После обновления мастера GKE исходящий трафик c в туннеле IPSe c поступает из диапазона IP-адресов модуля, а не из диапазона IP-адресов узла.

Question

Особая проблема возникла у нас после обновления мастера в одном из наших кластеров GKE.

В одной сети настроено несколько туннелей IPSe c. До этого IP-адреса исходящих запросов находились в диапазоне 10.164.0.0/16, который является диапазоном IP-адресов узлов.

После обновления все исходящие трафики c внезапно оказываются в 10.56.0.0. Диапазон / 14, который является диапазоном IP-адресов наших модулей.

Поскольку брандмауэры нескольких внешних поставщиков настроены специально для 10.164.0.0/16, это крайне разрушительно.

Есть ли какие-либо способ вернуть это обратно к использованию IP-адресов узлов для исходящего трафика c вместо IP-адресов pod?

Answer 1

Я решил это благодаря замечанию, оставленному в первом комментарии к моему вопросу.

Оказалось, что между 1.14 и 1.15 изменилось либо поведение ip-masq-agent по умолчанию, либо все был удален.

После установки и настройки ip-masq-agent согласно этому сайту - https://cloud.google.com/kubernetes-engine/docs/how-to/ip-masquerade-agent - все вернулось в норму.

В частности, мне пришлось принять конфигурацию по умолчанию и опустить один диапазон IP-адресов, который был проблематичным c на другом конце туннеля IPSe c.