プロファイル適用性: レベル1
ノードネットワークCIDR範囲にエイリアスIPを作成し、その後ポッドのIPベースのポリシーとファイアウォールを設定します。エイリアスIPを使用するクラスターはVPCネイティブクラスターと呼ばれます。
エイリアスIPの使用にはいくつかの利点があります。
- ネットワーク内で事前にPod IPが予約されているため、他のコンピュートリソースとの競合を防ぎます。
- ネットワーキング層は、出力トラフィックが任意の送信元IPで送信されないようにするために、アンチスプーフィングチェックを実行できます。
- Podのファイアウォール制御は、ノードとは別に適用できます。
- エイリアスIPは、PodがNATゲートウェイを使用せずにホストされたサービスに直接アクセスすることを可能にします。
 |
注意デフォルトでは、Google Cloud Consoleで新しいクラスターを作成する際にVPCネイティブ (エイリアスIP使用) が有効になっていますが、gcloud
CLIを使用して新しいクラスターを作成する場合は、
--enable-ip-alias引数が指定されない限り無効になっています。 |
影響
既存のクラスターでPodルーティングにルートを使用している場合、Alias IPを使用するクラスターに移行することは現在できません。
内部サービスのクラスタIPはクラスタ内からのみ利用可能です。VPC内でクラスタ外からKubernetesサービスにアクセスしたい場合は、内部ロードバランサーを使用してください。
監査
Google Cloud Consoleを使用する:
- Kubernetes Engine websiteに移動します。
- クラスタのリストから、目的のクラスタをクリックして詳細ページを開きます。
- ネットワーキングセクションで、VPCネイティブトラフィックルーティングが
Enabledに設定されていることを確認してください。
コマンドラインを使用する:
既存のクラスターでエイリアスIPが有効になっているか確認するには、次のコマンドを実行してください。
gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.ipAllocationPolicy.useIpAliases'
上記のコマンドの出力は、VPCネイティブ (エイリアスIP使用) が有効になっている場合、
trueを返す必要があります。VPCネイティブ (エイリアスIP使用) が無効になっている場合、上記のコマンドはnull ({ }) を返します。修復
既存のクラスターではエイリアスIPを有効にすることはできません。エイリアスIPを使用して新しいクラスターを作成するには、以下の手順に従ってください。
Google Cloud Consoleを使用する:
標準構成モードを使用する場合:
- Kubernetes Engine websiteに移動します。
- [CREATE CLUSTER]をクリックし、標準構成モードを選択します。
- クラスターを希望の設定に構成した後、ナビゲーションペインのCLUSTERの下にある[ネットワーキング]をクリックしてください。
- VPCネイティブセクションでは、VPCネイティブ (エイリアスIPを使用) を有効にするを選択したままにします。
- [作成] をクリックします。
Autopilot構成モードを使用する場合:
|
注意これはVPCネイティブ専用であり、無効にすることはできません。
|
- Kubernetes Engine websiteに移動します。
- [CREATE CLUSTER]をクリックし、Autopilot構成モードを選択します。
- 必要に応じてクラスターを設定します。
- [作成] をクリックします。
新しいクラスターでエイリアスIPを有効にするには、次のコマンドを実行します。
gcloud container clusters create <cluster_name> --zone <compute_zone> --enable-ip-alias
Autopilot構成モードを使用する場合:
gcloud container clusters create-auto <cluster_name> --zone <compute_zone>