Approfondimenti sulla configurazione del mascheramento IP di GKE

Questa pagina descrive gli approfondimenti di Network Analyzer per la configurazione del mascheramento IP di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, vedi Gruppi e tipi di insight.

Network Analyzer rileva la configurazione ip-masq-agent e la confronta con gli intervalli CIDR dei pod del cluster.

In ConfigMap manca una parte dell'intervallo CIDR dei pod

Il ConfigMap per la configurazione ip-masq-agent di cui è stato eseguito il deployment sul cluster GKE sembra non includere gli intervalli CIDR dei pod. Ciò corrisponde al seguente messaggio di avviso: nonMasqueradeCIDRs della mappa di configurazione ip-masq-agent del cluster non copre completamente gli intervalli CIDR dei pod. Ciò significa che il traffico intra-cluster tra i pod utilizza l'indirizzo IP del nodo di origine per la Source Network Address Translation (SNAT), il che può causare problemi di connettività quando è presente un firewall o un criterio di rete.

Questo approfondimento include le seguenti informazioni:

  • ConfigMap ip-masq-agent: il ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: il campo che specifica un elenco di intervalli di indirizzi IP di destinazione in formato CIDR per i quali è disabilitata la SNAT dell'indirizzo IP di origine.
  • CIDR pod: l'intervallo CIDR pod è un blocco dedicato di indirizzi IP riservati esclusivamente all'assegnazione di indirizzi IP univoci ai pod all'interno del cluster. Ogni pod eseguito nel cluster riceve il proprio indirizzo IP da questo intervallo, il che consente la comunicazione di rete.

Per maggiori informazioni, vedi Agente di mascheramento IP e Configurazione di un agente di mascheramento IP nei cluster Standard.

Consigli

Controlla il valore del CIDR pod assegnato al cluster e modifica la ip-masq-agent ConfigMap per includere tutti gli intervalli CIDR pod nel campo nonMasqueradeCIDRs. L'inclusione degli intervalli CIDR dei pod contribuisce a garantire che il traffico all'interno del cluster non sia soggetto a mascheramento IP.

In ConfigMap manca parte dell'intervallo CIDR dei pod e la SNAT predefinita è disattivata

La SNAT predefinita è disattivata nel tuo cluster GKE a causa del flag --disable-default-snat=true e la configurazione ip-masq-agent autodeploy gestisce invece le regole di IP masquerading. La configurazione personalizzata per ip-masq-agent ConfigMap potrebbe non includere correttamente gli intervalli CIDR dei pod. Ciò corrisponde al seguente messaggio di avviso: nonMasqueradeCIDRs della mappa di configurazione ip-masq-agent del cluster non copre completamente gli intervalli CIDR dei pod e il flag disable-default-snat è impostato su true. Di conseguenza, il traffico dei pod potrebbe non essere mascherato correttamente in base alla policy che intendi applicare.

Questo approfondimento include le seguenti informazioni:

  • ConfigMap ip-masq-agent: il ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: il campo che specifica un elenco di intervalli di indirizzi IP di destinazione in formato CIDR per i quali è disabilitata la SNAT dell'indirizzo IP di origine.
  • CIDR pod: l'intervallo CIDR pod è un blocco dedicato di indirizzi IP riservati esclusivamente all'assegnazione di indirizzi IP univoci ai pod all'interno del cluster. Ogni pod eseguito nel cluster riceve il proprio indirizzo IP da questo intervallo, il che consente la comunicazione di rete.
  • custom config: la configurazione personalizzata per il ConfigMap ip-masq-agent sovrascrive l'elenco nonMasqueradeCIDRs predefinito. La configurazione personalizzata sostituisce completamente gli intervalli predefiniti forniti dall'agente.
  • Flag disable-default-snat: il --disable-default-snat flag modifica il comportamento SNAT predefinito di GKE in modo che gli indirizzi IP dei pod di origine vengano conservati per i pacchetti inviati a tutte le destinazioni.

Per maggiori informazioni, vedi Agente di mascheramento IP e Configurazione di un agente di mascheramento IP nei cluster Standard.

Consigli

Controlla il valore di Pod CIDR e della configurazione personalizzata assegnata al cluster. Modifica il ConfigMap ip-masq-agent in modo da includere tutti gli intervalli CIDR dei pod nel campo nonMasqueradeCIDRs. L'inclusione degli intervalli CIDR dei pod contribuisce a garantire che il traffico all'interno del cluster non sia soggetto a mascheramento IP.