Mengonfigurasi agen penyamaran IP di cluster Standard

Halaman ini berisi penjelasan tentang cara mengonfigurasi cluster yang dibuat dalam mode Standard Google Kubernetes Engine (GKE) untuk melakukan penyamaran IP dengan ip-masq-agent. Untuk informasi selengkapnya tentang penyamaran IP dalam mode Autopilot GKE, lihat Menggunakan kebijakan NAT Keluar untuk mengonfigurasi penyamaran IP di cluster Autopilot.

Sebelum memulai

Sebelum memulai, pastikan Anda telah melakukan tugas berikut:

• Aktifkan Google Kubernetes Engine API.
Aktifkan Google Kubernetes Engine API
• Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu lakukan inisialisasi gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan perintah gcloud components update. Versi gcloud CLI yang lebih lama mungkin tidak mendukung menjalankan perintah dalam dokumen ini.

• Pastikan Anda sudah memiliki cluster Standard. Jika Anda memerlukannya, buat cluster Standar.

Memeriksa status ip-masq-agent

Bagian ini menunjukkan cara:

• Menentukan apakah cluster Anda memiliki DaemonSet ip-masq-agent.
• Periksa resource ConfigMap ip-masq-agent.

Periksa DaemonSet ip-masq-agent

Untuk memeriksa apakah cluster Anda menjalankan DaemonSet ip-masq-agent, gunakan Google Cloud CLI atau Google Cloud console.

Untuk membuat ConfigMap ip-masq-agent dan men-deploy DaemonSet ip-masq-agent, lihat Mengonfigurasi dan men-deploy ip-masq-agent.

Memeriksa ConfigMap ip-masq-agent

Untuk memeriksa apakah cluster Anda menjalankan ConfigMap ip-masq-agent, gunakan Google Cloud CLI atau Google Cloud konsol.

Jika cluster sudah memiliki ConfigMap ip-masq-agent, Anda dapat mengonfigurasi dan men-deploy-nya.

Mengonfigurasi dan men-deploy ip-masq-agent

Bagian ini menunjukkan cara membuat atau mengedit ConfigMap ip-masq-agent serta cara men-deploy atau menghapus DaemonSet ip-masq-agent. Untuk menentukan tugas mana yang perlu dilakukan, Anda harus terlebih dahulu menentukan apakah cluster sudah memiliki ConfigMap ip-masq-agent dan DaemonSet ip-masq-agent.

Membuat ConfigMap ip-masq-agent

Langkah-langkah berikut menunjukkan cara membuat ConfigMap ip-masq-agent. Jika cluster Anda sudah memiliki ConfigMap ip-masq-agent, edit ConfigMap ip-masq-agent yang ada.

1. Buat file konfigurasi menggunakan template berikut dan simpan secara lokal. Anda dapat menggunakan nama apa pun untuk salinan lokal file konfigurasi ini.

   nonMasqueradeCIDRs:
     - CIDR_1
     - CIDR_2
   masqLinkLocal: false
   resyncInterval: SYNC_INTERVALUNIT_OF_TIME
   

   Ganti kode berikut:

   • CIDR_1 dan CIDR_2: rentang alamat IP dalam format CIDR. Saat paket dikirim ke tujuan tersebut, cluster Anda tidak akan menyamarkan sumber alamat IP dan akan mempertahankan alamat IP Pod sumber. Jika memerlukan lebih dari dua CIDR, tambahkan entri lainnya ke daftar nonMasqueradeCIDRs dengan mengikuti format yang sama. Properti nonMasqueradeCIDRs minimal harus menyertakan rentang alamat IP node dan Pod cluster Anda.

   • SYNC_INTERVAL: lamanya waktu setelah setiap Pod ip-masq-agent memeriksa konten ConfigMap ip-masq-agent dan menulis setiap perubahan ke file /etc/config/ip-masq-agent lokalnya. Setelan defaultnya adalah 60.

   • UNIT_OF_TIME: unit waktu untuk resyncInterval. Nilai yang valid adalah s (untuk detik) atau ms (untuk milidetik). Setelan default-nya adalah s.

