Insights de configuração do mascaramento de IP do GKE

Nesta página, descrevemos os insights do Network Analyzer sobre a configuração do mascaramento de IP do Google Kubernetes Engine (GKE). Para informações sobre todos os tipos de insight, consulte Grupos e tipos de insight.

O Network Analyzer detecta a configuração ip-masq-agent e a compara com os intervalos de CIDR do pod do cluster.

O ConfigMap não tem parte do intervalo CIDR do pod

O ConfigMap da configuração ip-masq-agent implantada no cluster do GKE parece não ter os intervalos de CIDR do pod. Isso corresponde à seguinte mensagem de aviso: O nonMasqueradeCIDRs do mapa de configuração ip-masq-agent do cluster não abrange totalmente os intervalos CIDR do pod. Isso significa que o tráfego de infracluster entre os pods usa o endereço IP do nó de origem para a tradução de endereço de rede de origem (SNAT, na sigla em inglês), o que pode levar a problemas de conectividade quando um firewall ou uma política de rede está em vigor.

Esse insight inclui as seguintes informações:

  • ConfigMap ip-masq-agent: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para o qual o SNAT do endereço IP de origem está desativado.
  • Pod CIDR: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservado exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Todos os pods executados no cluster recebem o próprio endereço IP deste intervalo, o que permite a comunicação de rede.

Para mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Confira o valor do CIDR do pod atribuído ao cluster e edite o ConfigMap ip-masq-agent para incluir todos os intervalos de CIDR do pod no campo nonMasqueradeCIDRs. A inclusão dos intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito a mascaramento de IP.

O ConfigMap não tem parte do intervalo CIDR do pod e o SNAT padrão está desativado

O SNAT padrão está desativado no cluster do GKE por causa da flag --disable-default-snat=true, e a configuração ip-masq-agent autoimplantada gerencia as regras de mascaramento de IP. A configuração personalizada do ConfigMap ip-masq-agent pode não incluir corretamente os intervalos CIDR do pod. Isso corresponde à seguinte mensagem de aviso: O nonMasqueradeCIDRs do mapa de configuração ip-masq-agent do cluster não abrange totalmente os intervalos CIDR do pod, e a flag disable-default-snat está definida como true. Como resultado, o tráfego do pod pode não ser mascarado corretamente de acordo com a política pretendida.

Esse insight inclui as seguintes informações:

  • ConfigMap ip-masq-agent: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para o qual o SNAT do endereço IP de origem está desativado.
  • Pod CIDR: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservado exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Todos os pods executados no cluster recebem o próprio endereço IP deste intervalo, o que permite a comunicação de rede.
  • Configuração personalizada: a configuração personalizada do ConfigMap ip-masq-agent substitui a lista padrão de nonMasqueradeCIDRs. Sua configuração personalizada substitui totalmente os intervalos padrão fornecidos pelo agente.
  • flag disable-default-snat: a flag --disable-default-snat muda o comportamento padrão de SNAT do GKE para que os endereços IP de origem do pod sejam preservados nos pacotes enviados a todos os destinos.

Para mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod e da configuração personalizada atribuída ao cluster. Edite o ConfigMap ip-masq-agent para incluir todos os intervalos de CIDR do pod no campo nonMasqueradeCIDRs. A inclusão dos intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito a mascaramento de IP.