Insights de configuração de mascaramento de IP do GKE

Esta página descreve insights do Network Analyzer sobre a configuração de mascaramento de IP do Google Kubernetes Engine (GKE). Para obter informações sobre todos os tipos de insight, consulte Grupos e tipos de insights.

O Network Analyzer detecta a configuração de ip-masq-agent e a compara com os intervalos CIDR do pod do cluster.

Parte do intervalo CIDR do pod está ausente no ConfigMap

O ConfigMap da configuração de ip-masq-agent implantada no seu cluster do GKE parece estar sem os intervalos CIDR do pod. Isso corresponde à seguinte mensagem de alerta: O nonMasqueradeCIDRs do mapa de configuração de ip-masq-agent do cluster não abrange totalmente os intervalos CIDR do pod. Isso significa que o tráfego intracluster entre os pods usa o endereço IP do nó de origem para a conversão de endereços de rede de origem (SNAT), o que pode causar problemas de conectividade quando um firewall ou uma política de rede está em vigor.

Esse insight inclui as seguintes informações:

  • ip-masq-agent ConfigMap: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais a SNAT de endereço IP de origem está desativada.
  • CIDR do pod: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservados exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Cada pod executado no cluster recebe um endereço IP próprio desse intervalo, o que permite a comunicação de rede.

Para obter mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod atribuído ao cluster, e edite o ConfigMap de ip-masq-agent para incluir todos os intervalos CIDR do pod no campo nonMasqueradeCIDRs. Incluir os intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito ao mascaramento de IP.

Parte do intervalo CIDR do pod está ausente no ConfigMap e a SNAT padrão está desativada

A SNAT padrão está desativada no cluster do GKE devido à flag --disable-default-snat=true, e a configuração de ip-masq-agent autoimplantada está gerenciando regras de mascaramento de IP. Pode ser que sua configuração personalizada para o ConfigMap do ip-masq-agent não inclua os intervalos CIDR do pod de forma adequada. Isso corresponde à seguinte mensagem de alerta: O nonMasqueradeCIDRs do mapa de configuração de ip-masq-agent do cluster não abrange totalmente os intervalos CIDR do pod, e a flag disable-default-snat está definida como true. Isso pode fazer com que o tráfego do pod não seja mascarado corretamente de acordo com a política pretendida.

Esse insight inclui as seguintes informações:

  • ip-masq-agent ConfigMap: o ConfigMap do componente ip-masq-agent.
  • nonMasqueradeCIDRs: o campo que especifica uma lista de intervalos de endereços IP de destino no formato CIDR para os quais a SNAT de endereço IP de origem está desativada.
  • CIDR do pod: o intervalo CIDR do pod é um bloco dedicado de endereços IP reservados exclusivamente para atribuir endereços IP exclusivos a pods no cluster. Cada pod executado no cluster recebe um endereço IP próprio desse intervalo, o que permite a comunicação de rede.
  • Configuração personalizada: a configuração personalizada do ConfigMap ip-masq-agent substitui a lista padrão de nonMasqueradeCIDRs. Sua configuração personalizada substitui totalmente os intervalos padrão fornecidos pelo agente.
  • Flag disable-default-snat: a flag --disable-default-snat muda o comportamento padrão da SNAT do GKE para que os endereços IP de origem do pod sejam preservados nos pacotes enviados a todos os destinos.

Para obter mais informações, consulte Agente de mascaramento de IP e Como configurar um agente de mascaramento de IP em clusters padrão.

Recomendações

Verifique o valor do CIDR do pod e da configuração personalizada atribuídos ao cluster. Edite o ConfigMap de ip-masq-agent para incluir todos os intervalos CIDR do pod no campo nonMasqueradeCIDRs. Incluir os intervalos CIDR do pod ajuda a garantir que o tráfego no cluster não esteja sujeito ao mascaramento de IP.