Informationen zur GKE-IP-Maskierungskonfiguration

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden die Network Analyzer-Statistiken für die IP-Maskierung in der Google Kubernetes Engine (GKE) beschrieben. Informationen zu allen Statistiktypen finden Sie unter Statistikgruppen und -typen.

Der Network Analyzer erkennt die ip-masq-agent-Konfiguration und vergleicht sie mit den Pod-CIDR-Bereichen des Clusters.

In der ConfigMap fehlt ein Teil des Pod-CIDR-Bereichs

Der ConfigMap für die ip-masq-agent-Konfiguration, die in Ihrem GKE-Cluster bereitgestellt wird, enthält offenbar keine Pod-CIDR-Bereiche. Dies entspricht der folgenden Warnmeldung: Die nonMasqueradeCIDRs der ip-masq-agent-Konfigurationsdatei des Clusters deckt die Pod-CIDR-Bereiche nicht vollständig ab. Das bedeutet, dass für den Traffic innerhalb des Clusters zwischen den Pods die IP-Adresse des Quellknotens für die Quellnetzwerkadressübersetzung (SNAT) verwendet wird. Dies kann zu Verbindungsproblemen führen, wenn eine Firewall oder Netzwerkrichtlinie vorhanden ist.

Dies enthält folgende Informationen:

• ip-masq-agent ConfigMap: die ConfigMap der ip-masq-agent-Komponente.
• nonMasqueradeCIDRs: Das Feld, das eine Liste von Ziel-IP-Adressbereichen im CIDR-Format angibt, für die die SNAT der Quell-IP-Adresse deaktiviert ist.
• Pod-CIDR: Der Pod-CIDR-Bereich ist ein spezieller Block von IP-Adressen, der ausschließlich für die Zuweisung eindeutiger IP-Adressen an Pods innerhalb des Clusters reserviert ist. Jeder Pod, der im Cluster ausgeführt wird, erhält eine eigene IP-Adresse aus diesem Bereich, was die Netzwerkkommunikation ermöglicht.

Weitere Informationen

Weitere Informationen finden Sie unter IP-Masquerade-Agent und IP-Masquerade-Agent in Standardclustern konfigurieren.

Empfehlungen

Prüfen Sie den Wert der dem Cluster zugewiesenen Pod-CIDR und bearbeiten Sie die ConfigMap ip-masq-agent, um alle Pod-CIDR-Bereiche in das Feld nonMasqueradeCIDRs aufzunehmen. Wenn Sie die Pod-CIDR-Bereiche angeben, wird der Traffic innerhalb des Clusters nicht der IP-Maskierung unterzogen.

In der ConfigMap fehlt ein Teil des Pod-CIDR-Bereichs und der Standard-SNAT ist deaktiviert

Standard-SNAT ist in Ihrem GKE-Cluster aufgrund des --disable-default-snat=true-Flags deaktiviert und die selbst bereitgestellte ip-masq-agent-Konfiguration verwaltet stattdessen IP-Masquerading-Regeln. Die benutzerdefinierte Konfiguration für die ConfigMap des ip-masq-agents enthält möglicherweise nicht die Pod-CIDR-Bereiche. Dies entspricht der folgenden Warnmeldung: Die nonMasqueradeCIDRs der ip-masq-agent-ConfigMap des Clusters deckt die Pod-CIDR-Bereiche nicht vollständig ab und das Flag „disable-default-snat“ ist auf „true“ festgelegt. Daher wird Pod-Traffic möglicherweise nicht gemäß Ihrer gewünschten Richtlinie getarnt.

Dies enthält folgende Informationen:

• ip-masq-agent ConfigMap: die ConfigMap der ip-masq-agent-Komponente.
• nonMasqueradeCIDRs: Das Feld, das eine Liste von Ziel-IP-Adressbereichen im CIDR-Format angibt, für die die SNAT der Quell-IP-Adresse deaktiviert ist.
• Pod-CIDR: Der Pod-CIDR-Bereich ist ein spezieller Block von IP-Adressen, der ausschließlich für die Zuweisung eindeutiger IP-Adressen an Pods innerhalb des Clusters reserviert ist. Jeder Pod, der im Cluster ausgeführt wird, erhält eine eigene IP-Adresse aus diesem Bereich, was die Netzwerkkommunikation ermöglicht.
• custom config: Die benutzerdefinierte Konfiguration für die ip-masq-agent-ConfigMap überschreibt die Standardliste „nonMasqueradeCIDRs“. Ihre benutzerdefinierte Konfiguration ersetzt die vom Kundenservicemitarbeiter bereitgestellten Standardbereiche vollständig.
• disable-default-snat-Flag: Das Flag --disable-default-snat ändert das standardmäßige GKE-SNAT-Verhalten, sodass die Quell-Pod-IP-Adressen für Pakete beibehalten werden, die an alle Ziele gesendet werden.

Weitere Informationen

Weitere Informationen finden Sie unter IP-Masquerade-Agent und IP-Masquerade-Agent in Standardclustern konfigurieren.

Empfehlungen

Prüfen Sie den Wert des Pod-CIDR und der benutzerdefinierten Konfiguration, die dem Cluster zugewiesen sind. Bearbeiten Sie die ConfigMap ip-masq-agent, um alle Pod-CIDR-Bereiche in das Feld nonMasqueradeCIDRs aufzunehmen. Wenn Sie die Pod-CIDR-Bereiche angeben, wird der Traffic innerhalb des Clusters nicht der IP-Maskierung unterzogen.