このページでは、Google Kubernetes Engine(GKE)IP マスカレード構成に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。
ネットワーク アナライザは ip-masq-agent
構成を検出し、クラスタの Pod CIDR 範囲と比較します。
ConfigMap に Pod CIDR 範囲の一部が含まれていない
GKE クラスタにデプロイされた ip-masq-agent
構成の ConfigMap に Pod CIDR 範囲が含まれていないようです。これは、「クラスタの ip-masq-agent
構成マップの nonMasqueradeCIDRs
が Pod CIDR 範囲と完全に一致していません」という警告メッセージに対応しています。つまり、Pod 間のクラスタ内トラフィックは、送信元ノードの IP アドレスを送信元ネットワーク アドレス変換(SNAT)に使用します。これにより、ファイアウォールまたはネットワーク ポリシーが設定されている場合に接続の問題が発生する可能性があります。
この分析情報には次の情報が含まれます。
ip-masq-agent
ConfigMap:ip-masq-agent
コンポーネントの ConfigMap。- nonMasqueradeCIDRs: 送信元 IP アドレスの SNAT が無効になっている宛先 IP アドレス範囲のリストを CIDR 形式で指定するフィールド。
- Pod CIDR: Pod CIDR 範囲は、クラスタ内の Pod に一意の IP アドレスを割り当てるために予約された専用の IP アドレス ブロックです。クラスタ内で実行されるすべての Pod は、この範囲から独自の IP アドレスを受け取り、ネットワーク通信が可能になります。
関連トピック
詳細については、IP マスカレード エージェントと Standard クラスタでの IP マスカレード エージェントの構成をご覧ください。
推奨事項
クラスタに割り当てられている Pod CIDR の値を確認し、ip-masq-agent
ConfigMap を編集して、nonMasqueradeCIDRs
フィールドにすべての Pod CIDR 範囲を含めます。Pod CIDR 範囲を含めると、クラスタ内のトラフィックが IP マスカレードの対象から除外されます。
ConfigMap に Pod CIDR 範囲の一部が含まれておらず、デフォルトの SNAT が無効になっている
--disable-default-snat=true
フラグにより、GKE クラスタでデフォルトの SNAT が無効になっており、代わりにセルフデプロイされた ip-masq-agent
構成が IP マスカレード ルールを管理しています。ip-masq-agent のカスタム構成の ConfigMap で Pod CIDR 範囲が正しく指定されていない可能性があります。これは、「クラスタの ip-masq-agent
構成マップの nonMasqueradeCIDRs
が Pod CIDR 範囲と完全に一致しておらず、disable-default-snat フラグが true に設定されています」という警告メッセージに対応しています。その結果、Pod トラフィックが意図したポリシーに従って正しくマスカレードされない可能性があります。
この分析情報には次の情報が含まれます。
ip-masq-agent
ConfigMap:ip-masq-agent
コンポーネントの ConfigMap。- nonMasqueradeCIDRs: 送信元 IP アドレスの SNAT が無効になっている宛先 IP アドレス範囲のリストを CIDR 形式で指定するフィールド。
- Pod CIDR: Pod CIDR 範囲は、クラスタ内の Pod に一意の IP アドレスを割り当てるために予約された専用の IP アドレス ブロックです。クラスタ内で実行されるすべての Pod は、この範囲から独自の IP アドレスを受け取り、ネットワーク通信が可能になります。
- カスタム構成:
ip-masq-agent
ConfigMap のカスタム構成により、デフォルトの nonMasqueradeCIDRs リストが上書きされます。カスタム構成は、エージェントが提供するデフォルトの範囲を完全に置き換えます。 - disable-default-snat フラグ:
--disable-default-snat
フラグは、デフォルトの GKE SNAT の動作を変更するため、すべての宛先に送信されるパケットで送信元 Pod IP アドレスが保持されます。
関連トピック
詳細については、IP マスカレード エージェントと Standard クラスタでの IP マスカレード エージェントの構成をご覧ください。
推奨事項
クラスタに割り当てられている Pod CIDR とカスタム構成の値を確認します。ip-masq-agent
ConfigMap を編集して、nonMasqueradeCIDRs
フィールドにすべての Pod CIDR 範囲を含めます。Pod CIDR 範囲を含めると、クラスタ内のトラフィックが IP マスカレードの対象から除外されます。