Halaman ini menjelaskan insight Network Analyzer untuk konfigurasi penyamaran IP Google Kubernetes Engine (GKE). Untuk mengetahui informasi tentang semua jenis insight, lihat Grup dan jenis insight.
Network Analyzer mendeteksi konfigurasi ip-masq-agent
dan membandingkannya dengan rentang CIDR Pod cluster.
ConfigMap tidak memiliki sebagian rentang CIDR Pod
ConfigMap
untuk konfigurasi ip-masq-agent
yang di-deploy di cluster GKE Anda tampaknya
tidak memiliki rentang CIDR Pod. Hal ini sesuai dengan pesan peringatan berikut:
ip-masq-agent
config map cluster nonMasqueradeCIDRs
tidak sepenuhnya mencakup rentang CIDR Pod.
Artinya, traffic intra-cluster di antara Pod menggunakan alamat IP node sumber untuk Source Network Address Translation (SNAT), yang dapat menyebabkan masalah konektivitas saat firewall atau kebijakan jaringan diterapkan.
Insight ini mencakup informasi berikut:
- ConfigMap
ip-masq-agent
: ConfigMap komponenip-masq-agent
. - nonMasqueradeCIDRs: kolom yang menentukan daftar rentang alamat IP tujuan dalam format CIDR yang SNAT alamat IP sumbernya dinonaktifkan.
- CIDR Pod: rentang CIDR Pod adalah blok alamat IP khusus yang dicadangkan secara eksklusif untuk menetapkan alamat IP unik ke Pod dalam cluster. Setiap Pod yang berjalan di cluster menerima alamat IP-nya sendiri dari rentang ini, yang memungkinkan komunikasi jaringan.
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Agen penyamaran IP dan Mengonfigurasi agen penyamaran IP di cluster Standard.
Rekomendasi
Periksa nilai
CIDR Pod
yang ditetapkan ke cluster, dan
edit ip-masq-agent
ConfigMap
untuk menyertakan semua rentang CIDR Pod di kolom nonMasqueradeCIDRs
.
Menyertakan rentang CIDR Pod membantu memastikan bahwa traffic dalam cluster tidak tunduk pada penyamaran IP.
ConfigMap tidak memiliki bagian dari rentang CIDR Pod dan SNAT default dinonaktifkan
SNAT default
dinonaktifkan di cluster
GKE Anda karena tanda --disable-default-snat=true
,
dan konfigurasi ip-masq-agent
yang di-deploy sendiri
mengelola aturan penyamaran IP.
Konfigurasi kustom Anda untuk
ConfigMap ip-masq-agent
mungkin tidak menyertakan rentang CIDR Pod dengan benar.
Hal ini sesuai dengan pesan peringatan berikut:
Peta konfigurasi ip-masq-agent
cluster nonMasqueradeCIDRs
tidak sepenuhnya mencakup rentang CIDR Pod dan flag disable-default-snat disetel ke benar (true).
Akibatnya, traffic Pod mungkin
tidak disamarkan dengan benar sesuai dengan kebijakan yang Anda inginkan.
Insight ini mencakup informasi berikut:
- ConfigMap
ip-masq-agent
: ConfigMap komponenip-masq-agent
. - nonMasqueradeCIDRs: kolom yang menentukan daftar rentang alamat IP tujuan dalam format CIDR yang SNAT alamat IP sumbernya dinonaktifkan.
- CIDR Pod: rentang CIDR Pod adalah blok alamat IP khusus yang dicadangkan secara eksklusif untuk menetapkan alamat IP unik ke Pod dalam cluster. Setiap Pod yang berjalan di cluster menerima alamat IP-nya sendiri dari rentang ini, yang memungkinkan komunikasi jaringan.
- custom config: konfigurasi kustom untuk ConfigMap
ip-masq-agent
akan menggantikan daftar nonMasqueradeCIDRs default. Konfigurasi kustom Anda sepenuhnya menggantikan rentang default yang disediakan oleh agen. - Flag disable-default-snat: flag
--disable-default-snat
mengubah perilaku SNAT GKE default sehingga alamat IP Pod sumber dipertahankan untuk paket yang dikirim ke semua tujuan.
Topik terkait
Untuk mengetahui informasi selengkapnya, lihat Agen penyamaran IP dan Mengonfigurasi agen penyamaran IP di cluster Standard.
Rekomendasi
Periksa nilai
Pod CIDR
dan
konfigurasi kustom
yang ditetapkan ke cluster.
Edit ConfigMap ip-masq-agent
untuk menyertakan semua rentang CIDR Pod di kolom nonMasqueradeCIDRs
.
Menyertakan rentang CIDR Pod membantu memastikan bahwa traffic dalam cluster tidak tunduk pada penyamaran IP.