网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务
本文导读
文档首页/ 华为云UCS/ 最佳实践/ 本地集群/ 创建终端节点以私网接入本地集群

创建终端节点以私网接入本地集群

更新时间:2025-01-14 GMT+08:00
分享

应用场景

用户在线下IDC有kubernetes集群,接入到UCS开启容器智能分析服务,能够与SWR、OBS通信,在无法通过公网连接的情况下,可以先通过VPN与华为云VPC连接,然后通过VPC终端节点服务,让VPC能够在内网访问UCS、SWR、DNS、OBS、CIA。

接入前准备

服务

域名

IP(如涉及)

端口

SWR

swr.cn-north-4.myhuaweicloud.com

从VPCEP中获取。

443

OBS

op-svc-swr-b051-10-38-19-62-3az.obs.cn-north-4.myhuaweicloud.com

不涉及

443、80

CIA

cie-{容器智能分析实例instanceid前八位数字}{当前选择接入的VPC子网ID前八位数字}.cn-north-4.myhuaweicloud.com

从VPCEP中获取。

443

DNS

不涉及

创建VPCEP,选择DNS Endpoint对应的地址。

53

其他区域的SWR及依赖OBS的域名信息。

Region

SWR域名

OBS域名

华北-北京四

swr.cn-north-4.myhuaweicloud.com

op-svc-swr-b051-10-38-19-62-3az.obs.cn-north-4.myhuaweicloud.com

华东-上海二

swr.cn-east-2.myhuaweicloud.com

obs.cn-east-2.myhuaweicloud.com

华东-上海一

swr.cn-east-3.myhuaweicloud.com

op-svc-swr-b051-10-147-7-14-3az.obs.cn-east-3.myhuaweicloud.com

华南-广州

swr.cn-south-1.myhuaweicloud.com

op-svc-swr-b051-10-230-33-197-3az.obs.cn-south-1.myhuaweicloud.com

西南-贵阳一

swr.cn-southwest-2.myhuaweicloud.com

op-svc-swr-b051-10-205-14-19-3az.obs.cn-southwest-2.myhuaweicloud.com

华北-乌兰察布一

swr.cn-north-9.myhuaweicloud.com

obs.cn-north-9.myhuaweicloud.com

亚太-新加坡

swr.ap-southeast-3.myhuaweicloud.com

op-svc-swr-b051-10-38-34-172-3az.obs.ap-southeast-3.myhuaweicloud.com

香港

swr.ap-southeast-1.myhuaweicloud.com

obs.ap-southeast-1.myhuaweicloud.com

拉美-墨西哥一

swr.na-mexico-1.myhuaweicloud.com

obs.na-mexico-1.myhuaweicloud.com

拉美-墨西哥二

swr.la-north-2.myhuaweicloud.com

obs.la-north-2.myhuaweicloud.com

操作步骤

  1. 设置虚拟专用网络(VPN)方案:请参见通过VPN连接云下数据中心与云上VPC

    如已设置VPN网络可跳转至在华为云侧创建VPCEP

    说明:
    • 数据中心的私网网段与华为云上连接VPN使用的VPC网段不能有重叠冲突。
    • 该VPC子网网段不能与IDC中已使用的网络网段重叠,否则将无法接入集群。例如,IDC中已使用的VPC子网为192.168.1.0/24,那么华为云VPC中不能使用192.168.1.0/24这个子网。

  2. 在华为云创建VPN网关

    登录到华为云控制台,选择服务“虚拟专用网络 VPN”进入,左侧导航栏选择“虚拟专用网络 > 企业版-VPN网关”,单击“站点入云VPN网关”进入“站点入云VPN网关”页面,然后单击“创建站点入云VPN网关”。

    表1 规划数据

    类别

    规划项

    规划值

    VPC

    待互通子网

    10.188.1.0/24,100.64.0.0/10(该网段是云上的SWR、OBS等服务所在网段)

    VPN网关

    互联子网

    用于VPN网关和VPC通信,不能和VPC已有子网重叠

    10.188.2.0/24

    EIP地址

    EIP地址在购买EIP时由系统自动生成,无需填写,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下:

