Questa pagina descrive gli approfondimenti di Network Analyzer per la configurazione del mascheramento IP di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, vedi Gruppi e tipi di insight.
Network Analyzer rileva la configurazione ip-masq-agent
e la confronta con
gli intervalli CIDR dei pod del cluster.
In ConfigMap manca una parte dell'intervallo CIDR dei pod
Il
ConfigMap
per la configurazione ip-masq-agent
di cui è stato eseguito il deployment sul cluster GKE sembra
non includere gli intervalli CIDR dei pod. Ciò corrisponde al seguente messaggio di avviso:
nonMasqueradeCIDRs
della mappa di configurazione ip-masq-agent
del cluster non copre completamente gli intervalli CIDR dei pod.
Ciò significa che il traffico intra-cluster tra i pod utilizza l'indirizzo IP del nodo di origine per la Source Network Address Translation (SNAT),
il che può causare problemi di connettività quando è presente un firewall o un criterio di rete.
Questo approfondimento include le seguenti informazioni:
- ConfigMap
ip-masq-agent
: il ConfigMap del componenteip-masq-agent
. - nonMasqueradeCIDRs: il campo che specifica un elenco di intervalli di indirizzi IP di destinazione in formato CIDR per i quali è disabilitata la SNAT dell'indirizzo IP di origine.
- CIDR pod: l'intervallo CIDR pod è un blocco dedicato di indirizzi IP riservati esclusivamente all'assegnazione di indirizzi IP univoci ai pod all'interno del cluster. Ogni pod eseguito nel cluster riceve il proprio indirizzo IP da questo intervallo, il che consente la comunicazione di rete.
Argomenti correlati
Per maggiori informazioni, vedi Agente di mascheramento IP e Configurazione di un agente di mascheramento IP nei cluster Standard.
Consigli
Controlla il valore del
CIDR pod
assegnato al cluster e
modifica la ip-masq-agent
ConfigMap
per includere tutti gli intervalli CIDR pod nel campo nonMasqueradeCIDRs
.
L'inclusione degli intervalli CIDR dei pod
contribuisce a garantire che il traffico all'interno del cluster non sia soggetto a mascheramento IP.
In ConfigMap manca parte dell'intervallo CIDR dei pod e la SNAT predefinita è disattivata
La SNAT predefinita
è disattivata nel tuo cluster GKE
a causa del flag --disable-default-snat=true
e la configurazione ip-masq-agent
autodeploy
gestisce invece le regole di IP masquerading.
La configurazione personalizzata per ip-masq-agent
ConfigMap
potrebbe non includere correttamente gli intervalli CIDR dei pod.
Ciò corrisponde al seguente messaggio di avviso:
nonMasqueradeCIDRs
della mappa di configurazione ip-masq-agent
del cluster non copre completamente gli intervalli CIDR dei pod e il flag disable-default-snat è impostato su true.
Di conseguenza, il traffico dei pod potrebbe
non essere mascherato correttamente in base alla policy che intendi applicare.
Questo approfondimento include le seguenti informazioni:
- ConfigMap
ip-masq-agent
: il ConfigMap del componenteip-masq-agent
. - nonMasqueradeCIDRs: il campo che specifica un elenco di intervalli di indirizzi IP di destinazione in formato CIDR per i quali è disabilitata la SNAT dell'indirizzo IP di origine.
- CIDR pod: l'intervallo CIDR pod è un blocco dedicato di indirizzi IP riservati esclusivamente all'assegnazione di indirizzi IP univoci ai pod all'interno del cluster. Ogni pod eseguito nel cluster riceve il proprio indirizzo IP da questo intervallo, il che consente la comunicazione di rete.
- custom config: la
configurazione personalizzata
per il ConfigMap
ip-masq-agent
sovrascrive l'elenco nonMasqueradeCIDRs predefinito. La configurazione personalizzata sostituisce completamente gli intervalli predefiniti forniti dall'agente. - Flag disable-default-snat: il
--disable-default-snat
flag modifica il comportamento SNAT predefinito di GKE in modo che gli indirizzi IP dei pod di origine vengano conservati per i pacchetti inviati a tutte le destinazioni.
Argomenti correlati
Per maggiori informazioni, vedi Agente di mascheramento IP e Configurazione di un agente di mascheramento IP nei cluster Standard.
Consigli
Controlla il valore di
Pod CIDR
e della
configurazione personalizzata
assegnata al cluster.
Modifica il ConfigMap ip-masq-agent
in modo da includere tutti gli intervalli CIDR dei pod nel campo nonMasqueradeCIDRs
.
L'inclusione degli intervalli CIDR dei pod
contribuisce a garantire che il traffico all'interno del cluster non sia soggetto a mascheramento IP.