Ansichten:
Profilanwendbarkeit: Stufe 1
Erstellen Sie Alias-IPs für den CIDR-Bereich des Knotennetzwerks, um anschließend IP-basierte Richtlinien und Firewalling für Pods zu konfigurieren. Ein Cluster, der Alias-IPs verwendet, wird als VPC-nativer Cluster bezeichnet.
Die Verwendung von Alias-IP-Adressen bietet mehrere Vorteile:
  • Pod-IPs werden im Netzwerk im Voraus reserviert, um Konflikte mit anderen Rechenressourcen zu vermeiden.
  • Die Netzwerkschicht kann Anti-Spoofing-Prüfungen durchführen, um sicherzustellen, dass ausgehender Datenverkehr nicht mit beliebigen Quell-IP-Adressen gesendet wird.
  • Firewall-Steuerungen für Pods können unabhängig von ihren Knoten angewendet werden.
  • Alias-IPs ermöglichen Pods den direkten Zugriff auf gehostete Dienste, ohne ein NAT-Gateway zu verwenden.
Hinweis
Hinweis
Standardmäßig ist VPC-nativ (unter Verwendung von Alias-IP) aktiviert, wenn Sie einen neuen Cluster in der Google Cloud Console erstellen. Dies ist jedoch deaktiviert, wenn Sie einen neuen Cluster mit der gcloud CLI erstellen, es sei denn, das Argument --enable-ip-alias wird angegeben.

Auswirkung

Derzeit können Sie einen bestehenden Cluster, der Routen für die Pod-Routing verwendet, nicht zu einem Cluster migrieren, der Alias-IPs verwendet.
Cluster-IP-Adressen für interne Dienste sind nur innerhalb des Clusters verfügbar. Wenn Sie auf einen Kubernetes-Dienst innerhalb des VPC, aber außerhalb des Clusters zugreifen möchten, verwenden Sie einen internen Load-Balancer.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie in der Liste der Cluster auf den gewünschten Cluster, um die Detailseite zu öffnen.
  3. Stellen Sie im Abschnitt Netzwerk sicher, dass das VPC-native Traffic-Routing auf Enabled eingestellt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob Alias-IP für einen bestehenden Cluster aktiviert ist, führen Sie den folgenden Befehl aus:
gcloud container clusters describe <cluster_name> --zone <compute_zone> 
--format json | jq '.ipAllocationPolicy.useIpAliases'
Die Ausgabe des obigen Befehls sollte true zurückgeben, wenn VPC-nativ (mit Alias-IP) aktiviert ist. Wenn VPC-nativ (mit Alias-IP) deaktiviert ist, gibt der obige Befehl null ({ }) zurück.

Wiederherstellung

Alias-IPs können auf einem bestehenden Cluster nicht aktiviert werden. Um einen neuen Cluster mit Alias-IPs zu erstellen, folgen Sie den untenstehenden Anweisungen.
Verwendung der Google Cloud Console:
Wenn der Standardkonfigurationsmodus verwendet wird:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie auf CREATE CLUSTER und wählen Sie den Standardkonfigurationsmodus aus.
  3. Konfigurieren Sie Ihren Cluster nach Wunsch und klicken Sie dann im Navigationsbereich unter CLUSTER auf Networking.
  4. Im Abschnitt VPC-nativ lassen Sie VPC-nativ aktivieren (unter Verwendung von Alias-IP) ausgewählt.
  5. Klicken Sie auf CREATE.
Wenn der Autopilot-Konfigurationsmodus verwendet wird:
Hinweis
Hinweis
Dies ist nur VPC-nativ und kann nicht deaktiviert werden.
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie auf CREATE CLUSTER und wählen Sie den Autopilot-Konfigurationsmodus aus.
  3. Konfigurieren Sie Ihren Cluster nach Bedarf.
  4. Klicken Sie auf CREATE.
Verwenden der Befehlszeile Um Alias-IP auf einem neuen Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
 gcloud container clusters create <cluster_name> --zone <compute_zone> --enable-ip-alias
Wenn der Autopilot-Konfigurationsmodus verwendet wird:
gcloud container clusters create-auto <cluster_name> --zone <compute_zone>