プロファイル適用性: レベル1
ノードネットワークCIDR範囲のエイリアスIPを作成して、その後、ポッドのIPベースのポリシーとファイアウォールを設定します。エイリアスIPを使用するクラスターは、VPCネイティブクラスターと呼ばれます。
エイリアスIPの使用にはいくつかの利点があります:
- Pod IPはネットワーク内で事前に予約されており、他のコンピュートリソースとの競合を防ぎます。
- ネットワーキング層は、送信トラフィックが任意の送信元IPで送信されないようにするために、アンチスプーフィングチェックを実行できます。
- Podのファイアウォール制御は、ノードとは別に適用できます。
- エイリアスIPは、PodがNATゲートウェイを使用せずにホストされたサービスに直接アクセスすることを可能にします。
 |
注意デフォルトでは、Google Cloud Consoleで新しいクラスターを作成する際にVPCネイティブ (エイリアスIPを使用) が有効になっていますが、gcloud
CLIを使用して新しいクラスターを作成する場合は、
--enable-ip-alias引数を指定しない限り無効になっています。 |
影響
現在、Podルーティングにルートを使用している既存のクラスターをAlias IPを使用するクラスターに移行することはできません。
クラスター内のサービスのクラスターIPは、クラスター内からのみ利用可能です。VPC内からクラスター外のKubernetesサービスにアクセスしたい場合は、内部ロードバランサーを使用してください。
監査
Google Cloudコンソールを使用する:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- クラスタの一覧から、目的のクラスタをクリックして詳細ページを開きます。
- ネットワーキングセクションで、VPCネイティブトラフィックルーティングが
Enabledに設定されていることを確認してください。
コマンドラインの使用:
既存のクラスターでエイリアスIPが有効になっているか確認するには、次のコマンドを実行します。
gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.ipAllocationPolicy.useIpAliases'
上記のコマンドの出力は、VPCネイティブ (エイリアスIP使用) が有効になっている場合、
trueを返します。VPCネイティブ (エイリアスIP使用) が無効になっている場合、上記のコマンドはnull ({ }) を返します。修復
既存のクラスターではエイリアスIPを有効にすることはできません。エイリアスIPを使用して新しいクラスターを作成するには、以下の手順に従ってください。
Google Cloudコンソールを使用する:
標準構成モードを使用する場合:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- [CREATE CLUSTER]をクリックし、標準構成モードを選択します。
- クラスターを希望の設定に構成した後、ナビゲーションペインのCLUSTERの下にある[Networking]をクリックしてください。
- VPCネイティブセクションでは、VPCネイティブ (エイリアスIPを使用) を有効にするを選択したままにします。
- [作成] をクリックします。
Autopilot構成モードを使用する場合:
|
注意これはVPCネイティブ専用であり、無効にすることはできません。
|
- Kubernetes Engine のウェブサイトにアクセスしてください。
- [CREATE CLUSTER]をクリックし、Autopilot構成モードを選択します。
- クラスターを必要に応じて構成してください。
- [作成] をクリックします。
新しいクラスターでエイリアスIPを有効にするには、次のコマンドを実行します。
gcloud container clusters create <cluster_name> --zone <compute_zone> --enable-ip-alias
Autopilot構成モードを使用する場合:
gcloud container clusters create-auto <cluster_name> --zone <compute_zone>