Insights de configuração do mascaramento de IP do GKE

Nesta página, descrevemos os insights do Network Analyzer sobre a configuração de mascaramento de IP do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.

O Network Analyzer detecta a configuração ip-masq-agent e a compara com os intervalos CIDR de pod do cluster.

O ConfigMap não tem parte do intervalo CIDR do pod

O ConfigMap da configuração ip-masq-agent implantada no cluster do GKE parece estar sem os intervalos de CIDR do pod. Isso corresponde à seguinte mensagem de aviso: O nonMasqueradeCIDRs do mapa de configuração ip-masq-agent do cluster não abrange totalmente os intervalos CIDR do pod. Isso significa que o tráfego intracluster entre os pods usa o endereço IP do nó de origem para a conversão de endereço de rede de origem (SNAT), o que pode causar problemas de conectividade quando um firewall ou uma política de rede está em vigor.

Esse insight inclui as seguintes informações:

  • ip-masq-agent ConfigMap: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais a SNAT de endereço IP de origem está desativada.
  • CIDR do pod: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservados exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Cada pod executado no cluster recebe um endereço IP próprio desse intervalo, o que permite a comunicação de rede.

Para mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod atribuído ao cluster e edite o ConfigMap ip-masq-agent para incluir todos os intervalos de CIDR do pod no campo nonMasqueradeCIDRs. Incluir os intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito ao mascaramento de IP.

O ConfigMap não tem parte do intervalo CIDR do pod e o SNAT padrão está desativado

O SNAT padrão está desativado no cluster do GKE devido à flag --disable-default-snat=true, e a configuração ip-masq-agent autodeployada está gerenciando regras de mascaramento de IP. Sua configuração personalizada para o ConfigMap do ip-masq-agent pode não incluir corretamente os intervalos CIDR do pod. Isso corresponde à seguinte mensagem de aviso: O nonMasqueradeCIDRs do mapa de configuração ip-masq-agent do cluster não abrange totalmente os intervalos CIDR do pod, e a flag disable-default-snat está definida como true. Como resultado, o tráfego do pod pode não ser mascarado corretamente de acordo com a política pretendida.

Esse insight inclui as seguintes informações:

  • ip-masq-agent ConfigMap: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais a SNAT de endereço IP de origem está desativada.
  • CIDR do pod: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservados exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Cada pod executado no cluster recebe um endereço IP próprio desse intervalo, o que permite a comunicação de rede.
  • Configuração personalizada: a configuração personalizada do ConfigMap ip-masq-agent substitui a lista padrão nonMasqueradeCIDRs. Sua configuração personalizada substitui completamente os intervalos padrão fornecidos pelo agente.
  • Flag disable-default-snat: a flag --disable-default-snat muda o comportamento padrão de SNAT do GKE para que os endereços IP de origem do pod sejam preservados nos pacotes enviados a todos os destinos.

Para mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod e da configuração personalizada atribuídos ao cluster. Edite o ConfigMap ip-masq-agent para incluir todos os intervalos de CIDR de pod no campo nonMasqueradeCIDRs. Incluir os intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito ao mascaramento de IP.