שימוש במדיניות Egress NAT להגדרת מיסוך כתובות IP באשכולות Autopilot

בדף הזה מוסבר איך להגדיר אשכולות שנוצרו במצב Autopilot של Google Kubernetes Engine‏ (GKE) כדי לבצע הסוואת כתובות IP באמצעות מדיניות NAT ליציאה.

מידע נוסף על הסתרת כתובות IP במצב GKE רגיל זמין במאמר בנושא הגדרת סוכן להסתרת כתובות IP.

סקירה כללית

מדיניות NAT ליציאה ב-GKE מאפשרת להגדיר את התנהגות הסתרת ה-IP באשכולות Autopilot.

‫GKE תומך בשתי מדיניות NAT ליציאה שנוצרות באופן אוטומטי:

  • מנוהלים על ידי GKE, הם קבועים ואי אפשר לערוך אותם.
  • מדיניות ברירת מחדל שאפשר לערוך.

בדף הזה מוסבר איך לערוך ולפרוס מדיניות Egress NAT. אפשר לערוך את מדיניות ברירת המחדל או ליצור מדיניות Egress NAT. בדף הזה מוסבר גם איך למחוק מדיניות NAT ליציאה שנוצרה.

מידע נוסף על התנהגות המדיניות של NAT תעבו��ת נתונים יוצאת (egress) זמין במאמר התנהגות של הסתרת תנועה באשכולות של Autopilot.

לפני שמתחילים

לפני שמתחילים, חשוב לוודא שביצעתם את הפעולות הבאות:

  • מפעילים את ממשק ה-API של Google Kubernetes Engine.
  • הפעלת Google Kubernetes Engine API
  • אם רוצים להשתמש ב-CLI של Google Cloud למשימה הזו, צריך להתקין ואז להפעיל את ה-CLI של gcloud. אם התקנתם בעבר את ה-CLI של gcloud, מריצים את הפקודה gcloud components update כדי לקבל את הגרסה העדכנית. יכול להיות שגרסאות קודמות של ה-CLI של gcloud לא יתמכו בהרצת הפקודות שמופיעות במסמך הזה.

בדיקת הסטטוס של מדיניות Egress NAT

אתם יכולים לבדוק אם באשכול שלכם מופעלת הגדרת משאב מותאם אישית (CRD) של מדיניות Egress NAT באמצעות הכלי Google Cloud CLI:

  1. מקבלים את פרטי הכניסה לאשכול:

    gcloud container clusters get-credentials CLUSTER-NAME
    

    מחליפים את CLUSTER_NAME בשם האשכול.

  2. בודקים אם מדיניות Egress NAT פועלת:

    kubectl get crds egressnatpolicies.networking.gke.io
    

    אם מדיניות NAT ליציאה פועלת, הפלט דומה לזה:

     NAME                                  CREATED AT
     egressnatpolicies.networking.gke.io   2022-03-16T21:05:43Z
    
  3. מקבלים את רשימת כללי המדיניות של NAT ליציאה שנוצרו:

    kubectl get egressnatpolicies
    

    הפלט אמור להיראות כך:

      NAME             AGE
      default          44h
      gke-bbfa6c0e-1   44h
    

עריכה של מדיניות ברירת המחדל הקיימת

‫GKE תומך בשני כללי מדיניות NAT שנוצרים באופן אוטומטי: default policy ו-managed by GKE policy. מדיניות ברירת המחדל ניתנת לעריכה, והיא מגדירה את יעדי ברירת המחדל שלא מוסתרים.

כדי לערוך את מדיניות ברירת המחדל הקיימת, מבצעים את השלבים הבאים:

  1. מקבלים את פרטי הכניסה לאשכול:

    gcloud container clusters get-credentials CLUSTER_NAME
    

    מחליפים את CLUSTER_NAME בשם האשכול.

  2. עורכים את מדיניות ברירת המחדל של Egress NAT:

    kubectl edit egressnatpolicies default
    
  3. להוסיף או להסיר יעדים ב��מצעות הפעולה NoSNAT בתור מאפיין cidr בפורמט CIDR:

      apiVersion: networking.gke.io/v1
      kind: EgressNATPolicy
      metadata:
        name: default
      spec:
        action: NoSNAT
        destinations:
        - cidr:  10.0.0.0/8
        - cidr:  172.16.0.0/12
        - cidr:  192.168.0.0/16
        - cidr:  240.0.0.0/4
        - cidr:  192.0.2.0/24
        - cidr:  198.51.100.0/24
        - cidr:  203.0.113.0/24
        - cidr:  100.64.0.0/10
        - cidr:  198.18.0.0/15
        - cidr:  192.0.0.0/24
        - cidr:  192.88.99.0/24
    

    כשמנות נשלחות ליעדים האלה, האשכול לא מסווה את כתובות ה-IP של המקורות ושומר על כתובות ה-IP של הפודים המקוריים.

  4. כדי לוודא שפריסת מדיניות ברירת המחדל הערוכה בוצעה, בודקים את האירועים ב-Kubernetes:

    kubectl get events
    

    הפלט אמור להיראות כך:

    LAST SEEN   TYPE     REASON           OBJECT                    MESSAGE
    13s         Normal   EnsuringPolicy   egressnatpolicy/default   Ensuring IP masquerade config for policy "default"
    

    יכול להיות שיחלפו עד שלוש דקות עד שהשינויים ייכנסו לתוקף.

פריסת מדיניות חדשה של Egress NAT

כדי להוסיף יעדים חדשים באמצעות הפעולה NoSNAT, אפשר להשתמש באחת מהאפשרויות הבאות:

כדי ליצור מדיניות חדשה של NAT ליציאה שלא נכללת במדיניות ברירת המחדל, מבצעים את השלבים הבאים:

  1. שומרים את קובץ המניפסט הבא בשם egress_nat_policy.yaml:

    kind: EgressNATPolicy
    apiVersion: networking.gke.io/v1
    metadata:
      name: POLICY_NAME
    spec:
      action: NoSNAT
      destinations:
      - cidr: CIDR_1
      - cidr: CIDR_2
    

    מחליפים את מה שכתוב בשדות הבאים:

    • POLICY_NAME: השם של המדיניות החדשה.
    • CIDR_1 ו-CIDR_2: טווחי כתובות ה-IP בפורמט CIDR. כשמנות נשלחות ליעדים האלה, האשכול לא מסווה את כתובות ה-IP של מקורות ושומר על כתובות ה-IP של ה-Pod המקורי. אם אתם צריכים יותר משני CIDR, מוסיפים עוד רשומות לרשימה destinations באותו פורמט.
  2. פורסים את המדיניות החדשה:

    kubectl create -f egress_nat_policy.yaml
    
  3. כדי לוודא ש��מדיניות נפרסה, בודקים את האירועים ב-Kubernetes:

    kubectl get events
    

    הפלט אמור להיראות כך:

    LAST SEEN   TYPE     REASON           OBJECT                              MESSAGE
    13s         Normal   EnsuringPolicy   egressnatpolicy/mypolicy            Ensuring IP masquerade config for policy "mypolicy"
    

מחיקת מדיניות Egress NAT

כדי למחוק לחלוטין מדיניות Egress NAT, מריצים את הפקודה הבאה:

kubectl delete egressnatpolicies POLICY_NAME

מחליפים את POLICY_NAME בשם המדיניות שרוצים למחוק.

המאמרים הבאים