Estadísticas de la configuración del enmascaramiento de IP de GKE

En esta página, se describen las estadísticas de Network Analyzer para la configuración del enmascaramiento de IP de Google Kubernetes Engine (GKE). Para obtener información sobre todos los tipos de estadísticas, consulta Grupos y tipos de estadísticas.

Network Analyzer detecta la configuración de ip-masq-agent y la compara con los rangos CIDR de Pod del clúster.

Falta parte del rango CIDR de Pod en el ConfigMap

Parece que el ConfigMap para la configuración de ip-masq-agent implementada en tu clúster de GKE no incluye los rangos de CIDR de Pods. Esto se corresponde con el siguiente mensaje de advertencia: nonMasqueradeCIDRs del mapa de configuración de ip-masq-agent del clúster no cubre por completo los rangos CIDR de Pod. Esto significa que el tráfico en el clúster entre los Pods usa la dirección IP del nodo de origen para la traducción de direcciones de red de origen (SNAT), lo que puede generar problemas de conectividad cuando hay un firewall o una política de red.

Esta estadística incluye la siguiente información:

  • ip-masq-agent ConfigMap: Es el ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: Es el campo que especifica una lista de rangos de direcciones IP de destino en formato CIDR para los que se inhabilita la SNAT de direcciones IP de origen.
  • CIDR de Pod: El rango CIDR de Pod es un bloque dedicado de direcciones IP que se reservan exclusivamente para asignar direcciones IP únicas a los Pods del clúster. Cada Pod que se ejecuta en el clúster recibe su propia dirección IP de este rango, lo que permite la comunicación de red.

Para obtener más información, consulta Agente de enmascaramiento de IP y Configura un agente de enmascaramiento de IP en clústeres estándar.

Recomendaciones

Verifica el valor del CIDR de Pod asignado al clúster y edita el ConfigMap ip-masq-agent para incluir todos los rangos CIDR de Pod en el campo nonMasqueradeCIDRs. Incluir los rangos CIDR de Pod ayuda a garantizar que el tráfico en el clúster no esté sujeto al enmascaramiento de IP.

Falta parte del rango CIDR de Pod en ConfigMap y la SNAT predeterminada está inhabilitada

La SNAT predeterminada está inhabilitada en tu clúster de GKE debido a la marca --disable-default-snat=true, y la configuración ip-masq-agent implementada por el usuario administra las reglas de enmascaramiento de IP. Es posible que tu configuración personalizada para el ConfigMap de ip-masq-agent no incluya de forma correcta los rangos CIDR de Pod. Esto corresponde al siguiente mensaje de advertencia: nonMasqueradeCIDRs del mapa de configuración ip-masq-agent del clúster no cubre por completo los rangos CIDR de Pod y la marca disable-default-snat se establece como verdadera. Como resultado, es posible que el tráfico de Pod no se enmascare correctamente según la política prevista.

Esta estadística incluye la siguiente información:

  • ip-masq-agent ConfigMap: Es el ConfigMap del componente ip-masq-agent.
  • nonMasqueradeCIDRs: Es el campo que especifica una lista de rangos de direcciones IP de destino en formato CIDR para los que se inhabilita la SNAT de direcciones IP de origen.
  • CIDR de Pod: El rango CIDR de Pod es un bloque dedicado de direcciones IP que se reservan exclusivamente para asignar direcciones IP únicas a los Pods del clúster. Cada Pod que se ejecuta en el clúster recibe su propia dirección IP de este rango, lo que permite la comunicación de red.
  • custom config: La configuración personalizada para el ConfigMap ip-masq-agent anula la lista predeterminada de nonMasqueradeCIDRs. Tu configuración personalizada reemplaza por completo los rangos predeterminados que proporciona el agente.
  • Marca disable-default-snat: La marca --disable-default-snat cambia el comportamiento predeterminado de SNAT de GKE para que las direcciones IP del Pod de origen se conserven para los paquetes enviados a todos los destinos.

Para obtener más información, consulta Agente de enmascaramiento de IP y Configura un agente de enmascaramiento de IP en clústeres estándar.

Recomendaciones

Verifica el valor de la CIDR de pod y la configuración personalizada asignadas al clúster. Edita el ConfigMap ip-masq-agent para incluir todos los rangos CIDR de Pod en el campo nonMasqueradeCIDRs. Incluir los rangos CIDR de Pod ayuda a garantizar que el tráfico en el clúster no esté sujeto al enmascaramiento de IP.