    主EIP:11.xx.xx.11

    备EIP:11.xx.xx.12

    VPN连接

    Tunnel接口地址

    用于VPN网关和对端网关建立IPSec隧道,配置时两边需要互为镜像。

    VPN连接1:169.254.70.1/30

    VPN连接2:169.254.71.1/30

  3. VPN创建完成后,设置对端网关

    左侧导航栏,选择“虚拟专用网络 > 企业版-对端网关”,在“对端网关”界面,单击“创建对端网关”。

    标识选择IP Address,公网IP是数据中心侧的公网IP。

  4. 创建VPN连接

    表2 VPN连接参数说明

    参数

    说明

    参数取值

    名称

    输入VPN连接的名称。

    vpn-xxx

    VPN网关

    选择步骤创建的VPN网关

    vpngw-xxx

    网关IP

    选择VPN网关的主EIP。

    11.xx.xx.11

    对端网关

    选择步骤创建的对端网关

    cgw-xxx

    连接模式

    选择“静态路由模式”。

    静态路由模式

    对端子网

    输入数据中心待和VPC互通的子网。

    说明:
    • 对端子网可以和本端子网重叠,但不能重合。
    • 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。
    • 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。
    • 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。

    172.16.0.0/16

    接口分配方式

    支持“手动分配”和“自动分配”两种方式。

    手动分配

    本端接口地址

    配置VPN网关的Tunnel隧道IP地址。

    说明:

    对端网关需要对此处的本端接口地址/对端接口地址做镜像配置。

    169.254.70.2/30

    对端隧道接口地址

    配置在用户侧设备上的tunnel接口地址。

    169.254.70.1/30

    检测机制

    用于多链路场景下路由可靠性检测。

    说明:

    功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则会导致VPN流量不通。

    勾选“使能NQA”

    预共享密钥、确认密钥

    VPN连接协商密钥。

    VPN连接和对端网关配置的预共享密钥需要一致。

    Test@123

    策略配置

    包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。

    VPN连接和对端网关配置的策略信息需要一致。

    默认配置

  5. 配置对端网关设备
  6. 验证网络互通情况:

    1. 登录管理控制台。
    2. 单击管理控制台左上角的,选择区域和项目。
    3. 单击“服务列表”,选择“计算 > 弹性云服务器”。
    4. 登录弹性云服务器。

      弹性云服务器有多种登录方法,具体请参见登录弹性云服务器

      本示例是通过管理控制台远程登录(VNC方式)。

    5. 在弹性云服务器的远程登录窗口,执行以下命令,验证网络互通情况。

      ping 172.16.0.100

      其中,172.16.0.100为数据中心服务器的IP地址,请根据实际替换。

      回显如下信息,表示网络已通。
      来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245 
      来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245 
      来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245 
      来自 xx.xx.xx.xx 的回复: 字节=32 时间=27ms TTL=245

  7. 在华为云侧创建VPCEP。

    数据中心IDC访问华为云上各服务需要在与数据中心互通的VPC中创建VPCEP。需要在华为云终端节点页面分别创建DNS、SWR、OBS、UCS的终端节点:

    创建DNS终端节点

    在“服务列表”中,选择“网络 > VPC终端节点 VPCEP”,进入终端节点页面。

    1. 在左侧导航栏,选择“VPC终端节点 > 终端节点”。
    2. 在终端节点界面,单击“购买终端节点”,创建连接DNS服务的终端节点。
    3. 购买终端节点时,“服务类型”和“服务”选择“云服务 > com.myhuaweicloud.cn-north-4.dns”。
    4. 虚拟私有云选择步骤2 在华为云创建VPN网关中进行VPN打通的VPC。
    5. 单击生成的终端节点名称详情,查看生成的IP,记录。

    创建SWR终端节点

    1. 在“服务列表”中,选择“网络 > VPC终端节点”,进入终端节点页面。
    2. 在左侧导航栏,选择“VPC终端节点 > 终端节点”。
    3. 在终端节点界面,单击“购买终端节点”,创建连接SWR服务的终端节点。
    4. 购买终端节点时,“服务类型”和“服务”选择“云服务 > com.myhuaweicloud.cn-north-4.swr”。
    5. 虚拟私有云选择步骤2 在华为云创建VPN网关中进行VPN打通的VPC。

    6. 单击创建出来的VPCEP节点名称,查看VPCEP的节点IP。

    创建OBS终端节点

    1. 在“服务列表”中,选择“网络 > VPC终端节点”,进入终端节点页面。
    2. 在左侧导航栏,选择“VPC终端节点 > 终端节点”。
    3. 在终端节点界面,单击“购买终端节点”,创建连接OBS服务的终端节点。
    4. 购买终端节点时,“服务类型”和“服务”选择“按名称查找服务cn-north-4.com.myhuaweicloud.v4.obsv2 >”,并单击“验证”。
    5. 虚拟私有云选择2中进行VPN打通的VPC。

