Questa guida mostra come configurare la visibilità delle integrazioni su un cluster Google Kubernetes Engine (GKE).
La visibilità tra nodi configura il networking su ciascun nodo nel cluster in modo che il traffico inviato da un pod a un altro pod venga elaborato dalla rete VPC (Virtual Private Cloud) del cluster, anche se i pod si trovano sullo stesso nodo.
La visibilità tra nodi è disabilitata per impostazione predefinita nei cluster standard e abilitata per impostazione predefinita nei cluster Autopilot.
Architettura
La visibilità tra nodi assicura che i pacchetti inviati tra i pod vengano sempre elaborati dalla rete VPC, assicurando che le regole firewall, le route, i log di flusso e le configurazioni del mirroring pacchetto si applichino ai pacchetti.
Quando un pod invia un pacchetto a un altro pod sullo stesso nodo, il pacchetto lascia il nodo e viene elaborato dalla rete Google Cloud. Quindi il pacchetto viene immediatamente inviato allo stesso nodo e inoltrato al pod di destinazione.
La visibilità tra nodi esegue il deployment del DaemonSet netd
.
Vantaggi
La visibilità tra nodi offre i seguenti vantaggi:
- Consulta i log di flusso per tutto il traffico tra i pod, incluso quello tra i pod sullo stesso nodo.
- Crea regole firewall che si applicano a tutto il traffico tra i pod, incluso quello tra i pod sullo stesso nodo.
- Utilizza il Mirroring pacchetto per clonare il traffico, incluso quello tra i pod sullo stesso nodo, e inoltrarlo per l'esame.
Requisiti e limitazioni
La visibilità tra nodi presenta i requisiti e le limitazioni seguenti:
- Il cluster deve essere in GKE 1.15 o versioni successive.
- La visibilità tra nodi non è supportata con i pool di nodi di Windows Server.
- Se attivi la visibilità tra nodi e utilizzi il
ip-masq-agent
configurato con il parametrononMasqueradeCIDRs
, devi includere l'intervallo CIDR dei pod innonMasqueradeCIDRs
per evitare problemi di connettività tra nodi.
Regole del firewall
Quando abiliti la visibilità tra nodi, la rete VPC elabora tutti i pacchetti inviati tra i pod, inclusi quelli inviati tra i pod sullo stesso nodo. Ciò significa che le regole firewall VPC e i criteri firewall gerarchici si applicano in modo coerente alla comunicazione tra pod, indipendentemente dalla posizione del pod.
Se configuri regole firewall personalizzate per la comunicazione all'interno del cluster, valuta attentamente le esigenze di networking del cluster per determinare il set di regole di autorizzazione in entrata e in uscita. Puoi utilizzare i test di connettività per assicurarti che il traffico legittimo non sia ostruito. Ad esempio, la comunicazione tra pod è necessaria per il funzionamento del criterio di rete.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività, installa e initialize gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo
gcloud components update
.
Abilita la visibilità tra nodi in un nuovo cluster
Puoi creare un cluster con visibilità tra nodi abilitata utilizzando gcloud CLI o la console Google Cloud.
gcloud
Per creare un cluster a nodo singolo con la visibilità tra nodi abilitata, utilizza il flag --enable-intra-node-visibility
:
gcloud container clusters create CLUSTER_NAME \
--region=COMPUTE_REGION \
--enable-intra-node-visibility
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del nuovo cluster.COMPUTE_REGION
: la regione di computing per il cluster.
Console
Per creare un cluster a nodo singolo con la visibilità tra nodi abilitata, esegui questi passaggi:
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic su add_boxCrea.
Inserisci il nome per il cluster.
Nella finestra di dialogo Configura cluster, accanto a GKE Standard, fai clic su Configura.
Configura il cluster in base alle tue esigenze.
Nel riquadro di navigazione, in Cluster, fai clic su Networking.
Seleziona la casella di controllo Abilita visibilità tra nodi.
Fai clic su Crea.
Abilita la visibilità tra nodi su un cluster esistente
Puoi abilitare la visibilità tra nodi su un cluster esistente utilizzando gcloud CLI o la console Google Cloud.
Quando abiliti la visibilità tra nodi per un cluster esistente, GKE riavvia i componenti sia nel piano di controllo sia nei nodi worker.
gcloud
Per abilitare la visibilità tra nodi su un cluster esistente, utilizza il flag --enable-intra-node-visibility
:
gcloud container clusters update CLUSTER_NAME \
--enable-intra-node-visibility
Sostituisci CLUSTER_NAME
con il nome del cluster.
Console
Per abilitare la visibilità tra nodi su un cluster esistente, esegui questi passaggi:
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Nell'elenco dei cluster, fai clic sul nome del cluster da modificare.
In Networking, fai clic su edit Modifica visibilità tra nodi.
Seleziona la casella di controllo Abilita visibilità tra nodi.
Fai clic su Salva modifiche.
Disabilita visibilità tra nodi
Puoi disabilitare la visibilità tra nodi su un cluster utilizzando gcloud CLI o la console Google Cloud.
