Estadísticas de configuración de enmascaramiento de IP de GKE

En esta página, se describen las estadísticas de Network Analyzer para la configuración de enmascaramiento de IP de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Network Analyzer detecta la configuración de ip-masq-agent y la compara con los rangos de CIDR de Pod del clúster.

Falta parte del rango de CIDR del Pod en el ConfigMap

Al parecer, al ConfigMap de la configuración de ip-masq-agent que se implementó en tu clúster de GKE le faltan los rangos de CIDR de Pod. Esto corresponde al siguiente mensaje de advertencia: nonMasqueradeCIDRs del mapa de configuración ip-masq-agent del clúster no cubre por completo los rangos de CIDR del Pod. Esto significa que el tráfico dentro del clúster entre los Pods usa la dirección IP del nodo de origen para la traducción de direcciones de red de origen (SNAT), lo que puede generar problemas de conectividad cuando se implementa un firewall o una política de red.

Esta estadística incluye la siguiente información:

  • ConfigMap de ip-masq-agent: Es el ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: Es el campo que especifica una lista de rangos de direcciones IP de destino en formato CIDR para los que está inhabilitada la SNAT de la dirección IP de origen.
  • CIDR del pod: El rango de CIDR del pod es un bloque dedicado de direcciones IP que se reservan exclusivamente para asignar direcciones IP únicas a los pods dentro del clúster. Cada Pod que se ejecuta en el clúster recibe su propia dirección IP de este rango, lo que habilita la comunicación de red.

Para obtener más información, consulta Agente de enmascaramiento de IP y Configura un agente de enmascaramiento de IP en clústeres de Standard.

Recomendaciones

Verifica el valor del CIDR del Pod asignado al clúster y edita el ConfigMap ip-masq-agent para incluir todos los rangos de CIDR del Pod en el campo nonMasqueradeCIDRs. La inclusión de los rangos de CIDR del Pod ayuda a garantizar que el tráfico dentro del clúster no esté sujeto al enmascaramiento de IP.

Falta parte del rango de CIDR del Pod en el ConfigMap y la SNAT predeterminada está inhabilitada

La SNAT predeterminada está inhabilitada en tu clúster de GKE debido a la marca --disable-default-snat=true, y la configuración de ip-masq-agent implementada por el usuario administra las reglas de enmascaramiento de IP. Es posible que tu configuración personalizada para el ConfigMap de ip-masq-agent no incluya correctamente los rangos de CIDR del Pod. Esto corresponde al siguiente mensaje de advertencia: El nonMasqueradeCIDRs del mapa de configuración ip-masq-agent del clúster no cubre por completo los rangos de CIDR del Pod y la marca disable-default-snat se establece como verdadera. Como resultado, es posible que el tráfico de Pod no se enmascare correctamente según la política que deseas.

Esta estadística incluye la siguiente información:

  • ConfigMap de ip-masq-agent: Es el ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: Es el campo que especifica una lista de rangos de direcciones IP de destino en formato CIDR para los que está inhabilitada la SNAT de la dirección IP de origen.
  • CIDR del pod: El rango de CIDR del pod es un bloque dedicado de direcciones IP que se reservan exclusivamente para asignar direcciones IP únicas a los pods dentro del clúster. Cada Pod que se ejecuta en el clúster recibe su propia dirección IP de este rango, lo que habilita la comunicación de red.
  • custom config: La configuración personalizada del ConfigMap ip-masq-agent reemplaza la lista predeterminada de nonMasqueradeCIDRs. Tu configuración personalizada reemplaza por completo los rangos predeterminados que proporciona el agente.
  • Marca disable-default-snat: La marca --disable-default-snat cambia el comportamiento predeterminado de SNAT de GKE para que las direcciones IP del Pod de origen se conserven para los paquetes enviados a todos los destinos.

Para obtener más información, consulta Agente de enmascaramiento de IP y Configura un agente de enmascaramiento de IP en clústeres de Standard.

Recomendaciones

Verifica el valor del CIDR del pod y la configuración personalizada asignados al clúster. Edita el ConfigMap ip-masq-agent para incluir todos los rangos de CIDR del Pod en el campo nonMasqueradeCIDRs. La inclusión de los rangos de CIDR del Pod ayuda a garantizar que el tráfico dentro del clúster no esté sujeto al enmascaramiento de IP.