VPC-nativen Cluster erstellen

Auf dieser Seite wird beschrieben, wie VPC-native Cluster in Google Kubernetes Engine (GKE) konfiguriert werden.

Weitere Informationen zu den Vorteilen und Anforderungen von VPC-nativen Clustern finden Sie in der Übersicht für VPC-native Cluster.

Für GKE Autopilot-Cluster sind VPC-native Netzwerke standardmäßig aktiviert und können nicht überschrieben werden.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

• Aktivieren Sie die Google Kubernetes Engine API.
Google Kubernetes Engine API aktivieren
• Wenn Sie die Google Cloud CLI für diesen Task verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit dem Befehl gcloud components update ab. In früheren gcloud CLI-Versionen werden die Befehle in diesem Dokument möglicherweise nicht unterstützt.

Beschränkungen

• Sie können einen VPC-nativer Cluster nicht in einen routenbasierten Cluster konvertieren und umgekehrt auch keinen routenbasierten Cluster in einen VPC-nativer Cluster konvertieren.

• Für VPC-native Cluster sind VPC-Netzwerke erforderlich. Alte Netzwerke werden nicht unterstützt.

• Wie bei allen GKE-Clustern sind Dienstadressen (ClusterIP) nur innerhalb des Clusters verfügbar. Wenn Sie von VM-Instanzen außerhalb des Clusters, aber innerhalb des VPC-Netzwerks und der Region des Clusters auf einen Kubernetes-Dienst zugreifen müssen, erstellen Sie einen internen Passthrough-Network-Load-Balancer.

• Wenn Sie alle Pod-IP-Adressen in einem Subnetz verwenden, können Sie den sekundären IP-Adressbereich des Subnetzes nicht ersetzen, ohne den Cluster in einen instabilen Zustand zu versetzen. Sie können jedoch zusätzliche Pod-IP-Adressbereiche erstellen, indem Sie nicht zusammenhängende CIDRs mit mehreren Pods verwenden.

Cluster erstellen

In diesem Abschnitt wird beschrieben, wie Sie die folgenden Aufgaben beim Erstellen eines Clusters ausführen:

• Cluster und Subnetz gleichzeitig erstellen
• Erstellen Sie einen Cluster in einem vorhandenen Subnetz.
• Erstellen Sie einen Cluster und wählen Sie den IP-Adressbereich der Steuerungsebene aus.
• Erstellen Sie einen Cluster mit Dual-Stack-Netzwerk in einem neuen Subnetz (verfügbar in Autopilot-Clustern ab Version 1.25 und Standardclustern ab Version 1.24).
• Erstellen Sie gleichzeitig einen Dual-Stack-Cluster und ein Dual-Stack-Subnetz (verfügbar in Autopilot-Clustern ab Version 1.25 und Standardclustern ab Version 1.24).

Sie können auch einen Cluster erstellen und die automatische IP-Adressverwaltung in Ihrem Cluster aktivieren (Vorschau). In diesem Fall erstellt GKE automatisch Subnetze und verwaltet IP-Adressen für Sie. Weitere Informationen finden Sie unter Automatische IP-Adressverwaltung verwenden.

Nachdem Sie den Cluster erstellt haben, können Sie den Zugriff auf die Steuerungsebene des Clusters ändern. Weitere Informationen finden Sie unter Netzwerkisolation in GKE anpassen.

Cluster und Subnetz gleichzeitig erstellen

In der folgenden Anleitung erfahren Sie, wie Sie einen VPC-nativen GKE-Cluster und ein Subnetz gleichzeitig erstellen. Die Zuweisungsmethode für sekundäre Bereiche lautet "Von GKE verwaltet", wenn Sie diese beiden Schritte mit einem einzigen Befehl ausführen.

Wenn Sie eine freigegebene VPC verwenden, können Sie den Cluster und das Subnetz nicht gleichzeitig erstellen. Stattdessen muss ein Netzwerkadministrator im freigegebene VPC-Hostprojekt zuerst das Subnetz erstellen. Dann können Sie den Cluster in einem vorhandenen Subnetz mit der Zuweisungsmethode für sekundäre Bereiche "Vom Nutzer verwaltet" erstellen.

gcloud container clusters create CLUSTER_NAME \
    --location=COMPUTE_LOCATION \
    --enable-ip-alias \
    --create-subnetwork name=SUBNET_NAME,range=NODE_IP_RANGE \
    --cluster-ipv4-cidr=POD_IP_RANGE \
    --services-ipv4-cidr=SERVICES_IP_RANGE

{
  "name": CLUSTER_NAME,
  "description": DESCRIPTION,
  ...
  "ipAllocationPolicy": {
    "useIpAliases": true,
    "createSubnetwork": true,
    "subnetworkName": SUBNET_NAME
  },
  ...
}

Nachdem Sie den Cluster erstellt haben, können Sie den Zugriff auf die Steuerungsebene des Clusters ändern. Weitere Informationen finden Sie unter Netzwerkisolation in GKE anpassen.

