Nesta página, descrevemos os insights do Network Analyzer sobre a configuração de mascaramento de IP do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.
O Network Analyzer detecta a configuração ip-masq-agent
e a compara com os intervalos CIDR de pod do cluster.
O ConfigMap não tem parte do intervalo CIDR do pod
O
ConfigMap
da configuração ip-masq-agent
implantada no cluster do GKE parece estar
sem os intervalos de CIDR do pod. Isso corresponde à seguinte mensagem de aviso:
O nonMasqueradeCIDRs
do mapa de configuração ip-masq-agent
do cluster não abrange totalmente os intervalos CIDR do pod.
Isso significa que o tráfego intracluster entre os pods usa o endereço IP do nó de origem para a conversão de endereço de rede de origem (SNAT), o que pode causar problemas de conectividade quando um firewall ou uma política de rede está em vigor.
Esse insight inclui as seguintes informações:
ip-masq-agent
ConfigMap: o ConfigMap do componenteip-masq-agent
.- nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais a SNAT de endereço IP de origem está desativada.
- CIDR do pod: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservados exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Cada pod executado no cluster recebe um endereço IP próprio desse intervalo, o que permite a comunicação de rede.
Temas relacionados
Para mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.
Recomendações
Verifique o valor do CIDR do pod atribuído ao cluster e edite o ConfigMap ip-masq-agent
para incluir todos os intervalos de CIDR do pod no campo nonMasqueradeCIDRs
.
Incluir os intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito ao mascaramento de IP.
O ConfigMap não tem parte do intervalo CIDR do pod e o SNAT padrão está desativado
O SNAT padrão
está desativado no cluster do GKE
devido à flag --disable-default-snat=true
,
e a configuração ip-masq-agent
autodeployada
está gerenciando regras de mascaramento de IP.
Sua configuração personalizada para o ConfigMap do ip-masq-agent
pode não incluir corretamente os intervalos CIDR do pod.
Isso corresponde à seguinte mensagem de aviso:
O nonMasqueradeCIDRs
do mapa de configuração ip-masq-agent
do cluster não abrange totalmente os intervalos CIDR do pod, e a flag disable-default-snat está definida como true.
Como resultado, o tráfego do pod pode não ser mascarado corretamente de acordo com a política pretendida.
Esse insight inclui as seguintes informações:
ip-masq-agent
ConfigMap: o ConfigMap do componenteip-masq-agent
.- nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais a SNAT de endereço IP de origem está desativada.
- CIDR do pod: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservados exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Cada pod executado no cluster recebe um endereço IP próprio desse intervalo, o que permite a comunicação de rede.
- Configuração personalizada: a
configuração personalizada
do ConfigMap
ip-masq-agent
substitui a lista padrão nonMasqueradeCIDRs. Sua configuração personalizada substitui completamente os intervalos padrão fornecidos pelo agente. - Flag disable-default-snat: a
flag
--disable-default-snat
muda o comportamento padrão de SNAT do GKE para que os endereços IP de origem do pod sejam preservados nos pacotes enviados a todos os destinos.
Temas relacionados
Para mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.
Recomendações
Verifique o valor do CIDR do pod e da configuração personalizada atribuídos ao cluster.
Edite o ConfigMap ip-masq-agent
para incluir todos os intervalos de CIDR de pod no campo nonMasqueradeCIDRs
.
Incluir os intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito ao mascaramento de IP.