Quando disabiliti la visibilità tra nodi per un cluster esistente, GKE riavvia i componenti sia nel piano di controllo sia nei nodi worker.
gcloud
Per disabilitare la visibilità tra nodi, utilizza il flag --no-enable-intra-node-visibility
:
gcloud container clusters update CLUSTER_NAME \
--no-enable-intra-node-visibility
Sostituisci CLUSTER_NAME
con il nome del cluster.
Console
Per disattivare la visibilità tra nodi:
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Nell'elenco dei cluster, fai clic sul nome del cluster da modificare.
In Networking, fai clic su edit Modifica visibilità tra nodi.
Deseleziona la casella di controllo Attiva visibilità tra nodi.
Fai clic su Salva modifiche.
Esercizio: verifica la visibilità tra nodi
Questo esercizio mostra i passaggi necessari per abilitare la visibilità tra nodi e confermare che funzioni per il tuo cluster.
In questo esercizio eseguirai i seguenti passaggi:
- Abilita i log di flusso per la subnet predefinita nella regione
us-central1
. - Crea un cluster a nodo singolo con visibilità tra nodi abilitata nella zona
us-central1-a
. - Creare due pod nel cluster.
- Invia una richiesta HTTP da un pod a un altro.
- Visualizza la voce di log di flusso per la richiesta da pod a pod.
Abilita log di flusso
Abilita i log di flusso per la subnet predefinita:
gcloud compute networks subnets update default \ --region=us-central1 \ --enable-flow-logs
Verifica che nella subnet predefinita siano abilitati i log di flusso:
gcloud compute networks subnets describe default \ --region=us-central1
L'output mostra che i log di flusso sono abilitati, in modo simile al seguente:
... enableFlowLogs: true ...
Crea un cluster
Crea un cluster a nodo singolo con visibilità tra nodi abilitata:
gcloud container clusters create flow-log-test \ --zone=us-central1-a \ --num-nodes=1 \ --enable-intra-node-visibility
Recupera le credenziali per il tuo cluster:
gcloud container clusters get-credentials flow-log-test \ --zone=us-central1-a
crea due pod
Creare un pod.
Salva il manifest seguente in un file denominato
pod-1.yaml
:apiVersion: v1 kind: Pod metadata: name: pod-1 spec: containers: - name: container-1 image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
Applica il manifest al tuo cluster:
kubectl apply -f pod-1.yaml
Creare un secondo pod.
Salva il manifest seguente in un file denominato
pod-2.yaml
:apiVersion: v1 kind: Pod metadata: name: pod-2 spec: containers: - name: container-2 image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0
Applica il manifest al tuo cluster:
kubectl apply -f pod-2.yaml
Visualizza i pod:
kubectl get pod pod-1 pod-2 --output wide
L'output mostra gli indirizzi IP dei pod, in modo simile al seguente:
NAME READY STATUS RESTARTS AGE IP ... pod-1 1/1 Running 0 1d 10.52.0.13 ... pod-2 1/1 Running 0 1d 10.52.0.14 ...
Prendi nota degli indirizzi IP di
pod-1
epod-2
.
Invia una richiesta
Recupera una shell per il container in
pod-1
:kubectl exec -it pod-1 -- sh
Nella tua shell, invia una richiesta a
pod-2
:wget -qO- POD_2_IP_ADDRESS:8080
Sostituisci
POD_2_IP_ADDRESS
con l'indirizzo IP dipod-2
.L'output mostra la risposta dal container in esecuzione in
pod-2
.Hello, world! Version: 2.0.0 Hostname: pod-2
Digita uscita per uscire dalla shell e tornare all'ambiente della riga di comando principale.
Visualizza voci di log di flusso
Per visualizzare una voce di log del flusso, utilizza il seguente comando:
gcloud logging read \
'logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows" AND jsonPayload.connection.src_ip="POD_1_IP_ADDRESS" AND jsonPayload.connection.dest_ip="POD_2_IP_ADDRESS"'
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progetto.POD_1_IP_ADDRESS
: l'indirizzo IP dipod-1
.POD_2_IP_ADDRESS
: l'indirizzo IP dipod-2
.
L'output mostra una voce di log di flusso per una richiesta da pod-1
a pod-2
. In questo esempio, pod-1
ha l'indirizzo IP 10.56.0.13
e pod-2
ha l'indirizzo IP 10.56.0.14
.
...
jsonPayload:
bytes_sent: '0'
connection:
dest_ip: 10.56.0.14
dest_port: 8080
protocol: 6
src_ip: 10.56.0.13
src_port: 35414
...
Esegui la pulizia
Per evitare che al tuo account vengano addebitati costi indesiderati, segui questi passaggi per rimuovere le risorse che hai creato:
Elimina il cluster:
gcloud container clusters delete -q flow-log-test
Disabilita i log di flusso per la subnet predefinita:
gcloud compute networks subnets update default --no-enable-flow-logs
Passaggi successivi
- Scopri come controllare la comunicazione tra i pod e i servizi del tuo cluster creando un criterio di rete del cluster.
- Scopri i vantaggi dei cluster nativi di VPC.