    创建UCS终端节点

    1. 在“服务列表”中,选择“网络 > VPC终端节点”,进入终端节点页面。
    2. 在左侧导航栏,选择“VPC终端节点 > 终端节点”。
    3. 在终端节点界面,单击“购买终端节点”,创建连接UCS服务的终端节点。
    4. 购买终端节点时,“服务类型”和“服务”选择“按名称查找服务 > cn-north-4.open-vpcep-svc.29696ab0-1486-4f70-ab35-a3f6b1b37c02”,并单击“验证”。
    5. 虚拟私有云选择2中进行VPN打通的VPC。

  8. 在IDC的DNS Server中增加华为云的DNS转发器。

    1. 配置DNS转发器:在用户线下的DNS服务器配置相应的DNS转发规则,将解析华为云内网域名的请求转发到DNS终端节点。

      以常见的DNS软件Bind为例:/etc/named.conf内,增加DNS转发器的配置,forwarders为DNS终端节点IP地址。xx.xx.xx.xx是7中DNS的终端节点IP。

      options 
      {
        forward only;
        forwarders{ xx.xx.xx.xx;};
      }
    2. 增加DNS静态配置,SWR与CIE实例地址,地址是从容器智能分析实例中获取到的。

      以北京四为例,如使用dnsmasq为例,在/etc/dnsmasq.conf中添加以下静态解析。

      address=/swr.cn-north-4.myhuaweicloud.com/xx.xx.xx.xx

      xx.xx.xx.xx7中SWR的终端节点IP。

      address=/cie-{容器智能分析实例instanceid前八位数字}{当前选择接入的VPC子网ID前八位数字}.cn-north-4.myhuaweicloud.com

      获取容器智能分析实例instanceid前八位数字。

      获取当前选择接入的VPC子网ID前八位数字

  9. 在UCS注册IDC的kubernetes集群:准备待接入集群的KubeConfig文件,请确保待接入集群的kubeconfig文件中的server字段是私网IP(非公网IP或者域名)。登录UCS控制台,在左侧树状导航栏,选择“容器舰队”。单击本地集群选项卡中的“注册集群”按钮。根据页面提示,选择集群服务商并填写集群参数。具体请参考安装前准备

    在完成集群添加后,集群需要终端节点来接入网络才能被UCS接管,单击私网接入,选择在与数据中心IDC打通VPN的VPC。

    说明:

    该VPC只有在完成中的在华为云侧创建VPCEP配置才可以被选中。

    下载集群代理agent的配置文件,上传到数据中心的kubernetes集群内,待接入集群中执行以下命令部署代理。

    kubectl apply -f agent.yaml

    查看集群代理部署状态。

    kubectl -n kube-system get pod | grep proxy-agent

    如果部署成功,预期输出如下:

    proxy-agent-5f7d568f6-6fc4k 1/1 Running 0 9s

    查看集群代理运行状态。

    kubectl -n kube-system logs<Agent Pod Name>| grep "Start serving"

    如果正常运行,日志预期输出如下:

    Start serving

    前往UCS控制台刷新集群状态,集群处于“运行中”。

  10. 将在UCS下创建的待接入数据中心的kubernetes集群接入到容器智能分析服务。

    1. 容器智能分析接入集群:登录UCS控制台,在左侧导航栏中单击“容器智能分析”。选择容器智能分析实例,并单击右上角“开启监控”。选择一个数据中心内的待接入附着集群,单击“下一步:接入配置”。
    2. 接入方式选择“私网接入”。私网接入点:“虚拟私有云”选择已经与数据中心打通VPN的VPC。

    3. 完成插件配置。

      系统提供默认的插件配置,包括插件规格、采集周期和存储,如果您想修改这些默认值,请单击插件参数旁边的按钮,展开配置项。

      插件规格:包括演示规格(100容器以内)、不同规格对集群的CPU、内存等资源要求不同,UCS服务会对集群节点是否能够成功安装插件进行初步检测,当不满足时,会在页面给出提示。不同插件规格占用的资源配额可参考不同规格的资源配额要求

      • 存储:用于普罗数据的临时存储。
      • 存储类型:附着集群支持Emptydir和Local Storage两种存储类型。
      • 使用Emptydir模式普罗数据将存储在Pod中,请确保prometheus-server-0调度到的节点上的容器存储挂载容量满足所输入的容量大小。
      • 使用本地存储将会在您的集群内创建monitoring命名空间(如果不存在),以及local-storage类型的PV及PVC,请保证您指定的节点上存在所输入的目录以及该目录满足所输入的容量大小。
      • 容量:为创建PVC时指定的容量大小或者选择Pod存储时的存储最大限制值。

      等待集群接入,2-3min最终显示集群接入状态是低危/中危/高危,以及有监控数据。

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容