Insight konfigurasi penyamaran IP GKE

Halaman ini menjelaskan insight Network Analyzer untuk konfigurasi penyamaran IP Google Kubernetes Engine (GKE). Untuk mengetahui informasi tentang semua jenis insight, lihat Grup dan jenis insight.

Network Analyzer mendeteksi konfigurasi ip-masq-agent dan membandingkannya dengan rentang CIDR Pod cluster.

ConfigMap tidak memiliki bagian dari rentang CIDR Pod

ConfigMap untuk konfigurasi ip-masq-agent yang di-deploy di cluster GKE Anda tampaknya tidak memiliki rentang CIDR Pod. Hal ini sesuai dengan pesan peringatan berikut: nonMasqueradeCIDRs peta konfigurasi ip-masq-agent cluster tidak sepenuhnya mencakup rentang CIDR Pod. Artinya, traffic infra-cluster di antara Pod menggunakan alamat IP node sumber untuk Penafsiran Alamat Jaringan Sumber (SNAT), yang dapat menyebabkan masalah konektivitas saat firewall atau kebijakan jaringan diterapkan.

Insight ini mencakup informasi berikut:

  • ConfigMap ip-masq-agent: ConfigMap komponen ip-masq-agent.
  • nonMasqueradeCIDRs: kolom yang menentukan daftar rentang alamat IP tujuan dalam format CIDR yang SNAT alamat IP sumbernya dinonaktifkan.
  • CIDR Pod: rentang CIDR Pod adalah blok alamat IP khusus yang dicadangkan secara eksklusif untuk menetapkan alamat IP unik ke Pod dalam cluster. Setiap Pod yang berjalan di cluster menerima alamat IP-nya sendiri dari rentang ini, yang memungkinkan komunikasi jaringan.

Untuk mengetahui informasi selengkapnya, lihat Agen penyamaran IP dan Mengonfigurasi agen penyamaran IP di cluster Standar.

Rekomendasi

Periksa nilai Pod CIDR yang ditetapkan ke cluster, dan edit ConfigMap ip-masq-agent untuk menyertakan semua rentang CIDR Pod di kolom nonMasqueradeCIDRs. Menyertakan rentang CIDR Pod membantu memastikan bahwa traffic dalam cluster tidak terpengaruh oleh penyamaran IP.

ConfigMap tidak memiliki bagian dari rentang CIDR Pod dan SNAT default dinonaktifkan

SNAT default dinonaktifkan di cluster GKE Anda karena tanda --disable-default-snat=true, dan konfigurasi ip-masq-agent yang di-deploy sendiri mengelola aturan penyamaran IP. Konfigurasi kustom Anda untuk ConfigMap ip-masq-agent mungkin tidak menyertakan rentang CIDR Pod dengan benar. Hal ini sesuai dengan pesan peringatan berikut: nonMasqueradeCIDRs peta konfigurasi ip-masq-agent cluster tidak sepenuhnya mencakup rentang CIDR Pod dan flag disable-default-snat ditetapkan ke true. Akibatnya, traffic Pod mungkin tidak disamarkan dengan benar sesuai dengan kebijakan yang Anda inginkan.

Insight ini mencakup informasi berikut:

  • ConfigMap ip-masq-agent: ConfigMap komponen ip-masq-agent.
  • nonMasqueradeCIDRs: kolom yang menentukan daftar rentang alamat IP tujuan dalam format CIDR yang SNAT alamat IP sumbernya dinonaktifkan.
  • CIDR Pod: rentang CIDR Pod adalah blok alamat IP khusus yang dicadangkan secara eksklusif untuk menetapkan alamat IP unik ke Pod dalam cluster. Setiap Pod yang berjalan di cluster menerima alamat IP-nya sendiri dari rentang ini, yang memungkinkan komunikasi jaringan.
  • custom config: konfigurasi kustom untuk ConfigMap ip-masq-agent akan menimpa daftar nonMasqueradeCIDRs default. Konfigurasi kustom Anda sepenuhnya menggantikan rentang default yang disediakan oleh agen.
  • flag disable-default-snat: flag --disable-default-snat mengubah perilaku SNAT GKE default sehingga alamat IP Pod sumber dipertahankan untuk paket yang dikirim ke semua tujuan.

Untuk mengetahui informasi selengkapnya, lihat Agen penyamaran IP dan Mengonfigurasi agen penyamaran IP di cluster Standar.

Rekomendasi

Periksa nilai Pod CIDR dan konfigurasi kustom yang ditetapkan ke cluster. Edit ConfigMap ip-masq-agent untuk menyertakan semua rentang CIDR Pod di kolom nonMasqueradeCIDRs. Menyertakan rentang CIDR Pod membantu memastikan bahwa traffic dalam cluster tidak terpengaruh oleh penyamaran IP.