Cluster in einem vorhandenen Subnetz erstellen

In der folgenden Anleitung wird gezeigt, wie Sie einen VPC-nativen GKE-Cluster in einem vorhandenen Subnetz mit der gewünschten Zuweisungsmethode für sekundäre Bereiche erstellen.

module "gke" {
  source  = "terraform-google-modules/kubernetes-engine/google"
  version = "~> 12.0"

  project_id        = "PROJECT_ID"
  name              = "CLUSTER_NAME"
  region            = "COMPUTE_LOCATION"
  network           = "NETWORK_NAME"
  subnetwork        = "SUBNET_NAME"
  ip_range_pods     = "SECONDARY_RANGE_PODS"
  ip_range_services = "SECONDARY_RANGE_SERVICES"
}

{
  "name": CLUSTER_NAME,
  "description": DESCRIPTION,
  ...
  "ipAllocationPolicy": {
    "useIpAliases": true,
    "clusterIpv4CidrBlock"      : string,
    "servicesIpv4CidrBlock"     : string,
    "clusterSecondaryRangeName" : string,
    "servicesSecondaryRangeName": string,

  },
  ...
}

Nachdem Sie den Cluster erstellt haben, können Sie den Zugriff auf die Steuerungsebene des Clusters ändern. Weitere Informationen finden Sie unter Netzwerkisolation in GKE anpassen.

Cluster erstellen und IP-Adressbereich der Steuerungsebene auswählen

Standardmäßig verwenden Cluster in Version 1.29 oder höher den primären Subnetzbereich, um die interne IP-Adresse bereitzustellen, die dem Endpunkt der Steuerungsebene zugewiesen ist. Sie können diese Standardeinstellung nur bei der Clustererstellung überschreiben, indem Sie einen anderen Subnetzbereich auswählen.

In den folgenden Abschnitten wird gezeigt, wie Sie einen Cluster erstellen und den Subnetzbereich überschreiben.

gcloud container clusters create CLUSTER_NAME \
    --enable-private-nodes \
    --private-endpoint-subnetwork=SUBNET_NAME \
    --location=COMPUTE_LOCATION

Projektmetadaten für sekundäre IP-Adressbereiche

Wenn Sie einen GKE-Cluster erstellen oder aktualisieren, fügt GKE automatisch Metadateneinträge auf Projektebene wie google_compute_project_metadata hinzu, um die Nutzung sekundärer IP-Adressbereiche zu verfolgen, auch in freigegebene VPC-Umgebungen. Diese Metadaten bestätigen, dass GKE IP-Adressen für Pods und Dienste korrekt zuweist, was Konflikte verhindert.

GKE verwaltet diese Metadaten automatisch.

Die Metadaten haben das folgende Format:

key:   gke-REGION-CLUSTER_NAME-GKE_UID-secondary-ranges
value: pods:SHARED_VPC_NETWORK:SHARED_VPC_SUBNETWORK:CLUSTER_PODS_SECONDARY_RANGE_NAME

Dabei gilt:

• REGION: Die Google Cloud Region, in der sich der Cluster befindet.

• CLUSTER_NAME ist der Name des GKE-Clusters.

• GKE_UID: Eine eindeutige Kennung für den GKE-Cluster.

• VPC_NETWORK: der Name des VPC-Netzwerks, das vom Cluster verwendet wird.

• VPC_SUBNETWORK: der Name des Subnetzwerks im VPC-Netzwerk, das vom Cluster verwendet wird.

• CLUSTER_PODS_SECONDARY_RANGE_NAME: der Name des sekundären IP-Adressbereichs, der für die Pods des Clusters verwendet wird.

Cluster mit Dual-Stack-Netzwerk erstellen

Sie können einen Cluster mit IPv4/IPv6-Dual-Stack-Netzwerk in einem neuen oder vorhandenen Dual-Stack-Subnetz erstellen. Dual-Stack-Subnetze sind in Autopilot-Clustern ab Version 1.25 und Standardclustern ab Version 1.24 verfügbar. Dual-Stack-Subnetze werden in Windows Server-Knotenpools nicht unterstützt.

