GKE IP 매스커레이드 구성 통계

이 페이지에서는 Google Kubernetes Engine(GKE) IP 매스커레이드 구성에 대한 네트워크 분석기 통계를 설명합니다. 모든 통계 유형에 대한 자세한 내용은 통계 그룹 및 유형을 참조하세요.

네트워크 분석기는 ip-masq-agent 구성을 감지하고 이를 클러스터의 포드 CIDR 범위와 비교합니다.

ConfigMap에 포드 CIDR 범위의 일부가 누락됨

GKE 클러스터에 배포된 ip-masq-agent 구성의 ConfigMap에 포드 CIDR 범위가 누락된 것으로 보입니다. 이는 다음 경고 메시지에 해당합니다. 클러스터 ip-masq-agent 구성 맵의 nonMasqueradeCIDRs가 포드 CIDR 범위에 완전히 적용되지 않습니다. 즉, 포드 간 인프라 클러스터 트래픽은 소스 네트워크 주소 변환(SNAT)에 소스 노드의 IP 주소를 사용하므로 방화벽이나 네트워크 정책이 적용될 때 연결 문제가 발생할 수 있습니다.

이 통계에는 다음 정보가 포함됩니다.

  • ip-masq-agent ConfigMap: ip-masq-agent 구성요소의 ConfigMap입니다.
  • nonMasqueradeCIDRs: 소스 IP 주소 SNAT가 사용 중지된 대상 IP 주소 범위 목록을 CIDR 형식으로 지정하는 필드입니다.
  • 포드 CIDR: 포드 CIDR 범위는 클러스터 내 포드에 고유 IP 주소를 할당하기 위해 독점적으로 예약된 전용 IP 주소 블록입니다. 클러스터에서 실행되는 모든 포드는 이 범위에서 자체 IP 주소를 수신하여 네트워크 통신을 지원합니다.

자세한 내용은 IP 매스커레이드 에이전트Standard 클러스터에서 IP 매스커레이드 에이전트 구성을 참조하세요.

권장사항

클러스터에 할당된 Pod CIDR 값을 확인하고 nonMasqueradeCIDRs 필드에 모든 Pod CIDR 범위가 포함되도록 ip-masq-agent ConfigMap을 수정합니다. 포드 CIDR 범위를 포함하면 클러스터 내 트래픽이 IP 마스커레이딩의 적용을 받지 않도록 할 수 있습니다.

ConfigMap에 포드 CIDR 범위의 일부가 누락되고 기본 SNAT가 사용 중지됨

--disable-default-snat=true 플래그로 인해 GKE 클러스터에서 기본 SNAT가 사용 중지되었으며 자체 배포된 ip-masq-agent 구성이 대신 IP 매스커레이드 규칙을 관리합니다. ip-masq-agent ConfigMap의 커스텀 구성에 포드 CIDR 범위가 올바르게 포함되지 않을 수 있습니다. 이는 다음 경고 메시지에 해당합니다. 클러스터 ip-masq-agent 구성 맵의 nonMasqueradeCIDRs가 포드 CIDR 범위에 완전히 적용되지 않으며 disable-default-snat 플래그가 참으로 설정되어 있습니다. 따라서 포드 트래픽이 의도한 정책에 따라 올바르게 매스커레이드되지 않을 수 있습니다.

이 통계에는 다음 정보가 포함됩니다.

  • ip-masq-agent ConfigMap: ip-masq-agent 구성요소의 ConfigMap입니다.
  • nonMasqueradeCIDRs: 소스 IP 주소 SNAT가 사용 중지된 대상 IP 주소 범위 목록을 CIDR 형식으로 지정하는 필드입니다.
  • 포드 CIDR: 포드 CIDR 범위는 클러스터 내 포드에 고유 IP 주소를 할당하기 위해 독점적으로 예약된 전용 IP 주소 블록입니다. 클러스터에서 실행되는 모든 포드는 이 범위에서 자체 IP 주소를 수신하여 네트워크 통신을 지원합니다.
  • 커스텀 구성: ip-masq-agent ConfigMap의 커스텀 구성기본 nonMasqueradeCIDRs 목록을 덮어씁니다. 커스텀 구성은 에이전트에서 제공하는 기본 범위를 완전히 대체합니다.
  • disable-default-snat 플래그: --disable-default-snat 플래그는 모든 대상으로 전송된 패킷에 대해 소스 포드 IP 주소가 보존되도록 기본 GKE SNAT 동작을 변경합니다.

자세한 내용은 IP 매스커레이드 에이전트Standard 클러스터에서 IP 매스커레이드 에이전트 구성을 참조하세요.

권장사항

클러스터에 할당된 Pod CIDR커스텀 구성 값을 확인합니다. nonMasqueradeCIDRs 필드에 모든 포드 CIDR 범위를 포함하도록 ip-masq-agent ConfigMap을 수정합니다. 포드 CIDR 범위를 포함하면 클러스터 내 트래픽이 IP 마스커레이딩의 적용을 받지 않도록 할 수 있습니다.