6c0e-1:

    Name:         gke-bbfa6c0e-1
    Namespace:
    Labels:       <none>
    Annotations:  <none>
    API Version:  networking.gke.io/v1
    Kind:         EgressNATPolicy
    Metadata:
      Creation Timestamp:  2022-03-16T21:05:46Z
      Generation:          1
      Managed Fields:
        API Version:  networking.gke.io/v1
        Fields Type:  FieldsV1
        fieldsV1:
          f:spec:
            .:
            f:action:
            f:destinations:
          f:status:
        Manager:         egress-nat-controller
        Operation:       Update
        Time:            2022-03-16T21:05:46Z
      Resource Version:  11699
      UID:               0201b5de-a6f6-4926-822b-31ed7cdee2c6
    Spec:
      Action:  NoSNAT
      Destinations:
        Cidr:  10.119.128.0/17
        Cidr:  10.120.0.0/22
        Cidr:  10.128.0.0/20
    Status:
    Events:  <none>