Configurazione della visibilità tra nodi

Questa guida mostra come configurare la visibilità delle integrazioni su un cluster Google Kubernetes Engine (GKE).

La visibilità tra nodi configura il networking su ciascun nodo nel cluster in modo che il traffico inviato da un pod a un altro pod venga elaborato dalla rete VPC (Virtual Private Cloud) del cluster, anche se i pod si trovano sullo stesso nodo.

La visibilità tra nodi è disabilitata per impostazione predefinita nei cluster standard e abilitata per impostazione predefinita nei cluster Autopilot.

Architettura

La visibilità tra nodi assicura che i pacchetti inviati tra i pod vengano sempre elaborati dalla rete VPC, assicurando che le regole firewall, le route, i log di flusso e le configurazioni del mirroring pacchetto si applichino ai pacchetti.

Quando un pod invia un pacchetto a un altro pod sullo stesso nodo, il pacchetto lascia il nodo e viene elaborato dalla rete Google Cloud. Quindi il pacchetto viene immediatamente inviato allo stesso nodo e inoltrato al pod di destinazione.

La visibilità tra nodi esegue il deployment del DaemonSet netd.

Vantaggi

La visibilità tra nodi offre i seguenti vantaggi:

Consulta i log di flusso per tutto il traffico tra i pod, incluso quello tra i pod sullo stesso nodo.
Crea regole firewall che si applicano a tutto il traffico tra i pod, incluso quello tra i pod sullo stesso nodo.
Utilizza il Mirroring pacchetto per clonare il traffico, incluso quello tra i pod sullo stesso nodo, e inoltrarlo per l'esame.

Requisiti e limitazioni

La visibilità tra nodi presenta i requisiti e le limitazioni seguenti:

Il cluster deve essere in GKE 1.15 o versioni successive.
La visibilità tra nodi non è supportata con i pool di nodi di Windows Server.
Se attivi la visibilità tra nodi e utilizzi il ip-masq-agent configurato con il parametro nonMasqueradeCIDRs, devi includere l'intervallo CIDR dei pod in nonMasqueradeCIDRs per evitare problemi di connettività tra nodi.

Regole del firewall

Quando abiliti la visibilità tra nodi, la rete VPC elabora tutti i pacchetti inviati tra i pod, inclusi quelli inviati tra i pod sullo stesso nodo. Ciò significa che le regole firewall VPC e i criteri firewall gerarchici si applicano in modo coerente alla comunicazione tra pod, indipendentemente dalla posizione del pod.

Se configuri regole firewall personalizzate per la comunicazione all'interno del cluster, valuta attentamente le esigenze di networking del cluster per determinare il set di regole di autorizzazione in entrata e in uscita. Puoi utilizzare i test di connettività per assicurarti che il traffico legittimo non sia ostruito. Ad esempio, la comunicazione tra pod è necessaria per il funzionamento del criterio di rete.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Abilita l'API Google Kubernetes Engine.

Abilita l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.
Nota: per le installazioni esistenti dell'interfaccia a riga di comando gcloud, assicurati di impostare le proprietà compute/region e compute/zone. Impostando le località predefinite, puoi evitare errori nellgcloud CLI come segue: One of [--zone, --region] must be supplied: Please specify location.

Abilita la visibilità tra nodi in un nuovo cluster

Puoi creare un cluster con visibilità tra nodi abilitata utilizzando gcloud CLI o la console Google Cloud.

gcloud

Per creare un cluster a nodo singolo con la visibilità tra nodi abilitata, utilizza il flag --enable-intra-node-visibility:

gcloud container clusters create CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --enable-intra-node-visibility

Sostituisci quanto segue:

CLUSTER_NAME: il nome del nuovo cluster.
COMPUTE_REGION: la regione di computing per il cluster.

Console

Per creare un cluster a nodo singolo con la visibilità tra nodi abilitata, esegui questi passaggi:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea.
Inserisci il nome per il cluster.
Nella finestra di dialogo Configura cluster, accanto a GKE Standard, fai clic su Configura.
Configura il cluster in base alle tue esigenze.
Nel riquadro di navigazione, in Cluster, fai clic su Networking.
Seleziona la casella di controllo Abilita visibilità tra nodi.
Fai clic su Crea.

Abilita la visibilità tra nodi su un cluster esistente

Puoi abilitare la visibilità tra nodi su un cluster esistente utilizzando gcloud CLI o la console Google Cloud.

Quando abiliti la visibilità tra nodi per un cluster esistente, GKE riavvia i componenti sia nel piano di controllo sia nei nodi worker.

gcloud

Per abilitare la visibilità tra nodi su un cluster esistente, utilizza il flag --enable-intra-node-visibility:

gcloud container clusters update CLUSTER_NAME \
    --enable-intra-node-visibility

Sostituisci CLUSTER_NAME con il nome del cluster.

Console

Per abilitare la visibilità tra nodi su un cluster esistente, esegui questi passaggi:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Nell'elenco dei cluster, fai clic sul nome del cluster da modificare.
In Networking, fai clic su Modifica visibilità tra nodi.
Seleziona la casella di controllo Abilita visibilità tra nodi.
Fai clic su Salva modifiche.

Disabilita visibilità tra nodi

Puoi disabilitare la visibilità tra nodi su un cluster utilizzando gcloud CLI o la console Google Cloud.

