Insight konfigurasi penyamaran IP GKE

Halaman ini menjelaskan insight Network Analyzer untuk konfigurasi penyamaran IP Google Kubernetes Engine (GKE). Untuk mengetahui informasi tentang semua jenis insight, lihat Grup dan jenis insight.

Network Analyzer mendeteksi konfigurasi ip-masq-agent dan membandingkannya dengan rentang CIDR Pod cluster.

ConfigMap tidak memiliki sebagian rentang CIDR Pod

ConfigMap untuk konfigurasi ip-masq-agent yang di-deploy di cluster GKE Anda tampaknya tidak memiliki rentang CIDR Pod. Hal ini sesuai dengan pesan peringatan berikut: ip-masq-agent config map cluster nonMasqueradeCIDRs tidak sepenuhnya mencakup rentang CIDR Pod. Artinya, traffic intra-cluster di antara Pod menggunakan alamat IP node sumber untuk Source Network Address Translation (SNAT), yang dapat menyebabkan masalah konektivitas saat firewall atau kebijakan jaringan diterapkan.

Insight ini mencakup informasi berikut:

  • ConfigMap ip-masq-agent: ConfigMap komponen ip-masq-agent.
  • nonMasqueradeCIDRs: kolom yang menentukan daftar rentang alamat IP tujuan dalam format CIDR yang SNAT alamat IP sumbernya dinonaktifkan.
  • CIDR Pod: rentang CIDR Pod adalah blok alamat IP khusus yang dicadangkan secara eksklusif untuk menetapkan alamat IP unik ke Pod dalam cluster. Setiap Pod yang berjalan di cluster menerima alamat IP-nya sendiri dari rentang ini, yang memungkinkan komunikasi jaringan.

Untuk mengetahui informasi selengkapnya, lihat Agen penyamaran IP dan Mengonfigurasi agen penyamaran IP di cluster Standard.

Rekomendasi

Periksa nilai CIDR Pod yang ditetapkan ke cluster, dan edit ip-masq-agent ConfigMap untuk menyertakan semua rentang CIDR Pod di kolom nonMasqueradeCIDRs. Menyertakan rentang CIDR Pod membantu memastikan bahwa traffic dalam cluster tidak tunduk pada penyamaran IP.

ConfigMap tidak memiliki bagian dari rentang CIDR Pod dan SNAT default dinonaktifkan

SNAT default dinonaktifkan di cluster GKE Anda karena tanda --disable-default-snat=true, dan konfigurasi ip-masq-agent yang di-deploy sendiri mengelola aturan penyamaran IP. Konfigurasi kustom Anda untuk ConfigMap ip-masq-agent mungkin tidak menyertakan rentang CIDR Pod dengan benar. Hal ini sesuai dengan pesan peringatan berikut: Peta konfigurasi ip-masq-agent cluster nonMasqueradeCIDRs tidak sepenuhnya mencakup rentang CIDR Pod dan flag disable-default-snat disetel ke benar (true). Akibatnya, traffic Pod mungkin tidak disamarkan dengan benar sesuai dengan kebijakan yang Anda inginkan.

Insight ini mencakup informasi berikut:

  • ConfigMap ip-masq-agent: ConfigMap komponen ip-masq-agent.
  • nonMasqueradeCIDRs: kolom yang menentukan daftar rentang alamat IP tujuan dalam format CIDR yang SNAT alamat IP sumbernya dinonaktifkan.
  • CIDR Pod: rentang CIDR Pod adalah blok alamat IP khusus yang dicadangkan secara eksklusif untuk menetapkan alamat IP unik ke Pod dalam cluster. Setiap Pod yang berjalan di cluster menerima alamat IP-nya sendiri dari rentang ini, yang memungkinkan komunikasi jaringan.
  • custom config: konfigurasi kustom untuk ConfigMap ip-masq-agent akan menggantikan daftar nonMasqueradeCIDRs default. Konfigurasi kustom Anda sepenuhnya menggantikan rentang default yang disediakan oleh agen.
  • Flag disable-default-snat: flag --disable-default-snat mengubah perilaku SNAT GKE default sehingga alamat IP Pod sumber dipertahankan untuk paket yang dikirim ke semua tujuan.

Untuk mengetahui informasi selengkapnya, lihat Agen penyamaran IP dan Mengonfigurasi agen penyamaran IP di cluster Standard.

Rekomendasi

Periksa nilai Pod CIDR dan konfigurasi kustom yang ditetapkan ke cluster. Edit ConfigMap ip-masq-agent untuk menyertakan semua rentang CIDR Pod di kolom nonMasqueradeCIDRs. Menyertakan rentang CIDR Pod membantu memastikan bahwa traffic dalam cluster tidak tunduk pada penyamaran IP.