Profilanwendbarkeit: Stufe 1
Erstellen Sie Alias-IPs für den CIDR-Bereich des Knotennetzwerks, um anschließend
IP-basierte Richtlinien und Firewalling für Pods zu konfigurieren. Ein Cluster, der
Alias-IPs verwendet, wird als VPC-nativer Cluster bezeichnet.
Die Verwendung von Alias-IP-Adressen bietet mehrere Vorteile:
- Pod-IP-Adressen werden im Voraus innerhalb des Netzwerks reserviert, um Konflikte mit anderen Rechenressourcen zu vermeiden.
- Die Netzwerkschicht kann Anti-Spoofing-Prüfungen durchführen, um sicherzustellen, dass ausgehender Datenverkehr nicht mit beliebigen Quell-IP-Adressen gesendet wird.
- Firewall-Steuerungen für Pods können unabhängig von ihren Knoten angewendet werden.
- Alias-IPs ermöglichen es Pods, direkt auf gehostete Dienste zuzugreifen, ohne ein NAT-Gateway zu verwenden.
 |
HinweisStandardmäßig ist VPC-nativ (unter Verwendung von Alias-IP) aktiviert, wenn Sie einen
neuen Cluster erstellen. Die Ausnahme sind Cluster, die vor GKE-Version 1.21.0-gke.1500
(September 2021) mit dem gcloud CLI ohne --enable-ip-alias erstellt wurden
|
Auswirkung
Derzeit können Sie einen bestehenden Cluster, der Routen für die Pod-Routing verwendet,
nicht zu einem Cluster migrieren, der Alias-IPs verwendet. Cluster-IPs für interne
Dienste sind nur innerhalb des Clusters verfügbar. Wenn Sie auf einen Kubernetes-Dienst
innerhalb der VPC, aber außerhalb des Clusters zugreifen möchten, verwenden Sie einen
internen Load-Balancer.
Prüfung
Verwendung der Google Cloud Console:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
- Klicken Sie in der Liste der Cluster auf den gewünschten Cluster, um die Detailseite zu öffnen.
- Stellen Sie im Abschnitt „Netzwerk“ sicher, dass die Option „
VPC-natives Traffic-Routing“ auf „Aktiviert“ gesetzt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob Alias-IP für einen bestehenden Cluster aktiviert ist, definieren
Sie zunächst 3 Variablen: Clustername, Standort und Projekt, und führen Sie dann den
folgenden Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --
project $PROJECT_ID --format json | jq '.ipAllocationPolicy.useIpAliases' { "useIpAliases": true } if VPC-native (using alias IP) is enabled. If VPC-native (using alias IP) is disabled, the above command will return null ({ }).
Die Ausgabe des obigen Befehls sollte Folgendes zurückgeben, wenn VPC-nativ (unter
Verwendung von Alias-IP) aktiviert ist:
{ "useIpAliases": true }
Wenn VPC-nativ (mit Alias-IP) deaktiviert ist, gibt der obige Befehl null (
{ }) zurück.Wiederherstellung
Alias-IPs können in einem bestehenden Cluster nicht aktiviert werden. Um einen neuen
Cluster mit Alias-IPs zu erstellen, folgen Sie den unten stehenden Anweisungen.
Verwendung der Google Cloud Console:
Wenn der Standardkonfigurationsmodus verwendet wird:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen
- Klicken Sie auf CLUSTER ERSTELLEN und wählen Sie den Standardkonfigurationsmodus aus.
- Konfigurieren Sie Ihren Cluster nach Wunsch und klicken Sie dann im Navigationsbereich unter CLUSTER auf Netzwerk.
- Im Abschnitt „VPC-nativ“ lassen Sie „VPC-nativ aktivieren (mit Alias-IP)“ ausgewählt
- Klicken Sie auf ERSTELLEN.
Verwendung der Befehlszeile
Um Alias-IP auf einem neuen Cluster zu aktivieren, führen Sie den folgenden Befehl
aus:
gcloud container clusters create <cluster_name> --location <location> -- enable-ip-alias