Acceso a redes públicas desde un contenedor
Los contenedores pueden acceder a las redes públicas de cualquiera de las siguientes maneras:
- Vincule una dirección IP pública al nodo donde se encuentra el contenedor si el modelo de red es la red de VPC o la red de túnel.
- Vincule una dirección IP pública al pod. (Cuando se utiliza el modelo de Cloud Native Network 2.0, vincule manualmente una EIP a la ENI o sub-ENI del pod en la consola de VPC. Este método no se recomienda porque la dirección IP de un pod cambia después de reprogramar el pod. Como resultado, el nuevo pod no puede acceder a la red pública.)
- Configurar reglas de SNAT con NAT Gateway.
Puede usar NAT Gateway para habilitar los pods de contenedor en una VPC para acceder a las redes públicas. NAT Gateway proporciona traducción de direcciones de red de origen (SNAT), que traduce las direcciones IP privadas a una dirección IP pública mediante la vinculación de una dirección IP elástica (EIP) al gateway, proporcionando un acceso seguro y eficiente a Internet. Figura 1 muestra la arquitectura de SNAT. La función de SNAT permite que los pods de contenedor de una VPC accedan a Internet sin estar vinculados a una EIP. SNAT soporta un gran número de conexiones simultáneas, lo que lo hace adecuado para aplicaciones que implican un gran número de solicitudes y conexiones.
Para habilitar un pod de contenedor para acceder a Internet, realice los siguientes pasos:
- Asignar una EIP.
- Inicie sesión en la consola de gestión.
- Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región y un proyecto.
- Haga clic en en la esquina superior izquierda y elija Networking > Elastic IP en la lista expandida.
- En la página EIPs, haga clic en Buy EIP.
- Configure los parámetros según lo requerido.
Establezca Region en la región donde se encuentran los pods de contenedor.
Figura 2 Comprar una dirección IP elástica
- Crear un gateway de NAT. Para obtener más información, consulte Compra de un gateway de NAT.
- Inicie sesión en la consola de gestión.
- Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región y un proyecto.
- Haga clic en en la esquina superior izquierda y elija Networking > NAT Gateway en la lista expandida.
- En la página mostrada, haga clic en Buy Public NAT Gateway en la esquina superior derecha.
- Configure los parámetros según lo requerido.
Seleccione la misma VPC.
Figura 3 Comprar un gateway de NAT
- Configurar una regla de SNAT y vincular la EIP a la subred. Para obtener más información, consulte Adición de una regla SNAT.
- Inicie sesión en la consola de gestión.
- Haga clic en en la esquina superior izquierda de la consola de gestión y seleccione una región y un proyecto.
- Haga clic en en la esquina superior izquierda y elija Networking > NAT Gateway en la lista expandida.
- En la página que se muestra, haga clic en el nombre del gateway de NAT para el que desea agregar la regla de SNAT.
- En la página de ficha SNAT Rules, haga clic en Add SNAT Rule.
- Configure los parámetros según lo requerido.
Las reglas de SNAT entran en vigor por el bloque CIDR. Como los diferentes modelos de red contenedor utilizan diferentes modos de comunicación, la subred debe seleccionarse de acuerdo con las siguientes reglas:
- Red de túnel y red de VPC: Seleccione la subred donde se encuentra el nodo, es decir, la subred seleccionada durante la creación del nodo.
Si hay varios bloques CIDR, puede crear varias reglas de SNAT o personalizar un bloque CIDR siempre que el bloque CIDR contenga la subred de nodo.
Figura 4 Adición de una regla SNAT
Una vez configurada la regla SNAT, las cargas de trabajo pueden acceder a las redes públicas desde contenedor. Las redes públicas se pueden hacer pings desde el contenedor.