Bevor Sie Dual-Stack-Cluster einrichten, empfehlen wir Ihnen, Folgendes zu tun:

• Weitere Informationen zu den Vorteilen und Anforderungen von GKE-Clustern mit Dual-Stack-Netzwerk.
• Weitere Informationen finden Sie unter Limits und Einschränkungen von Dual-Stack-Netzwerken.

In diesem Abschnitt erstellen Sie zuerst ein Dual-Stack-Subnetz und verwenden es dann, um einen Cluster zu erstellen.

1. Führen Sie den folgenden Befehl aus, um ein Dual-Stack-Subnetz zu erstellen:

   gcloud compute networks subnets create SUBNET_NAME \
       --stack-type=ipv4-ipv6 \
       --ipv6-access-type=ACCESS_TYPE \
       --network=NETWORK_NAME \
       --range=PRIMARY_RANGE \
       --region=COMPUTE_REGION
   

   Ersetzen Sie Folgendes:

   • SUBNET_NAME: der Name des ausgewählten Subnetzes.
   • ACCESS_TYPE: die Routbarkeit des öffentlichen Internets. Verwenden Sie INTERNAL für interne IPv6-Adressen oder EXTERNAL für externe IPv6-Adressen. Wenn --ipv6-access-type nicht angegeben ist, ist der Standardzugriffstyp EXTERNAL.
   • NETWORK_NAME: der Name des Netzwerks mit dem neuen Subnetz. Dieses Netzwerk muss die folgenden Bedingungen erfüllen:
     • Es muss sich um ein VPC-Netzwerk im benutzerdefinierten Modus handeln. Weitere Informationen finden Sie unter VPC-Netzwerk vom automatischen Modus in den benutzerdefinierten Modus versetzen.
     • Wenn Sie den ACCESS_TYPE mit INTERNAL ersetzen, muss das Netzwerk eindeutige lokale IPv6-Unicast-Adressen (ULA) verwenden.
   • PRIMARY_RANGE: der primäre IPv4-IP-Adressbereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter Subnetzbereiche.
   • COMPUTE_REGION. die Compute-Region für den Cluster.

2. Zum Erstellen eines Clusters mit einem Dual-Stack-Subnetz können Sie entweder die gcloud CLI oder die Google Cloud -Konsole verwenden:

Dual-Stack-Cluster und Subnetz gleichzeitig erstellen

Sie können ein Subnetz und einen Dual-Stack-Cluster gleichzeitig erstellen. GKE erstellt ein IPv6-Subnetz und weist dem Subnetz einen externen IPv6-Primärbereich zu.

Wenn Sie eine freigegebene VPC verwenden, können Sie den Cluster und das Subnetz nicht gleichzeitig erstellen. Stattdessen muss ein Netzwerkadministrator im freigegebene VPC-Hostprojekt zuerst das Dual-Stack-Subnetz erstellen.

• Führen Sie für Autopilot-Cluster den folgenden Befehl aus:

  gcloud container clusters create-auto CLUSTER_NAME \
      --location=COMPUTE_LOCATION \
      --network=NETWORK_NAME \
      --create-subnetwork name=SUBNET_NAME
  

  Ersetzen Sie Folgendes:

  • CLUSTER_NAME: Der Name Ihres neuen Autopilot-Clusters.
  • COMPUTE_LOCATION: der Compute Engine-Standort für den Cluster.
  • NETWORK_NAME: der Name eines VPC-Netzwerks, das das Subnetz enthält. Dieses VPC-Netzwerk muss ein VPC-Netzwerk im benutzerdefinierten Modus sein, das eindeutige lokale IPv6-Unicast-Adressen (ULA) verwendet. Weitere Informationen finden Sie unter VPC-Netzwerk vom automatischen Modus in den benutzerdefinierten Modus versetzen.
  • SUBNET_NAME: der Name des neuen Subnetzes. GKE kann das Subnetz basierend auf Ihren Organisationsrichtlinien erstellen:
    • Wenn Ihre Organisationsrichtlinien Dual-Stack zulassen und das Netzwerk im benutzerdefinierten Modus ist, erstellt GKE ein Dual-Stack-Subnetz und weist dem Subnetz einen externen IPv6-Primärbereich zu.
    • Wenn Ihre Organisationsrichtlinien das Dual-Stack nicht zulassen oder wenn sich das Netzwerk im automatischen Modus befindet, erstellt GKE ein Single-Stack-Subnetz (IPv4).

