Estatísticas de configuração da ocultação de IP do GKE

Esta página descreve as estatísticas do Network Analyzer para a configuração de mascaramento de IP do Google Kubernetes Engine (GKE). Para obter informações sobre todos os tipos de estatísticas, consulte o artigo Grupos e tipos de estatísticas.

O analisador de rede deteta a configuração ip-masq-agent e compara-a com os intervalos CIDR dos pods do cluster.

O ConfigMap não tem parte do intervalo CIDR do pod

O ConfigMap para a configuração ip-masq-agent implementada no seu cluster do GKE parece não ter os intervalos CIDR de pods. Isto corresponde à seguinte mensagem de aviso: O mapa de configuração do cluster ip-masq-agent não abrange totalmente os intervalos CIDR de pods.nonMasqueradeCIDRs Isto significa que o tráfego infra-cluster entre os pods usa o endereço IP do nó de origem para a tradução de endereços de rede de origem (SNAT), o que pode originar problemas de conetividade quando existe uma firewall ou uma política de rede.

Esta estatística inclui as seguintes informações:

  • ip-masq-agent ConfigMap: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais o SNAT do endereço IP de origem está desativado.
  • CIDR de pods: o intervalo CIDR de pods é um bloco dedicado de endereços IP que estão reservados exclusivamente para atribuir endereços IP únicos a pods no cluster. Cada Pod executado no cluster recebe o seu próprio endereço IP deste intervalo, o que permite a comunicação de rede.

Para mais informações, consulte os artigos Agente de mascaramento de IP e Configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod atribuído ao cluster e edite o ip-masq-agent ConfigMap para incluir todos os intervalos CIDR do pod no campo nonMasqueradeCIDRs. A inclusão dos intervalos CIDR de pods ajuda a garantir que o tráfego no cluster não está sujeito a ocultação de IP.

O ConfigMap tem parte do intervalo CIDR do pod em falta e o SNAT predefinido está desativado

A SNAT predefinida está desativada no cluster do GKE devido à flag --disable-default-snat=true e a configuração ip-masq-agent implementada automaticamente está a gerir as regras de ocultação de IP. A sua configuração personalizada para o ip-masq-agent ConfigMap pode não incluir corretamente os intervalos CIDR de pods. Isto corresponde à seguinte mensagem de aviso: O ip-masq-agentmapa de configuraçãononMasqueradeCIDRs do cluster não abrange totalmente os intervalos CIDR de pods e a flag disable-default-snat está definida como verdadeira. Como resultado, o tráfego de pods pode não ser mascarado corretamente de acordo com a política pretendida.

Esta estatística inclui as seguintes informações:

  • ip-masq-agent ConfigMap: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais o SNAT do endereço IP de origem está desativado.
  • CIDR de pods: o intervalo CIDR de pods é um bloco dedicado de endereços IP que estão reservados exclusivamente para atribuir endereços IP únicos a pods no cluster. Cada Pod executado no cluster recebe o seu próprio endereço IP deste intervalo, o que permite a comunicação de rede.
  • custom config: a configuração personalizada para o ip-masq-agent ConfigMap substitui a lista nonMasqueradeCIDRs predefinida. A sua configuração personalizada substitui totalmente os intervalos predefinidos fornecidos pelo agente.
  • disable-default-snat flag: a flag --disable-default-snat altera o comportamento predefinido do SNAT do GKE para que os endereços IP dos pods de origem sejam preservados para pacotes enviados para todos os destinos.

Para mais informações, consulte os artigos Agente de mascaramento de IP e Configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod e da configuração personalizada atribuídos ao cluster. Edite o ip-masq-agentConfigMap para incluir todos os intervalos CIDR de pods no campo nonMasqueradeCIDRs. A inclusão dos intervalos CIDR de pods ajuda a garantir que o tráfego no cluster não está sujeito a ocultação de IP.