--masquerade-all参数
true表示所有访问Service的数据包被SNAT。
false(默认情况)表示源地址不属于Pod网段的数据包访问Service被SNAT。
转发场景分析
如果pod发送的响应包源地址不是client发送的请求包目的地址,那么直接丢弃。
client访问cluster ip时转发到pod所在节点,不可以获取client真实ip。
service配置externalTrafficPolicy=Local,kube-proxy限制client只能访问pod所在node,代理node和宿主node合二为一,不SNAT,可以获取client真实ip。