• Führen Sie für Standardcluster den folgenden Befehl aus:

  gcloud container clusters create CLUSTER_NAME \
      --enable-ip-alias \
      --stack-type=ipv4-ipv6 \
      --ipv6-access-type=ACCESS_TYPE \
      --network=NETWORK_NAME \
      --create-subnetwork name=SUBNET_NAME,range=PRIMARY_RANGE \
      --location=COMPUTE_LOCATION
  

  Ersetzen Sie Folgendes:

  • CLUSTER_NAME: der Name des neuen Clusters, den Sie auswählen.
  • ACCESS_TYPE: Die Routbarkeit des öffentlichen Internets. Verwenden Sie INTERNAL für interne IPv6-Adressen oder EXTERNAL für externe IPv6-Adressen. Wenn --ipv6-access-type nicht angegeben ist, ist der Standardzugriffstyp EXTERNAL.
  • NETWORK_NAME: der Name des Netzwerks mit dem neuen Subnetz. Dieses Netzwerk muss die folgenden Bedingungen erfüllen:
    • Es muss sich um ein VPC-Netzwerk im benutzerdefinierten Modus handeln. Weitere Informationen finden Sie unter VPC-Netzwerk vom automatischen Modus in den benutzerdefinierten Modus versetzen.
    • Wenn Sie den ACCESS_TYPE durch INTERNAL ersetzen, muss das Netzwerk eindeutige lokale IPv6-Unicast-Adressen (ULA) verwenden.
  • SUBNET_NAME: der Name des neuen Subnetzes, das Sie auswählen.
  • PRIMARY_RANGE: der primäre IPv4-Adressbereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter Subnetzbereiche.
  • COMPUTE_LOCATION: der Compute Engine-Standort für den Cluster.

Stacktyp aktualisieren

Sie können den Stacktyp eines vorhandenen Clusters ändern oder ein vorhandenes Subnetz in ein Dual-Stack-Subnetz aktualisieren.

Stacktyp in einem vorhandenen Cluster aktualisieren

Bevor Sie den Stacktyp in einem vorhandenen Cluster ändern, beachten Sie die folgenden Einschränkungen:

• Das Ändern des Stack-Typs wird in neuen GKE-Clustern mit Version 1.25 oder höher unterstützt. Bei GKE-Clustern, die von Version 1.24 auf Version 1.25 oder 1.26 aktualisiert wurden, können Validierungsfehler auftreten, wenn Sie ein Dual-Stack-Netzwerk aktivieren. Wenden Sie sich bei Fehlern an das Google Cloud Supportteam.

• Das Ändern des Stack-Typs ist ein störender Vorgang, da GKE sowohl Komponenten auf der Steuerungsebene als auch auf Knoten neu startet.

• GKE berücksichtigt beim Neuerstellen von Knoten die konfigurierten Wartungsfenster. Dies bedeutet, dass der Cluster-Stack-Typ bis zum nächsten Wartungsfenster nicht im Cluster verfügbar ist. Wenn Sie nicht warten möchten, können Sie den Knotenpool auch manuell aktualisieren. Dazu geben Sie für das Flag --cluster-version die GKE-Version an, die bereits auf der Steuerungsebene ausgeführt wird. Wenn Sie diese Problemumgehung verwenden, müssen Sie die gcloud CLI verwenden. Weitere Informationen finden Sie unter Hinweise für Wartungsfenster.

• Durch das Ändern des Stack-Typs wird die IP-Familie vorhandener Services nicht automatisch geändert. Dabei gelten folgende Bedingungen:

  • Wenn Sie einen einzelnen Stack in Dual-Stack ändern, bleiben die vorhandenen Services im Status eines einzelnen Stacks erhalten.
  • Wenn Sie einen Dual-Stack in einen einzelnen Stack ändern, werden die vorhandenen Services mit IPv6-Adressen in einen Fehlerzustand versetzt. Löschen Sie den Dienst und erstellen Sie einen Dienst mit den richtigen ipFamilies. Weitere Informationen finden Sie in einem Beispiel für die Einrichtung eines Deployments.

Zum Aktualisieren eines vorhandenen VPC-nativer Cluster können Sie die gcloud CLI oder die Google Cloud Console verwenden:

  gcloud container clusters update CLUSTER_NAME \
      --stack-type=STACK_TYPE \
      --location=COMPUTE_LOCATION

Aktualisieren Sie ein vorhandenes Subnetz auf ein Dual-Stack-Subnetz (verfügbar in Autopilot-Clustern ab Version 1.25 und Standardclustern ab Version 1.24).