   Setel masqLinkLocal ke salah (false) (default), kecuali jika Anda perlu mengaktifkan penyamaran paket yang dikirim ke alamat IPv4 link-local. Untuk mengetahui informasi selengkapnya, lihat Penyamaran ke tujuan link-local.

2. Buat resource ConfigMap:

   kubectl create configmap ip-masq-agent \
      --namespace=kube-system \
      --from-file=config=LOCAL_CONFIG_FILE_PATH
   

   Ganti LOCAL_CONFIG_FILE_PATH dengan jalur ke file konfigurasi yang Anda buat di langkah sebelumnya.

3. Tentukan ConfigMap ip-masq-agent dalam namespace kube-system:

   kubectl describe configmaps/ip-masq-agent -n kube-system
   

   Outputnya mirip dengan yang berikut ini:

   Name:         ip-masq-agent
   Namespace:    kube-system
   Labels:       <none>
   Annotations:  <none>
   
   Data
   ====
   config:
   ----
   nonMasqueradeCIDRs:
     - 198.15.5.92/24
     - 10.0.0.0/8
   masqLinkLocal: false
   resyncInterval: 60s
   
   BinaryData
   ====
   Events:  <none>
   
   

   Output ini mencakup parameter config dengan perubahan konfigurasi Anda. Sekarang Anda dapat men-deploy DeamonSet ip-masq-agent.

Mengedit ConfigMap ip-masq-agent yang ada

Anda dapat mengubah konten ConfigMap ip-masq-agent yang ada dengan menyelesaikan langkah-langkah berikut:

1. Buka ConfigMap di editor teks:

   kubectl edit configmap ip-masq-agent --namespace=kube-system
   

2. Edit konten file ConfigMap:

   apiVersion: v1
   data:
     config: |
       nonMasqueradeCIDRs:
         - CIDR_1
         - CIDR_2
       masqLinkLocal: false
       resyncInterval: SYNC_INTERVALUNIT_OF_TIME
   kind: ConfigMap
   metadata:
     name: ip-masq-agent
     namespace: kube-system
   

   Ganti kode berikut:

   • CIDR_1 dan CIDR_2: rentang alamat IP dalam format CIDR. Saat paket dikirim ke tujuan tersebut, cluster Anda tidak akan menyamarkan sumber alamat IP dan akan mempertahankan alamat IP Pod sumber. Jika Anda memerlukan lebih dari dua CIDR, tambahkan entri lainnya ke daftar nonMasqueradeCIDRs dengan mengikuti format yang sama. Properti nonMasqueradeCIDRs minimal harus menyertakan rentang alamat IP node dan Pod cluster Anda.

   • SYNC_INTERVAL: lamanya waktu setelah setiap Pod ip-masq-agent memeriksa konten ConfigMap ip-masq-agent dan menulis setiap perubahan ke file /etc/config/ip-masq-agent lokalnya. Setelan defaultnya adalah 60.

   • UNIT_OF_TIME: unit waktu untuk resyncInterval. Nilai yang valid adalah s (untuk detik) atau ms (untuk milidetik). Setelan default-nya adalah s.

   Setel masqLinkLocal ke salah (false) (default), kecuali jika Anda perlu mengaktifkan penyamaran paket yang dikirim ke alamat IPv4 link-local. Untuk mengetahui informasi selengkapnya, lihat Penyamaran ke tujuan link-local.

3. Tentukan ConfigMap ip-masq-agent dalam namespace kube-system:

   kubectl describe configmaps/ip-masq-agent -n kube-system
   

   Outputnya mirip dengan yang berikut ini:

   Name:         ip-masq-agent
   Namespace:    kube-system
   Labels:       <none>
   Annotations:  <none>
   
   Data
   ====
   config:
   ----
   nonMasqueradeCIDRs:
     - 198.15.5.92/24
     - 10.0.0.0/8
   masqLinkLocal: false
   resyncInterval: 60s
   
   BinaryData
   ====
   
   Events:  <none>
   

   Output ini mencakup parameter config yang cocok dengan nilai konfigurasi dari file yang Anda buat.

