Auf dieser Seite werden die Network Analyzer-Statistiken für die IP-Maskierungskonfiguration von Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Insight-Typen finden Sie unter Statistikgruppen und -typen.
Der Network Analyzer erkennt die ip-masq-agent
-Konfiguration und vergleicht sie mit den Pod-CIDR-Bereichen des Clusters.
In der ConfigMap fehlt ein Teil des Pod-CIDR-Bereichs
Die ConfigMap für die ip-masq-agent
-Konfiguration, die in Ihrem GKE-Cluster bereitgestellt wird, enthält anscheinend nicht die Pod-CIDR-Bereiche. Dies entspricht der folgenden Warnmeldung:
Die nonMasqueradeCIDRs
der ip-masq-agent
-ConfigMap des Clusters deckt die Pod-CIDR-Bereiche nicht vollständig ab.
Das bedeutet, dass für den Intra-Cluster-Traffic zwischen den Pods die IP-Adresse des Quellknotens für die Quellnetzwerkadressübersetzung (Source Network Address Translation, SNAT) verwendet wird. Dies kann zu Verbindungsproblemen führen, wenn eine Firewall oder Netzwerkrichtlinie vorhanden ist.
Die Insight enthält folgende Informationen:
ip-masq-agent
-ConfigMap: die ConfigMap derip-masq-agent
-Komponente.- nonMasqueradeCIDRs: Das Feld, in dem eine Liste von Ziel-IP-Adressbereichen im CIDR-Format angegeben wird, für die SNAT für Quell-IP-Adressen deaktiviert ist.
- Pod-CIDR: Der Pod-CIDR-Bereich ist ein dedizierter Block von IP-Adressen, die ausschließlich für die Zuweisung eindeutiger IP-Adressen an Pods im Cluster reserviert sind. Jeder Pod, der im Cluster ausgeführt wird, erhält eine eigene IP-Adresse aus diesem Bereich, was die Netzwerkkommunikation ermöglicht.
Weitere Informationen
Weitere Informationen finden Sie unter IP-Masquerade-Agent und IP-Masquerade-Agent in Standardclustern konfigurieren.
Empfehlungen
Prüfen Sie den Wert der Pod-CIDR, die dem Cluster zugewiesen ist, und bearbeiten Sie die ConfigMap ip-masq-agent
, um alle Pod-CIDR-Bereiche in das Feld nonMasqueradeCIDRs
aufzunehmen.
Wenn Sie die Pod-CIDR-Bereiche einbeziehen, wird sichergestellt, dass der Traffic innerhalb des Clusters nicht der IP-Maskierung unterliegt.
In der ConfigMap fehlt ein Teil des Pod-CIDR-Bereichs und das Standard-SNAT ist deaktiviert.
Standard-SNAT ist in Ihrem GKE-Cluster aufgrund des Flags --disable-default-snat=true
deaktiviert und die selbst bereitgestellte ip-masq-agent
-Konfiguration verwaltet stattdessen IP-Masquerade-Regeln.
Ihre benutzerdefinierte Konfiguration für die ConfigMap des ip-masq-agent enthält möglicherweise nicht die Pod-CIDR-Bereiche.
Dies entspricht der folgenden Warnmeldung:
Die nonMasqueradeCIDRs
der ip-masq-agent
-ConfigMap des Clusters deckt die Pod-CIDR-Bereiche nicht vollständig ab und das Flag „disable-default-snat“ ist auf „true“ festgelegt.
Daher wird der Pod-Traffic möglicherweise nicht gemäß Ihrer beabsichtigten Richtlinie maskiert.
Die Insight enthält folgende Informationen:
ip-masq-agent
-ConfigMap: die ConfigMap derip-masq-agent
-Komponente.- nonMasqueradeCIDRs: Das Feld, in dem eine Liste von Ziel-IP-Adressbereichen im CIDR-Format angegeben wird, für die SNAT für Quell-IP-Adressen deaktiviert ist.
- Pod-CIDR: Der Pod-CIDR-Bereich ist ein dedizierter Block von IP-Adressen, die ausschließlich für die Zuweisung eindeutiger IP-Adressen an Pods im Cluster reserviert sind. Jeder Pod, der im Cluster ausgeführt wird, erhält eine eigene IP-Adresse aus diesem Bereich, was die Netzwerkkommunikation ermöglicht.
- Benutzerdefinierte Konfiguration: Die benutzerdefinierte Konfiguration für die
ip-masq-agent
-ConfigMap überschreibt die Standardliste „nonMasqueradeCIDRs“. Ihre benutzerdefinierte Konfiguration ersetzt vollständig die vom Agent bereitgestellten Standardbereiche. - Flag „disable-default-snat“: Das Flag
--disable-default-snat
ändert das standardmäßige GKE-SNAT-Verhalten, sodass die Quell-Pod-IP-Adressen für Pakete beibehalten werden, die an alle Ziele gesendet werden.
Weitere Informationen
Weitere Informationen finden Sie unter IP-Masquerade-Agent und IP-Masquerade-Agent in Standardclustern konfigurieren.
Empfehlungen
Prüfen Sie den Wert von Pod-CIDR und der benutzerdefinierten Konfiguration, die dem Cluster zugewiesen sind.
Bearbeiten Sie die ConfigMap ip-masq-agent
, sodass alle Pod-CIDR-Bereiche im Feld nonMasqueradeCIDRs
enthalten sind.
Wenn Sie die Pod-CIDR-Bereiche einbeziehen, wird sichergestellt, dass der Traffic innerhalb des Clusters nicht der IP-Maskierung unterliegt.