Vorhandenes Subnetz auf ein Dual-Stack-Subnetz aktualisieren

Führen Sie den folgenden Befehl aus, um ein vorhandenes Subnetz auf ein Dual-Stack-Subnetz zu aktualisieren. Das Aktualisieren eines Subnetzes wirkt sich nicht auf vorhandene IPv4-Cluster im Subnetz aus.

gcloud compute networks subnets update SUBNET_NAME \
    --stack-type=ipv4-ipv6 \
    --ipv6-access-type=ACCESS_TYPE \
    --region=COMPUTE_REGION

Ersetzen Sie Folgendes:

• SUBNET_NAME: der Name des Subnetzes.
• ACCESS_TYPE: die Routbarkeit des öffentlichen Internets. Verwenden Sie INTERNAL für interne IPv6-Adressen oder EXTERNAL für externe IPv6-Adressen. Wenn --ipv6-access-type nicht angegeben ist, ist der Standardzugriffstyp EXTERNAL.
• COMPUTE_REGION. die Compute-Region für den Cluster.

Stack-Typ-, Pod- und Service-IP-Adressbereiche prüfen

Nachdem Sie einen VPC-nativen Cluster erstellt haben, können Sie dessen Pod- und Dienstbereiche überprüfen.

gcloud container clusters describe CLUSTER_NAME

Cluster löschen

Folgen Sie der Anleitung unter Cluster löschen, um Ihren Cluster zu löschen.

GKE versucht, das erstellte Subnetzwerk zu bereinigen, wenn der Cluster gelöscht wird. Wenn das Subnetzwerk jedoch von anderen Ressourcen verwendet wird, löscht GKE das Subnetzwerk nicht und Sie müssen die Lebensdauer des Subnetzwerks selbst verwalten.

Erweiterte Konfiguration für interne IP-Adressen

In den folgenden Abschnitten wird beschrieben, wie Sie private IP-Adressbereiche außerhalb von RFC 1918 verwenden und wie Sie privat verwendete öffentliche IP-Adressbereiche aktivieren.

IP-Adressbereiche außerhalb von RFC 1918 verwenden

GKE-Cluster können private IP-Adressbereiche außerhalb des RFC 1918-Bereichs für Knoten, Pods und Services verwenden. Unter Gültige Bereiche in der Dokumentation zu VPC-Netzwerken finden Sie eine Liste von privaten Bereichen außerhalb von RFC 1918, die als interne IP-Adressen für Subnetzbereiche verwendet werden können.

Diese Funktion wird von Windows Server-Knotenpools nicht unterstützt.

Private Bereiche außerhalb von RFC 1918 sind Subnetzbereiche. Sie können sie ausschließlich oder in Verbindung mit RFC 1918-Subnetzbereichen verwenden. Knoten, Pods und Services verwenden weiterhin Subnetzbereiche, wie unter IP-Bereiche für VPC-native Cluster beschrieben. Wenn Sie andere Bereiche als RFC 1918 verwenden, müssen Sie Folgendes beachten:

• Subnetzbereiche müssen manuell oder über GKE zugewiesen werden, bevor die Knoten des Clusters erstellt werden, auch wenn Bereiche außerhalb von RFC 1918 verwendet werden. Der Wechsel zu oder das Beenden der Nutzung von Subnetzbereichen außerhalb von RFC 1918 für Knoten- oder Dienst-IP-Adressen in einem vorhandenen Cluster ist nur dann möglich, wenn Sie den Cluster ersetzen. Sie können einem vorhandenen VPC-nativer Cluster jedoch zusätzliche Pod-CIDR-Bereiche hinzufügen, einschließlich Nicht-RFC 1918-Bereichen. Weitere Informationen zum Hinzufügen zusätzlicher Pod-CIDR-Bereiche finden Sie unter IP-Adressbereiche eines GKE-Clusters erweitern.

• Interne Passthrough-Network-Load-Balancer verwenden nur IP-Adressen aus dem primären IP-Adressbereich des Subnetzes. Der primäre IP-Adressbereich Ihres Subnetzes darf nicht RFC 1918 sein, wenn Sie einen internen Passthrough-Network-Load-Balancer mit einer Adresse außerhalb von RFC 1918 erstellen möchten.

