Estadísticas de configuración de enmascaramiento de IP de GKE

En esta página se describen las estadísticas de Network Analyzer para la configuración de enmascaramiento de IP de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

El analizador de redes detecta la configuración de ip-masq-agent y la compara con los intervalos de CIDR de los pods del clúster.

Falta parte del intervalo CIDR del pod en ConfigMap

Parece que faltan los intervalos CIDR de los pods en el ConfigMap de la configuración de ip-masq-agent implementada en tu clúster de GKE. Esto corresponde al siguiente mensaje de advertencia: El mapa de configuración ip-masq-agent del clúster nonMasqueradeCIDRs no cubre por completo los intervalos CIDR de los pods. Esto significa que el tráfico entre los pods del clúster usa la dirección IP del nodo de origen para la traducción de direcciones de red de origen (SNAT), lo que puede provocar problemas de conectividad cuando hay un cortafuegos o una política de red.

Esta estadística incluye la siguiente información:

  • ip-masq-agent ConfigMap: el ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs el campo que especifica una lista de intervalos de direcciones IP de destino en formato CIDR para los que se inhabilita la traducción de direcciones de red de origen (SNAT) de la dirección IP de origen.
  • CIDR de pods: el intervalo CIDR de pods es un bloque de direcciones IP dedicado que se reserva exclusivamente para asignar direcciones IP únicas a los pods del clúster. Cada pod que se ejecuta en el clúster recibe su propia dirección IP de este intervalo, lo que permite la comunicación de red.

Para obtener más información, consulta Agente de enmascaramiento de IP y Configurar un agente de enmascaramiento de IP en clústeres estándar.

Recomendaciones

Comprueba el valor de Pod CIDR asignado al clúster y edita el ip-masq-agent ConfigMap para incluir todos los intervalos de Pod CIDR en el campo nonMasqueradeCIDRs. Incluir los intervalos de CIDR de los pods ayuda a asegurarse de que el tráfico del clúster no esté sujeto a enmascaramiento de IP.

Falta parte del intervalo CIDR del pod en ConfigMap y la SNAT predeterminada está inhabilitada

SNAT predeterminado está inhabilitado en tu clúster de GKE debido a la marca --disable-default-snat=true, y la configuración ip-masq-agent autodesplegada gestiona las reglas de enmascaramiento de IP. Es posible que tu configuración personalizada de ip-masq-agent ConfigMap no incluya correctamente los intervalos de CIDR de los pods. Esto se corresponde con el siguiente mensaje de advertencia: El mapa de configuración ip-masq-agent del clúster nonMasqueradeCIDRs no cubre por completo los intervalos CIDR de los pods y la marca disable-default-snat tiene el valor true. Por lo tanto, es posible que el tráfico de los pods no se enmascare correctamente según la política que hayas definido.

Esta estadística incluye la siguiente información:

  • ip-masq-agent ConfigMap: el ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs el campo que especifica una lista de intervalos de direcciones IP de destino en formato CIDR para los que se inhabilita la traducción de direcciones de red de origen (SNAT) de la dirección IP de origen.
  • CIDR de pods: el intervalo CIDR de pods es un bloque de direcciones IP dedicado que se reserva exclusivamente para asignar direcciones IP únicas a los pods del clúster. Cada pod que se ejecuta en el clúster recibe su propia dirección IP de este intervalo, lo que permite la comunicación de red.
  • Configuración personalizada: la configuración personalizada del ip-masq-agent ConfigMap sobrescribe la lista nonMasqueradeCIDRs predeterminada. Tu configuración personalizada sustituye por completo los intervalos predeterminados proporcionados por el agente.
  • disable-default-snat flag: la --disable-default-snat marca cambia el comportamiento predeterminado de SNAT de GKE para que las direcciones IP de los pods de origen se conserven en los paquetes enviados a todos los destinos.

Para obtener más información, consulta Agente de enmascaramiento de IP y Configurar un agente de enmascaramiento de IP en clústeres estándar.

Recomendaciones

Comprueba el valor de Pod CIDR y la configuración personalizada asignados al clúster. Edita el ConfigMap ip-masq-agent para incluir todos los intervalos de CIDR de pods en el campo nonMasqueradeCIDRs. Incluir los intervalos de CIDR de los pods ayuda a asegurarse de que el tráfico del clúster no esté sujeto a enmascaramiento de IP.