Quando disabiliti la visibilità tra nodi per un cluster esistente, GKE riavvia i componenti sia nel piano di controllo sia nei nodi worker.

gcloud

Per disabilitare la visibilità tra nodi, utilizza il flag --no-enable-intra-node-visibility:

gcloud container clusters update CLUSTER_NAME \
    --no-enable-intra-node-visibility

Sostituisci CLUSTER_NAME con il nome del cluster.

Console

Per disattivare la visibilità tra nodi:

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Nell'elenco dei cluster, fai clic sul nome del cluster da modificare.
In Networking, fai clic su Modifica visibilità tra nodi.
Deseleziona la casella di controllo Attiva visibilità tra nodi.
Fai clic su Salva modifiche.

Esercizio: verifica la visibilità tra nodi

Questo esercizio mostra i passaggi necessari per abilitare la visibilità tra nodi e confermare che funzioni per il tuo cluster.

In questo esercizio eseguirai i seguenti passaggi:

Abilita i log di flusso per la subnet predefinita nella regione us-central1.
Crea un cluster a nodo singolo con visibilità tra nodi abilitata nella zona us-central1-a.
Creare due pod nel cluster.
Invia una richiesta HTTP da un pod a un altro.
Visualizza la voce di log di flusso per la richiesta da pod a pod.

Abilita log di flusso

Abilita i log di flusso per la subnet predefinita:

gcloud compute networks subnets update default \
    --region=us-central1 \
    --enable-flow-logs

Verifica che nella subnet predefinita siano abilitati i log di flusso:
```
gcloud compute networks subnets describe default \
    --region=us-central1
```
L'output mostra che i log di flusso sono abilitati, in modo simile al seguente:
```
...
enableFlowLogs: true
...
```

Crea un cluster

Crea un cluster a nodo singolo con visibilità tra nodi abilitata:

gcloud container clusters create flow-log-test \
    --zone=us-central1-a \
    --num-nodes=1 \
    --enable-intra-node-visibility

Recupera le credenziali per il tuo cluster:

gcloud container clusters get-credentials flow-log-test \
    --zone=us-central1-a

crea due pod

Creare un pod.

Salva il manifest seguente in un file denominato pod-1.yaml:

apiVersion: v1
kind: Pod
metadata:
  name: pod-1
spec:
  containers:
  - name: container-1
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

Applica il manifest al tuo cluster:
```
kubectl apply -f pod-1.yaml
```

Creare un secondo pod.

Salva il manifest seguente in un file denominato pod-2.yaml:

apiVersion: v1
kind: Pod
metadata:
  name: pod-2
spec:
  containers:
  - name: container-2
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0

Applica il manifest al tuo cluster:
```
kubectl apply -f pod-2.yaml
```

Visualizza i pod:

kubectl get pod pod-1 pod-2 --output wide

L'output mostra gli indirizzi IP dei pod, in modo simile al seguente:

NAME      READY     STATUS    RESTARTS   AGE       IP           ...
pod-1     1/1       Running   0          1d        10.52.0.13   ...
pod-2     1/1       Running   0          1d        10.52.0.14   ...

Prendi nota degli indirizzi IP di pod-1 e pod-2.

Invia una richiesta

Recupera una shell per il container in pod-1:
```
kubectl exec -it pod-1 -- sh
```
Nella tua shell, invia una richiesta a pod-2:
```
wget -qO- POD_2_IP_ADDRESS:8080
```
Sostituisci POD_2_IP_ADDRESS con l'indirizzo IP di pod-2.

L'output mostra la risposta dal container in esecuzione in pod-2.
```
Hello, world!
Version: 2.0.0
Hostname: pod-2
```
Digita uscita per uscire dalla shell e tornare all'ambiente della riga di comando principale.

Visualizza voci di log di flusso

Per visualizzare una voce di log del flusso, utilizza il seguente comando:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.connection.src_ip="POD_1_IP_ADDRESS" AND jsonPayload.connection.dest_ip="POD_2_IP_ADDRESS"'

Sostituisci quanto segue:

PROJECT_ID: il tuo ID progetto.
POD_1_IP_ADDRESS: l'indirizzo IP di pod-1.
POD_2_IP_ADDRESS: l'indirizzo IP di pod-2.

L'output mostra una voce di log di flusso per una richiesta da pod-1 a pod-2. In questo esempio, pod-1 ha l'indirizzo IP 10.56.0.13 e pod-2 ha l'indirizzo IP 10.56.0.14.

...
jsonPayload:
  bytes_sent: '0'
  connection:
    dest_ip: 10.56.0.14
    dest_port: 8080
    protocol: 6
    src_ip: 10.56.0.13
    src_port: 35414
...

Esegui la pulizia

Per evitare che al tuo account vengano addebitati costi indesiderati, segui questi passaggi per rimuovere le risorse che hai creato:

Elimina il cluster:

gcloud container clusters delete -q flow-log-test

Disabilita i log di flusso per la subnet predefinita:

gcloud compute networks subnets update default --no-enable-flow-logs

Passaggi successivi

Scopri come controllare la comunicazione tra i pod e i servizi del tuo cluster creando un criterio di rete del cluster.
Scopri i vantaggi dei cluster nativi di VPC.