Informationen zur GKE-IP-Maskierungskonfiguration

Auf dieser Seite werden die Network Analyzer-Statistiken für die IP-Maskierungskonfiguration von Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Insight-Typen finden Sie unter Statistikgruppen und -typen.

Der Network Analyzer erkennt die ip-masq-agent-Konfiguration und vergleicht sie mit den Pod-CIDR-Bereichen des Clusters.

In der ConfigMap fehlt ein Teil des Pod-CIDR-Bereichs

Die ConfigMap für die ip-masq-agent-Konfiguration, die in Ihrem GKE-Cluster bereitgestellt wird, enthält anscheinend nicht die Pod-CIDR-Bereiche. Dies entspricht der folgenden Warnmeldung: Die nonMasqueradeCIDRs der ip-masq-agent-ConfigMap des Clusters deckt die Pod-CIDR-Bereiche nicht vollständig ab. Das bedeutet, dass für den Intra-Cluster-Traffic zwischen den Pods die IP-Adresse des Quellknotens für die Quellnetzwerkadressübersetzung (Source Network Address Translation, SNAT) verwendet wird. Dies kann zu Verbindungsproblemen führen, wenn eine Firewall oder Netzwerkrichtlinie vorhanden ist.

Die Insight enthält folgende Informationen:

  • ip-masq-agent-ConfigMap: die ConfigMap der ip-masq-agent-Komponente.
  • nonMasqueradeCIDRs: Das Feld, in dem eine Liste von Ziel-IP-Adressbereichen im CIDR-Format angegeben wird, für die SNAT für Quell-IP-Adressen deaktiviert ist.
  • Pod-CIDR: Der Pod-CIDR-Bereich ist ein dedizierter Block von IP-Adressen, die ausschließlich für die Zuweisung eindeutiger IP-Adressen an Pods im Cluster reserviert sind. Jeder Pod, der im Cluster ausgeführt wird, erhält eine eigene IP-Adresse aus diesem Bereich, was die Netzwerkkommunikation ermöglicht.

Weitere Informationen finden Sie unter IP-Masquerade-Agent und IP-Masquerade-Agent in Standardclustern konfigurieren.

Empfehlungen

Prüfen Sie den Wert der Pod-CIDR, die dem Cluster zugewiesen ist, und bearbeiten Sie die ConfigMap ip-masq-agent, um alle Pod-CIDR-Bereiche in das Feld nonMasqueradeCIDRs aufzunehmen. Wenn Sie die Pod-CIDR-Bereiche einbeziehen, wird sichergestellt, dass der Traffic innerhalb des Clusters nicht der IP-Maskierung unterliegt.

In der ConfigMap fehlt ein Teil des Pod-CIDR-Bereichs und das Standard-SNAT ist deaktiviert.

Standard-SNAT ist in Ihrem GKE-Cluster aufgrund des Flags --disable-default-snat=true deaktiviert und die selbst bereitgestellte ip-masq-agent-Konfiguration verwaltet stattdessen IP-Masquerade-Regeln. Ihre benutzerdefinierte Konfiguration für die ConfigMap des ip-masq-agent enthält möglicherweise nicht die Pod-CIDR-Bereiche. Dies entspricht der folgenden Warnmeldung: Die nonMasqueradeCIDRs der ip-masq-agent-ConfigMap des Clusters deckt die Pod-CIDR-Bereiche nicht vollständig ab und das Flag „disable-default-snat“ ist auf „true“ festgelegt. Daher wird der Pod-Traffic möglicherweise nicht gemäß Ihrer beabsichtigten Richtlinie maskiert.

Die Insight enthält folgende Informationen:

  • ip-masq-agent-ConfigMap: die ConfigMap der ip-masq-agent-Komponente.
  • nonMasqueradeCIDRs: Das Feld, in dem eine Liste von Ziel-IP-Adressbereichen im CIDR-Format angegeben wird, für die SNAT für Quell-IP-Adressen deaktiviert ist.
  • Pod-CIDR: Der Pod-CIDR-Bereich ist ein dedizierter Block von IP-Adressen, die ausschließlich für die Zuweisung eindeutiger IP-Adressen an Pods im Cluster reserviert sind. Jeder Pod, der im Cluster ausgeführt wird, erhält eine eigene IP-Adresse aus diesem Bereich, was die Netzwerkkommunikation ermöglicht.
  • Benutzerdefinierte Konfiguration: Die benutzerdefinierte Konfiguration für die ip-masq-agent-ConfigMap überschreibt die Standardliste „nonMasqueradeCIDRs“. Ihre benutzerdefinierte Konfiguration ersetzt vollständig die vom Agent bereitgestellten Standardbereiche.
  • Flag „disable-default-snat“: Das Flag --disable-default-snat ändert das standardmäßige GKE-SNAT-Verhalten, sodass die Quell-Pod-IP-Adressen für Pakete beibehalten werden, die an alle Ziele gesendet werden.

Weitere Informationen finden Sie unter IP-Masquerade-Agent und IP-Masquerade-Agent in Standardclustern konfigurieren.

Empfehlungen

Prüfen Sie den Wert von Pod-CIDR und der benutzerdefinierten Konfiguration, die dem Cluster zugewiesen sind. Bearbeiten Sie die ConfigMap ip-masq-agent, sodass alle Pod-CIDR-Bereiche im Feld nonMasqueradeCIDRs enthalten sind. Wenn Sie die Pod-CIDR-Bereiche einbeziehen, wird sichergestellt, dass der Traffic innerhalb des Clusters nicht der IP-Maskierung unterliegt.