Tôi phải định cấu hình IP tĩnh ở một trong các POD của mình vì dịch vụ từ xa (bên ngoài cụm của tôi) yêu cầu danh sách trắng IP đáng tin cậy.
Tôi đã làm theo tài liệu do Google cung cấp:
https://cloud.google.com/nat/docs/overview?hl=es-419
https://cloud.google.com/kubernetes-engine/docs/how-to/ip-masquerade-agent
Nhưng khi cố gắng định cấu hình lưu lượng truy cập bằng cách sử dụng dịch vụ NAT trên đám mây của Google trong cụm GKE của tôi cộng với giả mạo bằng cách sử dụng đại lý ip-masq Tôi bắt đầu hết thời gian chờ và gặp sự cố khi truy cập các dịch vụ từ xa bên ngoài cụm.
Cụm của tôi đang ở phiên bản 1.19.10-gke.1600.
Tôi đã thử các tệp cấu hình này với kết quả như sau:
resyncInterval: 60s
Kết quả:
Chuỗi IP-MASQ (2 tài liệu tham khảo)
đích prot opt nguồn đích
TRẢ LẠI tất cả -- bất kỳ đâu 10.0.0.0/8 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất kỳ đâu 172.16.0.0/12 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 192.168.0.0/16 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
MASQUERADE tất cả -- mọi nơi mọi nơi /* ip-masq-agent: lưu lượng truy cập đi là phụ
đề cập đến MASQUERADE (phải là người cuối cùng trong chuỗi) */
Các dịch vụ tiếp tục sử dụng sai IP.
resyncInterval: 60s
masqLinkLocal: đúng
Chuỗi IP-MASQ (2 tài liệu tham khảo)
đích prot opt nguồn đích
TRẢ LẠI tất cả -- bất kỳ đâu 169.254.0.0/16 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất kỳ đâu 10.0.0.0/8 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất kỳ đâu 172.16.0.0/12 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 192.168.0.0/16 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
MASQUERADE tất cả -- mọi nơi mọi nơi /* ip-masq-agent: lưu lượng truy cập đi là phụ
đề cập đến MASQUERADE (phải là người cuối cùng trong chuỗi) */
Hiệu ứng tương tự, các dịch vụ bên ngoài của tôi nhận sai IP.
nonMasqueradeCIDRs:
- 0.0.0.0/0
resyncInterval: 60s
masqLinkLocal: đúng
Chuỗi IP-MASQ (2 tài liệu tham khảo)
đích prot opt nguồn đích
TRẢ LẠI tất cả -- mọi nơi mọi nơi /* ip-masq-agent: lưu lượng truy cập cục bộ không phụ
từ chối MASQUERADE */
MASQUERADE tất cả -- mọi nơi mọi nơi /* ip-masq-agent: lưu lượng truy cập đi là phụ
đề cập đến MASQUERADE (phải là người cuối cùng trong chuỗi) */
Có vẻ như điều này hoạt động tốt hơn vì các dịch vụ bên ngoài nhận được đúng IP nhưng tôi gặp sự cố kết nối và hết thời gian chờ.
Đây là cấu hình NAT của tôi:
lập bản đồ NAT
- Tính khả dụng cao: Có
- Mạng con nguồn & dải IP: Tất cả dải IP chính và phụ của mạng con
- Địa chỉ IP NAT: static-egress-ip XXX.XXX.XXX.XXX
Tôi hết ý tưởng, ai đó có thể cho tôi lời khuyên không?
Sau khi có phản hồi ở đây, tôi đã cập nhật tệp cấu hình của mình để thêm ips theo tài liệu đám mây của Google, tệp sẽ như sau:
nonMasqueradeCIDRs:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 100.64.0.0/10
- 192.0.0.0/24
- 192.0.2.0/24
- 192.88.99.0/24
- 198.18.0.0/15
- 198.51.100.0/24
- 203.0.113.0/24
- 240.0.0.0/4
resyncInterval: 60s
masqLinkLocal: đúng
Kết quả của việc này trong iptables là:
Chuỗi IP-MASQ (2 tài liệu tham khảo)
đích prot opt nguồn đích
TRẢ LẠI tất cả -- bất kỳ đâu 10.0.0.0/8 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất kỳ đâu 172.16.0.0/12 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 192.168.0.0/16 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất kỳ đâu 100.64.0.0/10 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 192.0.0.0/24 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 192.0.2.0/24 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 192.88.99.0/24 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 198.18.0.0/15 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 198.51.100.0/24 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 203.0.113.0/24 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
TRẢ LẠI tất cả -- bất cứ đâu 240.0.0.0/4 /* ip-masq-agent: lưu lượng cục bộ không phụ
từ chối MASQUERADE */
MASQUERADE tất cả -- mọi nơi mọi nơi /* ip-masq-agent: lưu lượng truy cập đi là phụ
đề cập đến MASQUERADE (phải là người cuối cùng trong chuỗi) */
Nhưng nếu tôi chạy một curl checkip.amazonaws.com để xem nút nào đang được nút sử dụng, tôi lấy một IP khác với IP được xác định trong cấu hình NAT Cloud của tôi và các dịch vụ bên ngoài từ chối yêu cầu là không đáng tin cậy từ cụm của tôi.
