Insights sur la configuration du masquage d'adresses IP GKE

Cette page décrit les insights de l'Analyseur de réseau pour la configuration du masquage d'adresses IP de Google Kubernetes Engine (GKE). Pour en savoir plus sur tous les types d'insights, consultez Groupes et types d'insights.

Network Analyzer détecte la configuration ip-masq-agent et la compare aux plages CIDR des pods du cluster.

Il manque une partie de la plage CIDR du pod dans le ConfigMap.

Il semble que la ConfigMap pour la configuration ip-masq-agent déployée sur votre cluster GKE ne contienne pas les plages CIDR de pod. Cela correspond au message d'avertissement suivant : Les nonMasqueradeCIDRs du ConfigMap ip-masq-agent du cluster ne couvrent pas entièrement les plages CIDR des pods. Cela signifie que le trafic intracluster entre les pods utilise l'adresse IP du nœud source pour la traduction d'adresse réseau source (SNAT), ce qui peut entraîner des problèmes de connectivité lorsqu'un pare-feu ou une règle de réseau sont en place.

Cet insight inclut les informations suivantes:

  • ip-masq-agent ConfigMap : ConfigMap du composant ip-masq-agent.
  • nonMasqueradeCIDRs : champ qui spécifie une liste de plages d'adresses IP de destination au format CIDR pour lesquelles la SNAT d'adresse IP source est désactivée.
  • CIDR de pod : la plage CIDR de pod est un bloc dédié d'adresses IP réservées exclusivement à l'attribution d'adresses IP uniques aux pods du cluster. Chaque pod exécuté dans le cluster reçoit sa propre adresse IP de cette plage, ce qui permet la communication réseau.

Pour en savoir plus, consultez Agent de masquage d'adresses IP et Configurer un agent de masquage d'adresses IP dans les clusters standards.

Recommandations

Vérifiez la valeur du CIDR du pod attribué au cluster, puis modifiez le ConfigMap ip-masq-agent pour inclure toutes les plages CIDR des pods dans le champ nonMasqueradeCIDRs. L'inclusion des plages CIDR de pod permet de s'assurer que le trafic au sein du cluster n'est pas soumis au masquage d'adresse IP.

Il manque une partie de la plage CIDR du pod dans le ConfigMap et la configuration SNAT par défaut est désactivée

La SNAT par défaut est désactivée dans votre cluster GKE en raison de l'indicateur --disable-default-snat=true, et la configuration ip-masq-agent auto-déployée gère les règles de masquage d'adresses IP à la place. Il est possible que votre configuration personnalisée pour le ConfigMap ip-masq-agent n'inclue pas correctement les plages CIDR des pods. Cela correspond au message d'avertissement suivant : Les nonMasqueradeCIDRs du ConfigMap ip-masq-agent du cluster ne couvrent pas entièrement les plages CIDR des pods, et l'option disable-default-snat est définie sur true. Par conséquent, le trafic des pods peut ne pas être masqué correctement selon la règle que vous avez définie.

Cet insight inclut les informations suivantes:

  • ip-masq-agent ConfigMap : ConfigMap du composant ip-masq-agent.
  • nonMasqueradeCIDRs : champ qui spécifie une liste de plages d'adresses IP de destination au format CIDR pour lesquelles la SNAT d'adresse IP source est désactivée.
  • CIDR de pod : la plage CIDR de pod est un bloc dédié d'adresses IP réservées exclusivement à l'attribution d'adresses IP uniques aux pods du cluster. Chaque pod exécuté dans le cluster reçoit sa propre adresse IP de cette plage, ce qui permet la communication réseau.
  • custom config : la configuration personnalisée pour le ConfigMap ip-masq-agent remplace la liste nonMasqueradeCIDRs par défaut. Votre configuration personnalisée remplace entièrement les plages par défaut fournies par l'agent.
  • Option disable-default-snat : l'option --disable-default-snat modifie le comportement SNAT par défaut de GKE de manière à ce que les adresses IP des pods sources soient conservées pour les paquets envoyés à toutes les destinations.

Pour en savoir plus, consultez Agent de masquage d'adresses IP et Configurer un agent de masquage d'adresses IP dans les clusters standards.

Recommandations

Vérifiez la valeur du CIDR du pod et de la configuration personnalisée attribués au cluster. Modifiez le ConfigMap ip-masq-agent pour inclure toutes les plages CIDR des pods dans le champ nonMasqueradeCIDRs. L'inclusion des plages CIDR de pod permet de s'assurer que le trafic au sein du cluster n'est pas soumis au masquage d'adresse IP.