Approfondimenti sulla configurazione del mascheramento IP di GKE

Questa pagina descrive gli approfondimenti di Network Analyzer per la configurazione della smorfia IP di Google Kubernetes Engine (GKE). Per informazioni su tutti i tipi di insight, consulta Gruppi e tipi di insight.

L'analizzatore di rete rileva la configurazione ip-masq-agent e la confronta con gli intervalli CIDR dei pod del cluster.

Nel ConfigMap manca parte dell'intervallo CIDR del pod

Nel ConfigMap per la configurazione ip-masq-agent di cui è stato eseguito il deployment nel cluster GKE sembrano mancare gli intervalli CIDR dei pod. Questo corrisponde al seguente messaggio di avviso: nonMasqueradeCIDRs della mappa di configurazione ip-masq-agent del cluster non copre completamente gli intervalli CIDR dei pod. Ciò significa che il traffico all'interno del cluster tra i pod utilizza l'indirizzo IP del nodo di origine per la Network Address Translation dell'origine (SNAT), il che può causare problemi di connettività quando è implementato un firewall o un criterio di rete.

Questa informazione include le seguenti informazioni:

  • ConfigMap ip-masq-agent: il ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: il campo che specifica un elenco di intervalli di indirizzi IP di destinazione in formato CIDR per i quali è disattivata la SNAT dell'indirizzo IP di origine.
  • CIDR del pod: l'intervallo CIDR del pod è un blocco dedicato di indirizzi IP riservati esclusivamente all'assegnazione di indirizzi IP univoci ai pod all'interno del cluster. Ogni pod in esecuzione nel cluster riceve il proprio indirizzo IP da questo intervallo, che consente la comunicazione di rete.

Per ulteriori informazioni, consulta Agente di mascheramento IP e Configurare un agente di mascheramento IP nei cluster standard.

Consigli

Controlla il valore del CIDR del pod assegnato al cluster e modifica il ConfigMap ip-masq-agent per includere tutti gli intervalli CIDR del pod nel campo nonMasqueradeCIDRs. L'inclusione degli intervalli CIDR dei pod contribuisce a garantire che il traffico all'interno del cluster non sia soggetto al mascheramento IP.

Nella ConfigMap manca parte dell'intervallo CIDR del pod e l'SNAT predefinito è disattivato

La SNAT predefinita è disabilitata nel tuo cluster GKE a causa del flag --disable-default-snat=true e la configurazione ip-masq-agent di cui è stato eseguito il deployment autonomo gestisce le regole di IP masquerading. La configurazione personalizzata per il ConfigMap ip-masq-agent potrebbe non includere correttamente gli intervalli CIDR dei pod. Questo corrisponde al seguente messaggio di avviso: nonMasqueradeCIDRs della mappa di configurazione ip-masq-agent del cluster non copre completamente gli intervalli CIDR dei pod e il flag disable-default-snat è impostato su true. Di conseguenza, il traffico dei pod potrebbe non essere mascherato correttamente in base alle norme previste.

Questa informazione include le seguenti informazioni:

  • ConfigMap ip-masq-agent: il ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: il campo che specifica un elenco di intervalli di indirizzi IP di destinazione in formato CIDR per i quali è disattivata la SNAT dell'indirizzo IP di origine.
  • CIDR del pod: l'intervallo CIDR del pod è un blocco dedicato di indirizzi IP riservati esclusivamente all'assegnazione di indirizzi IP univoci ai pod all'interno del cluster. Ogni pod in esecuzione nel cluster riceve il proprio indirizzo IP da questo intervallo, che consente la comunicazione di rete.
  • custom config: la configurazione personalizzata per il ConfigMap ip-masq-agent sovrascrive l'elenco nonMasqueradeCIDRs predefinito. La configurazione personalizzata sostituisce completamente gli intervalli predefiniti forniti dall'agente.
  • flag disable-default-snat: il --disable-default-snat flag modifica il comportamento predefinito di GKE SNAT in modo che gli indirizzi IP del pod di origine vengano conservati per i pacchetti inviati a tutte le destinazioni.

Per ulteriori informazioni, consulta Agente di mascheramento IP e Configurare un agente di mascheramento IP nei cluster standard.

Consigli

Controlla il valore del CIDR del pod e della configurazione personalizzata assegnati al cluster. Modifica il ConfigMap ip-masq-agent per includere tutti gli intervalli CIDR dei pod nel campo nonMasqueradeCIDRs. L'inclusione degli intervalli CIDR dei pod contribuisce a garantire che il traffico all'interno del cluster non sia soggetto al mascheramento IP.