Men-deploy DaemonSet ip-masq-agent

Setelah membuat atau mengedit ConfigMap ip-masq-agent, deploy DaemonSet ip-masq-agent.

1. Simpan manifes berikut sebagai file YAML:

   apiVersion: apps/v1
   kind: DaemonSet
   metadata:
     name: ip-masq-agent
     namespace: kube-system
   spec:
     selector:
       matchLabels:
         k8s-app: ip-masq-agent
     template:
       metadata:
         labels:
           k8s-app: ip-masq-agent
       spec:
         hostNetwork: true
         containers:
         - name: ip-masq-agent
           image: gke.gcr.io/ip-masq-agent:v2.12.3-gke.4@sha256:b5db41ddaf863b660da330322714f668101482b528829c50c53229d901d11af5
           args:
           - --v=2
           - --logtostderr=false
           - --log_file=/dev/stdout
           - --log_file_max_size=0
           # The masq-chain must be IP-MASQ
           - --masq-chain=IP-MASQ
           # To non-masquerade reserved IP ranges by default,
           # uncomment the following line.
           # - --nomasq-all-reserved-ranges
           # Must be set to false when using Dataplane V2.
           - --random-fully=false
           securityContext:
             privileged: false
             capabilities:
               drop: ["ALL"]
               add: ["NET_ADMIN", "NET_RAW"]
             allowPrivilegeEscalation: false
             seccompProfile:
               type: RuntimeDefault
           volumeMounts:
           - name: config-volume
             mountPath: /etc/config
         volumes:
         - name: config-volume
           configMap:
             name: ip-masq-agent
             optional: true
             items:
             - key: config
               path: ip-masq-agent
         tolerations:
         - effect: NoSchedule
           operator: Exists
         - effect: NoExecute
           operator: Exists
         - key: "CriticalAddonsOnly"
           operator: "Exists"

   Manifes ini membuat volume bernama config-volume yang dipasang sebagaimana ditentukan oleh volumeMount container.

   Jika Anda perlu mengedit manifes ini, pertimbangkan kondisi berikut:

   • Nama volume dapat berupa apa saja, tetapi harus sama dengan nama volumeMount container.

   • Nama ConfigMap harus sama dengan nama configMap yang disebutkan di Volume config-volume di Pod.

   • Nama rantai (--masq-chain) harus IP-MASQ. Jika tidak, GKE tidak akan mengganti aturan penyamaran default.

   • Pod DaemonSet membaca dari file ip-masq-agent. Konten file ip-masq-agent adalah nilai kunci config di ConfigMap.

   • Jika Anda menggunakan rentang IP yang dicadangkan dan tidak disamarkan secara default, hapus tanda komentar pada baris - --nomasq-all-reserved-ranges di bagian arg.

2. Deploy DaemonSet:

   kubectl apply -f LOCAL_FILE_PATH
   

   Ganti LOCAL_FILE_PATH dengan jalur ke file yang Anda buat di langkah sebelumnya.

Anda dapat secara manual mengupdate DaemonSet ip-masq-agent yang telah dibuat. Untuk mempelajari lebih lanjut, lihat Mengupdate DaemonSet.

Menghapus ip-masq-agent

Bagian ini menunjukkan cara menghapus DaemonSet ip-masq-agent dan ConfigMap ip-masq-agent. Menghapus ip-masq-agent tidak akan mengembalikan setelan penyamaran IP yang ada di node.

Menghapus DaemonSet ip-masq-agent

Jika membuat DaemonSet ip-masq-agent secara manual, Anda dapat menghapusnya dengan menjalankan perintah berikut:

kubectl delete daemonsets ip-masq-agent -n kube-system

Menghapus ConfigMap ip-masq-agent

Untuk menghapus ConfigMap ip-masq-agent sepenuhnya, jalankan perintah berikut:

kubectl delete configmap ip-masq-agent -n kube-system

Pemecahan masalah

Bagian berikut memberikan saran pemecahan masalah.

