GKE 私有集群中 --master-ipv4-cidr 的 CIDR 范围

Question

注意： 现有的 stackoverflow post 讨论了 --master-ipv4-cidr，但没有讨论我在问题中提出的主题。 请不要将此标记为重复。

问题描述 我在 GKE 中创建私有集群并且对 --master-ipv4-cidr 范围感到困惑。这个link 提到 --master-ipv4-cidr 需要 RFC 1918 范围内的 CIDR。

"--master-ipv4-cidr 172.16.0.0/28 specifies an RFC 1918 range for the master. This setting is permanent for this cluster."

由于有效的 RFC 1918 范围是

 10.0.0.0        -   10.255.255.255  (10/8 prefix)
 172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

所以我尝试使用以下值创建私有集群：

  --master-ipv4-cidr "172.17.0.0/28" 
  --cluster-ipv4-cidr "172.16.128.0/17" 
  --services-ipv4-cidr "192.168.1.0/24" 

由于 172.17.0.0/28 也来自 RFC 1918 范围，我认为集群会出现。但它导致了如下所述的错误

172.17.0.0/16 是保留的 GKE IP 范围，不能用于“master-ipv4-cidr”。

然后我将 --master-ipv4-cidr 更改为link 中给出的示例并成功创建集群。以下是成功案例值。

  --master-ipv4-cidr "172.16.0.16/28" 
  --cluster-ipv4-cidr "172.16.128.0/17" 
  --services-ipv4-cidr "192.168.1.0/24" 

现在我的问题是

1. --master-ipv4-cidr 是否只需要 172.16.0.0/28 中的 CIDR，它不能接受 10/8 或 192.168/16 或任何其他范围（例如我之前提供的 172.17.0.0/28）中的任何其他范围?
2. 在现有集群 --master-ipv4-cidr 为 172.16.0.0/28 的情况下，如果我在同一 VPC 中创建另一个集群，那么 --master-ipv4-cidr 值应该是多少？ 因为创建具有相同 --master-ipv4-cidr 172.16.0.0/28 的另一个集群失败并出现以下错误，这是完全可以预料的。

Google Compute Engine：对等网络 (172.16.0.16/28) 中的 IP 范围与活动对等 (gke-c2a126697c6fee94c2b8-1e18-f2ff-peer) 中的 IP 范围 (172.16.0.16/28) 重叠) 的本地网络。 这是预期的，因为 172.16.0.16/28 已经存在于与其对等的同一 vpc 中的现有集群中。

1. 我正在考虑管理 RFC 1918 的 172.16.0.0 范围内的集群 Pod 和 192.168.0.0 范围内的服务，并且不使用 10/8 网络以避免与现有办公网络发生冲突。 因为 172.16/12 是 172.16.0.0/28 的超集。您如何确保它们彼此分开？

很抱歉在这里问了很多问题，但我只是想将整个上下文保持在同一个地方。

Answer 1

我将回答您的问题如下：

1. 172.17.0.0 无法使用，因为这是用于 Docker。

2. 您可以使用以下任何 CIDR 10.0.0.0 – 10.255.255.255、172.16.0.0 – 172.31.255.255、192.168.0.0 – 192.168。 255.255 除了 172.16 和 172.17。这也必须是 /28

3. 超集或子网是不可能的，因此您必须选择不同的 CIDR 范围

您可以阅读以下Google Public doc中的限制和限制