GKE IP マスカレード構成の分析情報

このページでは、Google Kubernetes Engine(GKE)IP マスカレード構成に関するネットワーク アナライザの分析情報について説明します。すべての分析情報の種類の詳細については、分析情報のグループと種類をご覧ください。

ネットワーク アナライザは ip-masq-agent 構成を検出し、クラスタの Pod CIDR 範囲と比較します。

ConfigMap に Pod CIDR 範囲の一部が含まれていない

GKE クラスタにデプロイされた ip-masq-agent 構成の ConfigMap に Pod CIDR 範囲が含まれていないようです。これは、「クラスタの ip-masq-agent 構成マップの nonMasqueradeCIDRs が Pod CIDR 範囲と完全に一致していません」という警告メッセージに対応しています。つまり、Pod 間のクラスタ内トラフィックは、送信元ノードの IP アドレスを送信元ネットワーク アドレス変換(SNAT)に使用します。これにより、ファイアウォールまたはネットワーク ポリシーが設定されている場合に接続の問題が発生する可能性があります。

この分析情報には次の情報が含まれます。

  • ip-masq-agent ConfigMap: ip-masq-agent コンポーネントの ConfigMap
  • nonMasqueradeCIDRs: 送信元 IP アドレスの SNAT が無効になっている宛先 IP アドレス範囲のリストを CIDR 形式で指定するフィールド。
  • Pod CIDR: Pod CIDR 範囲は、クラスタ内の Pod に一意の IP アドレスを割り当てるために予約された専用の IP アドレス ブロックです。クラスタ内で実行されるすべての Pod は、この範囲から独自の IP アドレスを受け取り、ネットワーク通信が可能になります。

詳細については、IP マスカレード エージェントStandard クラスタでの IP マスカレード エージェントの構成をご覧ください。

推奨事項

クラスタに割り当てられている Pod CIDR の値を確認し、ip-masq-agent ConfigMap を編集して、nonMasqueradeCIDRs フィールドにすべての Pod CIDR 範囲を含めます。Pod CIDR 範囲を含めると、クラスタ内のトラフィックが IP マスカレードの対象から除外されます。

ConfigMap に Pod CIDR 範囲の一部が含まれておらず、デフォルトの SNAT が無効になっている

--disable-default-snat=true フラグにより、GKE クラスタでデフォルトの SNAT が無効になっており、代わりにセルフデプロイされた ip-masq-agent 構成が IP マスカレード ルールを管理しています。ip-masq-agent のカスタム構成の ConfigMap で Pod CIDR 範囲が正しく指定されていない可能性があります。これは、「クラスタの ip-masq-agent 構成マップの nonMasqueradeCIDRs が Pod CIDR 範囲と完全に一致しておらず、disable-default-snat フラグが true に設定されています」という警告メッセージに対応しています。その結果、Pod トラフィックが意図したポリシーに従って正しくマスカレードされない可能性があります。

この分析情報には次の情報が含まれます。

  • ip-masq-agent ConfigMap: ip-masq-agent コンポーネントの ConfigMap
  • nonMasqueradeCIDRs: 送信元 IP アドレスの SNAT が無効になっている宛先 IP アドレス範囲のリストを CIDR 形式で指定するフィールド。
  • Pod CIDR: Pod CIDR 範囲は、クラスタ内の Pod に一意の IP アドレスを割り当てるために予約された専用の IP アドレス ブロックです。クラスタ内で実行されるすべての Pod は、この範囲から独自の IP アドレスを受け取り、ネットワーク通信が可能になります。
  • カスタム構成: ip-masq-agent ConfigMap のカスタム構成により、デフォルトの nonMasqueradeCIDRs リストが上書きされます。カスタム構成は、エージェントが提供するデフォルトの範囲を完全に置き換えます。
  • disable-default-snat フラグ: --disable-default-snat フラグは、デフォルトの GKE SNAT の動作を変更するため、すべての宛先に送信されるパケットで送信元 Pod IP アドレスが保持されます。

詳細については、IP マスカレード エージェントStandard クラスタでの IP マスカレード エージェントの構成をご覧ください。

推奨事項

クラスタに割り当てられている Pod CIDRカスタム構成の値を確認します。ip-masq-agent ConfigMap を編集して、nonMasqueradeCIDRs フィールドにすべての Pod CIDR 範囲を含めます。Pod CIDR 範囲を含めると、クラスタ内のトラフィックが IP マスカレードの対象から除外されます。