Pemecahan masalah umum

Langkah-langkah berikut membantu Anda mendiagnosis masalah terkait penyamaran alamat IP:

• Konfirmasi status ip-masq-agent. Jika ConfigMap tidak ditentukan, traffic ke semua tujuan default tidak akan disamarkan dan akan mempertahankan alamat IP Pod. Traffic ke tujuan lain akan mempertahankan alamat IP node.
• Konfirmasi versi image ip-masq-agent yang ditentukan dalam DaemonSet. Jika versi DaemonSet ip-masq-agent bukan yang terbaru, ikuti langkah-langkah deployment untuk mengupdate DaemonSet.
• Periksa apakah rantai IP-MASQ diisi dengan benar dalam tabel IP NAT dengan menjalankan perintah sudo iptables -t nat -L IP-MASQ di node yang terpengaruh. Jika nonMasqueradeCIDRs yang ditentukan dalam ConfigMap tidak muncul di Tabel IP NAT, pastikan tidak ada salah ketik dalam file konfigurasi yang digunakan untuk membuat ConfigMap.
• Pastikan bahwa tujuan telah mengizinkan rentang alamat IP node dan Pod.
• Jika traffic tidak dapat diakses dari node atau Pod, jalankan uji konektivitas.

Masalah: Alamat IP Pod berubah menjadi alamat IP node

Saat menggunakan agen penyamaran IP, Anda mungkin melihat alamat IP sumber Pod secara tidak terduga menggunakan alamat IP node saat Pod Anda berkomunikasi dengan tujuan eksternal.

Masalah ini disebabkan oleh daftar Source Network Address Translation (SNAT) kustom yang tidak ada atau tidak lengkap. Saat Anda menggunakan agen penyamaran IP, SNAT default cluster akan digunakan jika ConfigMap tidak ada atau tidak berisi daftar nonMasqueradeCIDRs. Saat paket meninggalkan Pod, SNAT default akan mengubah alamat IP sumber dari alamat IP Pod menjadi alamat IP internal node. Untuk mempelajari SNAT lebih lanjut, lihat Agen penyamaran IP.

Untuk mengatasi masalah ini, konfigurasikan daftar SNAT kustom dengan menentukan daftar nonMasqueradeCIDRs di ConfigMap ip-masq-agent:

1. Buka ConfigMap ip-masq-agent:

   kubectl edit configmap ip-masq-agent --namespace=kube-system
   

2. Tinjau daftar nonMasqueradeCIDRs dalam ConfigMap. Daftar nonMasqueradeCIDRs harus ada dan lengkap. Contoh:

   ...
   nonMasqueradeCIDRs:
     - 35.100.0.0/16
   ...
   

3. Jika daftar tidak ada atau tidak lengkap, tambahkan atau ubah daftar nonMasqueradeCIDRs untuk menyertakan rentang IP tujuan yang alamat IP Pod sumbernya ingin Anda pertahankan. Daftar ini juga harus menyertakan alamat yang ingin Anda gunakan untuk Cloud NAT.

   Jika Anda tidak ingin traffic eksternal menggunakan SNAT, tetapkan kolom nonMasqueradeCIDRs ke 0.0.0.0/0. Contoh:

   ...
   nonMasqueradeCIDRs:
     - 0.0.0.0/0
   ...
   

   Jika traffic Anda tidak menggunakan SNAT, semua paket yang dikirim dari Pod akan mempertahankan alamat IP Pod sebagai alamat IP sumbernya, terlepas dari tujuannya.

4. Periksa alamat IP sumber paket keluar dari Pod Anda. Untuk memeriksa alamat ini, lakukan pengambilan paket. Jika hal tersebut tidak memungkinkan, Anda dapat memeriksa alamat IP node, yang seharusnya merupakan alamat IP sumber paket keluar yang tunduk pada SNAT, dengan perintah berikut:

   kubectl get nodes -o wide
   

Langkah berikutnya

• Pelajari cara menggunakan Kebijakan NAT Keluar untuk mengonfigurasi penyamaran IP di cluster Autopilot.
• Pelajari cara membuat cluster VPC native.
• Membaca ringkasan jaringan GKE.
• Pelajari cara mengonfigurasi jaringan yang diizinkan.