本页面介绍了如何使用出站流量 NAT 政策来配置在 Google Kubernetes Engine (GKE) Autopilot 模式下创建的集群以执行 IP 伪装。
如需详细了解 GKE Standard 模式下的 IP 伪装,请参阅配置 IP 伪装代理。
概览
您可以使用 GKE 出站流量 NAT 政策为 Autopilot 集群配置 IP 伪装行为。
GKE 支持两个自动生成的出站流量 NAT 政策:
- 由 GKE 管理的政策,固定且不可修改。
- 可修改的默认政策。
本页面介绍了如何通过修改默认政策或创建出站流量 NAT 政策来修改和部署出站流量 NAT 政策。本页面还介绍了如何删除已创建的出站流量 NAT 政策。
如需详细了解出站流量 NAT 政策行为,请参阅 Autopilot 集群的流量伪装行为。
准备工作
在开始之前,请确保您已执行以下任务:
- 启用 Google Kubernetes Engine API。 启用 Google Kubernetes Engine API
- 如果您要使用 Google Cloud CLI 执行此任务,请安装并初始化 gcloud CLI。 如果您之前安装了 gcloud CLI,请运行
gcloud components update以获取最新版本。
确保您拥有运行 1.23.4-gke.1600 或更高版本或者 1.22.7-gke.1500 或更高版本的 Autopilot 集群。您的集群必须启用 GKE Dataplane V2。
确保您的集群有一个正常运行的工作负载。如需了解详情,请参阅如何请求资源。
检查出站流量 NAT 政策状态
您可以使用 Google Cloud CLI 工具检查集群是否正在运行出站流量 NAT 政策自定义资源定义 (CRD):
获取集群的凭据:
gcloud container clusters get-credentials CLUSTER-NAME将
CLUSTER_NAME替换为您的集群的名称。检查出站流量 NAT 政策是否正在运行:
kubectl get crds egressnatpolicies.networking.gke.io如果出站流量 NAT 政策正在运行,则输出类似于以下内容:
NAME CREATED AT egressnatpolicies.networking.gke.io 2022-03-16T21:05:43Z获取已创建的出站流量 NAT 政策列表:
kubectl get egressnatpolicies输出内容类似如下:
NAME AGE default 44h gke-bbfa6c0e-1 44h
修改现有的默认政策
GKE 支持两个自动生成的 NAT 政策:默认政策及由 GKE 管理的政策。默认政策可加以修改,且会配置默认非伪装目标。
如需修改现有默认政策,请执行以下步骤:
获取集群的凭据:
gcloud container clusters get-credentials CLUSTER_NAME将
CLUSTER_NAME替换为您的集群名称。修改默认出站流量 NAT 政策:
kubectl edit egressnatpolicies default将 NoSNAT 操作作为 CIDR 格式的
cidr特性,添加或移除目的地。apiVersion: networking.gke.io/v1 kind: EgressNATPolicy metadata: name: default spec: action: NoSNAT destinations: - cidr: 10.0.0.0/8 - cidr: 172.16.0.0/12 - cidr: 192.168.0.0/16 - cidr: 240.0.0.0/4 - cidr: 192.0.2.0/24 - cidr: 198.51.100.0/24 - cidr: 203.0.113.0/24 - cidr: 100.64.0.0/10 - cidr: 198.18.0.0/15 - cidr: 192.0.0.0/24 - cidr: 192.88.99.0/24将数据包发送到这些目标时,您的集群将不会伪装 IP 地址来源,而是会保留来源 Pod IP 地址。
通过检查 Kubernetes 事件确认修改后的默认政策已部署:
kubectl get events输出内容类似如下:
LAST SEEN TYPE REASON OBJECT MESSAGE 13s Normal EnsuringPolicy egressnatpolicy/default Ensuring IP masquerade config for policy "default"系统最多可能需要 3 分钟才能应用您的更改。
部署新的出站流量 NAT 政策
如需使用 NoSNAT 操作添加新目的地,您可以使用以下方式之一:
- 您可以修改现有默认政策。
- 您可以创建新的出站流量 NAT 政策。
如需创建不属于默认政策的新出站流量 NAT 政策,请执行以下步骤:
将以下清单保存为
egress_nat_policy.yaml:kind: EgressNATPolicy apiVersion: networking.gke.io/v1 metadata: name: POLICY_NAME spec: action: NoSNAT destinations: - cidr: CIDR_1 - cidr: CIDR_2替换以下内容:
POLICY_NAME:新政策的名称。CIDR_1和CIDR_2:采用 CIDR 格式的 IP 地址范围。将数据包发送到这些目标时,您的集群将不会伪装 IP 地址来源,而是会保留来源 Pod IP 地址。如果您需要超过两个 CIDR,请按照相同格式向destinations列表添加更多条目。
部署新政策:
kubectl create -f egress_nat_policy.yaml通过检查 Kubernetes 事件确认政策已部署:
kubectl get events输出内容类似如下:
LAST SEEN TYPE REASON OBJECT MESSAGE 13s Normal EnsuringPolicy egressnatpolicy/mypolicy Ensuring IP masquerade config for policy "mypolicy"
删除出站流量 NAT 政策
如需完全删除出站流量 NAT 政策,请运行以下命令:
kubectl delete egressnatpolicies POLICY_NAME
将 POLICY_NAME 替换为要删除的政策的名称。