Bei Zielen außerhalb des Clusters treten möglicherweise Probleme beim Empfang von Traffic aus privaten Bereichen außerhalb von RFC 1918 auf. Beispielsweise werden private RFC 1112-Bereiche (Klasse E) üblicherweise als Multicast-Adressen verwendet. Wenn ein Ziel außerhalb Ihres Clusters keine Pakete verarbeiten kann, deren Quellen private IP-Adressen außerhalb des RFC 1918-Bereichs sind, können Sie so vorgehen:

• Verwenden Sie einen RFC 1918-Bereich für den primären IP-Adressbereich des Subnetzes. Auf diese Weise verwenden Knoten im Cluster RFC 1918-Adressen.

• Achten Sie darauf, dass in Ihrem Cluster der IP-Masquerade-Agent ausgeführt wird und dass die Ziele nicht in der Liste nonMasqueradeCIDRs enthalten sind. Auf diese Weise werden die Ziele der von Pods gesendeten Pakete in Knotenadressen geändert (SNAT), die sich in RFC 1918 befinden.

Privat verwendete externe IP-Adressbereiche aktivieren

Für GKE-Cluster können bestimmte externe IP-Adressbereiche als interne Subnetz-IP-Adressbereiche genutzt werden. Sie können jede externe IP-Adresse privat verwenden, mit Ausnahme bestimmter eingeschränkter Bereiche, die in der VPC-Netzwerkdokumentation beschrieben werden. Diese Funktion wird von Windows Server-Knotenpools nicht unterstützt.

Der Cluster muss ein VPC-nativer Cluster sein, um privat verwendete externe IP-Adressbereiche nutzen zu können. Routenbasierte Cluster werden nicht unterstützt.

Privat verwendete externe Bereiche sind Subnetzbereiche. Sie können sie ausschließlich oder in Verbindung mit anderen Subnetzbereichen mit privaten Adressen verwenden. Knoten, Pods und Services verwenden weiterhin Subnetzbereiche, wie unter IP-Bereiche für VPC-native Cluster beschrieben. Beachten Sie Folgendes, wenn Sie externe IP-Adressen privat wiederverwenden:

• Wenn Sie einen externen IP-Adressbereich als Subnetzbereich verwenden, kann Ihr Cluster nicht mehr mit Systemen im Internet kommunizieren, die diesen externen Bereich verwenden. Der Bereich wird zu einem internen IP-Adressbereich im VPC-Netzwerk des Clusters.

• Subnetzbereiche müssen manuell oder über GKE zugewiesen werden, bevor die Knoten des Clusters erstellt werden, auch wenn externe IP-Adressbereiche privat verwendet werden. Der Wechsel zu oder das Beenden der Nutzung von Subnetzbereichen außerhalb von RFC 1918 für Knoten- oder Dienst-IP-Adressen in einem vorhandenen Cluster ist nur dann möglich, wenn Sie den Cluster ersetzen. Sie können einem vorhandenen VPC-nativer Cluster jedoch zusätzliche Pod-CIDR-Bereiche hinzufügen, einschließlich Bereiche, die nicht RFC 1918 entsprechen. Weitere Informationen zum Hinzufügen zusätzlicher Pod-CIDR-Bereiche finden Sie unter IP-Adressbereiche eines GKE-Clusters erweitern.

GKE implementiert SNAT standardmäßig auf den Knoten in externen IP-Zielen. Wenn Sie den Pod-CIDR für die Verwendung externer IP-Adressen konfiguriert haben, werden die SNAT-Regeln auf den Pod-zu-Pod-Traffic angewendet. Um dies zu vermeiden, haben Sie zwei Möglichkeiten:

• Erstellen Sie Ihren Cluster mit dem Flag --disable-default-snat. Weitere Informationen zu diesem Flag finden Sie unter IP-Maskierung in GKE.
• Konfigurieren Sie die configMap ip-masq-agent so, dass in der Liste nonMasqueradeCIDRs mindestens die Pod-CIDR, die Service-CIDR und das Subnetz des Knotens enthalten sind.

Bei Standardclustern mit Clusterversion 1.14 oder höher funktionieren beide Optionen. Wenn Ihre Clusterversion älter als 1.14 ist, können Sie nur die zweite Option verwenden (ip-masq-agent konfigurieren).

Nächste Schritte

• GKE-Netzwerkübersicht
• Informationen zum internen Load-Balancing
• Autorisierte Netzwerke für Masterzugriff erstellen
• Cluster-Netzwerkrichtlinien erstellen