IP 伪装代理用户指南
此页面展示如何配置和启用 ip-masq-agent。
准备工作
你需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具已配置为与你的集群通信。 建议你在至少有两个不作为控制平面主机的节点的集群上运行本教程。 如果你还没有集群,可以使用 minikube 创建一个,或者使用这些 Kubernetes 游乐场之一
要检查版本,请输入 kubectl version。
IP 伪装代理用户指南
ip-masq-agent 配置 iptables 规则,将 Pod 的 IP 地址隐藏在集群节点的 IP 地址后面。 这通常发生在向集群 Pod CIDR 范围之外的目标发送流量时。
关键术语
- NAT (网络地址转换):一种通过修改 IP 头中的源和/或目标地址信息,将一个 IP 地址重新映射到另一个 IP 地址的方法。通常由执行 IP 路由的设备执行。
- 伪装 (Masquerading):NAT 的一种形式,通常用于执行多对一的地址转换,其中多个源 IP 地址被隐藏在单个地址后面,该地址通常是执行 IP 路由的设备。在 Kubernetes 中,这是节点的 IP 地址。
- CIDR (无类别域间路由):基于可变长度子网掩码,允许指定任意长度的前缀。CIDR 引入了一种新的 IP 地址表示方法,现在通常称为 CIDR 表示法,其中地址或路由前缀带有一个后缀,指示前缀的位数,例如 192.168.2.0/24。
- 链路本地:链路本地地址是一种仅在主机所连接的网络段或广播域内进行通信才有效的网络地址。IPv4 的链路本地地址以 CIDR 表示法定义在地址块 169.254.0.0/16 中。
ip-masq-agent 配置 iptables 规则来处理将流量发送到集群节点 IP 和集群 IP 范围之外的目标时进行节点/Pod IP 地址伪装。这实质上隐藏了 Pod 的 IP 地址,使其隐藏在集群节点的 IP 地址后面。在某些环境中,流向“外部”地址的流量必须来自一个已知的机器地址。例如,在 Google Cloud 中,所有流向互联网的流量都必须来自 VM 的 IP。当使用容器时(如在 Google Kubernetes Engine 中),Pod IP 将被拒绝用于出口。为了避免这种情况,我们必须将 Pod IP 隐藏在 VM 自己的 IP 地址后面——通常称为“伪装”。默认情况下,该代理被配置为将 RFC 1918 指定的三个私有 IP 范围视为非伪装 CIDR。这些范围是 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16。代理还会默认将链路本地 (169.254.0.0/16) 视为非伪装 CIDR。该代理配置为每 60 秒从 /etc/config/ip-masq-agent 位置重新加载其配置,这也是可配置的。
代理配置文件必须以 YAML 或 JSON 语法编写,并且可能包含三个可选键
nonMasqueradeCIDRs:以 CIDR 表示法指定非伪装范围的字符串列表。masqLinkLocal:一个布尔值 (true/false),指示是否伪装到链路本地前缀169.254.0.0/16的流量。默认为 false。resyncInterval:代理尝试从磁盘重新加载配置的时间间隔。例如:“30s”,其中“s”表示秒,“ms”表示毫秒。
发往 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16 范围的流量将不会被伪装。任何其他流量(假定为互联网流量)将被伪装。来自 Pod 的本地目标的示例可以是其节点的 IP 地址以及另一个节点的地址或集群 IP 范围中的一个 IP 地址。任何其他流量将默认被伪装。以下条目显示了 ip-masq-agent 应用的默认规则集
iptables -t nat -L IP-MASQ-AGENT
target prot opt source destination
RETURN all -- anywhere 169.254.0.0/16 /* ip-masq-agent: cluster-local traffic should not be subject to MASQUERADE */ ADDRTYPE match dst-type !LOCAL
RETURN all -- anywhere 10.0.0.0/8 /* ip-masq-agent: cluster-local traffic should not be subject to MASQUERADE */ ADDRTYPE match dst-type !LOCAL
RETURN all -- anywhere 172.16.0.0/12 /* ip-masq-agent: cluster-local traffic should not be subject to MASQUERADE */ ADDRTYPE match dst-type !LOCAL
RETURN all -- anywhere 192.168.0.0/16 /* ip-masq-agent: cluster-local traffic should not be subject to MASQUERADE */ ADDRTYPE match dst-type !LOCAL
MASQUERADE all -- anywhere anywhere /* ip-masq-agent: outbound traffic should be subject to MASQUERADE (this match must come after cluster-local CIDR matches) */ ADDRTYPE match dst-type !LOCAL
默认情况下,在 GCE/Google Kubernetes Engine 中,如果启用了网络策略或者你使用的集群 CIDR 不在 10.0.0.0/8 范围内,ip-masq-agent 将在你的集群中运行。 如果你在其他环境中运行,可以将 ip-masq-agent DaemonSet 添加到你的集群中。
创建 ip-masq-agent
要创建 ip-masq-agent,请运行以下 kubectl 命令
kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/ip-masq-agent/master/ip-masq-agent.yaml
你还必须将适当的节点标签应用于集群中你希望代理运行的任何节点。
kubectl label nodes my-node node.kubernetes.io/masq-agent-ds-ready=true
更多信息请参见 ip-masq-agent 文档 此处。
在大多数情况下,默认的规则集应该足够了;但是,如果你的集群不是这种情况,你可以创建一个 ConfigMap 并应用它来定制受影响的 IP 范围。 例如,要只允许 ip-masq-agent 考虑 10.0.0.0/8,你可以在名为“config”的文件中创建以下 ConfigMap。
注意
重要的是该文件名为 config,因为默认情况下,它将被 ip-masq-agent 用作查找键。
nonMasqueradeCIDRs:
- 10.0.0.0/8
resyncInterval: 60s
运行以下命令将 ConfigMap 添加到你的集群中
kubectl create configmap ip-masq-agent --from-file=config --namespace=kube-system
这将更新位于 /etc/config/ip-masq-agent 的文件,该文件会每隔 resyncInterval 定期检查并应用于集群节点。 在重新同步间隔到期后,你应该会看到 iptables 规则反映了你的更改
iptables -t nat -L IP-MASQ-AGENT
Chain IP-MASQ-AGENT (1 references)
target prot opt source destination
RETURN all -- anywhere 169.254.0.0/16 /* ip-masq-agent: cluster-local traffic should not be subject to MASQUERADE */ ADDRTYPE match dst-type !LOCAL
RETURN all -- anywhere 10.0.0.0/8 /* ip-masq-agent: cluster-local
MASQUERADE all -- anywhere anywhere /* ip-masq-agent: outbound traffic should be subject to MASQUERADE (this match must come after cluster-local CIDR matches) */ ADDRTYPE match dst-type !LOCAL
默认情况下,链路本地范围 (169.254.0.0/16) 也由 ip-masq 代理处理,该代理设置适当的 iptables 规则。 要让 ip-masq-agent 忽略链路本地,你可以在 ConfigMap 中将 masqLinkLocal 设置为 true。
nonMasqueradeCIDRs:
- 10.0.0.0/8
resyncInterval: 60s
masqLinkLocal: true