Trafic non apathé vers le cluster GKE depuis le réseau distant via VPN

(Suivi sur GKE pod se connectant via VPN? )

J'essaie de connecter un cluster GKE à un réseau distant à l'aide d'un GCE VPN à un Cisco ASA 5510. Ping à partir de GKE pod 10.248.0.26 -> nœud distant 10.99.193.115 arrive à 10.99.193.115 et l'ASA dit que la réponse d'écho va return dans le tunnel à GKE. Cependant, tcpdump sur 10.248.0.26 montre qu'aucune réponse n'apparaît.

Pare-feu et routing comme indiqué par Google Cloud Console:

Name Source tag / IP range Allowed protocols / ports Target tags default-allow-icmp 0.0.0.0/0 icmp Apply to all targets default-allow-internal 10.240.0.0/16 tcp:1-65535; udp:1-65535; icmp Apply to all targets default-allow-ssh 0.0.0.0/0 tcp:22 Apply to all targets gke-zecluster-d6cc7a55-all 10.248.0.0/14 tcp; udp; icmp; Apply to all targets gke-zecluster-d6cc7a55-ssh <public_ip>/32 tcp:22 gke-zecluster-d6cc7a55-node gke-zecluster-d6cc7a55-vms 10.240.0.0/16 tcp:1-65535; udp:1-65535; icmp gke-zecluster-d6cc7a55-node k8s-fw-a1a92183fb18e11e5be3442010af0001 0.0.0.0/0 tcp:80,443 gke-zecluster-d6cc7a55-node k8s-fw-a1aa3fe95b18e11e5be3442010af0001 0.0.0.0/0 tcp:2003 gke-zecluster-d6cc7a55-node Name Destination IP ranges Priority Instance tags Next hop default-route-3eed071cad0670e8 0.0.0.0/0 1000 None Default internet gateway default-route-7a9ddc4457c714a0 10.240.0.0/16 1000 None Virtual network gke-zecluster-d6cc7a55-7b61213c-b187-11e5-be34-42010af00015 10.248.0.0/24 1000 None gke-zecluster-d6cc7a55-node-j4jx (Zone ze-zone-1) gke-zecluster-d6cc7a55-7ec5f7a9-b187-11e5-be34-42010af00015 10.248.1.0/24 1000 None gke-zecluster-d6cc7a55-node-rluf (Zone ze-zone-1) vpn-1-tunnel-1-route-1 10.99.0.0/16 1000 None 

Y a-t-il une certaine connection que je peux activer pour voir ce qui se passe? Pour autant que je voie, le VPN ne dit rien de pertinent à propos de ce trafic, seulement:

 15:24:51.058 sending DPD request 15:24:51.058 generating INFORMATIONAL_V1 request 3069408857 [ HASH N(DPD) ] 15:24:51.058 sending packet: from <gce-vpn-ip>[500] to <asa-ip>[500] (92 bytes) 15:24:51.092 received packet: from <asa-ip>[500] to <gce-vpn-ip>[500] (92 bytes) 15:24:51.092 parsed INFORMATIONAL_V1 request 146600869 [ HASH N(DPD_ACK) ] 

Si je modifie le tunnel VPN (GCE VPN, ASA) pour que le réseau net par défaut 10.240.0.0/16 au trafic final GCE passe correctement dans les deux sens.

Je suppose que c'est un problème de routing, mais quoi? La route 10.248.0.0/24 ne devrait-elle pas envoyer le trafic vers le nœud GKE? Ou dois-je déclarer en quelque sorte le réseau GKE en tant que réseau?

2 Solutions collect form web for “Trafic non apathé vers le cluster GKE depuis le réseau distant via VPN”

Si l'adresse IP 10.248.0.26 appartient à un noeud GKE, alors, pour effectuer un ping entre le nœud GKE et votre nœud distant, vous devrez append une règle de pare-feu sur le réseau 10.248.0.26/24 pour autoriser le trafic entrant vers le nœud GKE ou toutes les cibles dans ce réseau à partir de votre source distante.

À la fin, j'ai dû choisir une option différente. Le réglage de l'option spec.hostNetwork a poussé le pod dans l'espace d'adressage du noeud, 10.240.0.0/16 pour lequel le VPN a bien fonctionné.

Pour autant que je puisse le dire, lorsque vous créez un cluster GKE, il existe une configuration "magique" mise en réseau pour l'espace d'adresse du pod, ce qui semble ne pas avoir un routing correct en ce qui concerne les VPN. Il est possible que Karman soit correct, mais je ne peux find aucun moyen de déclarer un réseau virtuel explicite pour les pods pour respecter les règles du pare-feu. Il suffit de les coller sur le réseau par défaut ne semble pas aider.

La création d'un nouveau réseau non traditionnel ne permet pas que GKE refuse de créer un cluster avec une adresse de pod dans un réseau virtuel existant et GCE SDN refuse de créer des sous-réseaux virtuels pour un espace d'adressage que GKE a déjà prétendu.

  • Proxy.pac myIpAddress () renvoie l'adresse locale et non les adaptateurs ethernet
  • Routage de toutes datatables via un tunnel VPN avec ppp
  • Impossible de se connecter à Internet avec Azure Point to VPN du site
  • Quelle perte de performance est à prévoir via VPN?
  • Routage de tous les Traffc OpenVPN sous Windows
  • Configuration du port OpenVPN et PFSense
  • Serveur VPN strongSwan + xl2tpd: comment configurer plusieurs files de configuration?
  • login du réseau de petites entresockets au réseau Azure Site to Site VPN
  • Configuration du sous-réseau VPN ouvert sur la machine Windows
  • Comment émettre des certificates de machine sur des appareils Android essayant de se connecter à L2TP VPN (L2TP / IPsec avec certificate)?
  • Le VPN sécurisé entre les servers Windows / Linux guide-t-il?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.