计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

集群网络地址段规划实践

更新时间:2024-10-14 GMT+08:00

在CCE中创建集群时,您需要根据具体的业务需求规划VPC的数量、子网的数量、容器网段划分和服务网段连通方式。

本文将介绍VPC环境下CCE集群里各种地址的作用,以及地址段该如何规划。

约束与限制

通过搭建VPN方式访问CCE集群,需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突。

集群各网段基本概念

  • VPC网段

    虚拟私有云(Virtual Private Cloud,简称VPC)可以为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境。您可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性公网IP搭建业务系统。

  • 子网网段
    子网是用来管理弹性云服务器网络平面的一个网络,可以提供IP地址管理、DNS服务,子网内的弹性云服务器IP地址都属于该子网。
    图1 VPC网段结构

    默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。

    不同VPC的弹性云服务器可通过VPC创建对等连接通信。

  • 容器网段(Pod网段)

    Pod是Kubernetes内的概念,每个Pod具有一个IP地址。

    在CCE上创建集群时,可以指定Pod的地址段(即容器网段),容器网段不能和子网网段重叠。例如子网网段用的是 192.168.0.0/16,集群的容器网段就不能使用192.168.0.0/18,192.168.1.0/18等,因为这些地址都涵盖在 192.168.0.0/16 里了。

  • 服务网段

    Service也是Kubernetes内的概念,每个Service都有自己的地址,在CCE上创建集群时,可以指定Service的地址段(即服务网段)。同样,服务网段也不能和子网网段重合,而且服务网段也不能和容器网段重叠。服务网段只在集群内使用,不能在集群外使用。

单VPC下单集群场景

CCE集群:包含VPC网络模式和容器隧道网络模式集群,集群网络地址段规划示意图如图2所示。
  • VPC网段:集群所在的VPC网段,该网段的大小影响集群中可创建的节点数量上限。
  • 子网网段:集群中节点所在的子网网段,子网网段包含在VPC网段中。同个集群中的不同节点可分配到不同的子网网段。
  • 容器网段:容器网段不能和子网网段重叠。
  • 服务网段:服务网段不能和子网网段重叠,而且也不能和容器网段重叠。
图2 单VPC单集群场景网段规划-CCE集群

单VPC下多集群场景

VPC网络模式

Pod的报文需要通过VPC路由转发,CCE会自动在VPC路由上配置到每个容器网段的路由表,集群组网规模受限于VPC路由表能力。集群网络地址段规划示意图如图3所示。
  • VPC网段:集群所在的VPC网段,该网段的大小影响集群中可创建的节点数量上限。
  • 子网网段:每个集群中的子网网段不能和容器网段重叠。
  • 容器网段:单VPC中存在多个VPC网络模型集群的场景下,由于各个集群使用同一路由表,因此所有集群的容器网段不能相互重叠。在此情况下,如果节点安全组在入方向上放通对端集群的容器网段,一个集群的Pod可以通过容器IP直接访问另外一个集群的Pod。
  • 服务网段:由于服务网段只能在集群中使用,因此集群之间服务网段可以重叠,但是不能和所属集群的子网网段和容器网段重叠。
图3 VPC网络-多集群场景示例

容器隧道网络

该模式下容器网络是承载于VPC网络之上的Overlay网络平面,具有少量隧道封装性能损耗,但获得了通用性强、互通性强、高级特性支持全面(例如Network Policy网络隔离)的优势,可以满足大多数应用需求。集群网络地址段规划示意图如图4所示。
  • VPC网段:集群所在的VPC网段,该网段的大小影响集群中可创建的节点数量上限。
  • 子网网段:每个集群中的子网网段不能和容器网段重叠。
  • 容器网段:所有集群的容器网段可以重叠。在此情况下不同集群的Pod不能通过容器IP直接访问,跨集群容器之间的访问需要通过Service,建议使用负载均衡类型的Service。
  • 服务网段:由于服务网段只能在集群中使用,因此集群之间服务网段可以重叠,但是不能和所属集群的子网网段和容器网段重叠。
图4 容器隧道网络-多集群场景示例

多网络模式集群并存场景

同一VPC中包含多个网络模式的集群时,应在创建新集群时遵循以下规律:

  • VPC网段:该场景下各个集群所在的VPC网段相同,请保证VPC内可用的IP地址数充足。
  • 子网网段:子网网段尽量避免和容器网段重叠。
  • 容器网段:仅VPC网络模式的集群间的容器网段需要避免相互重叠。
  • 服务网段:所有集群之间服务网段可以重叠,但是不能和所属集群的子网网段和容器网段重叠。

集群跨VPC互联场景

不同VPC之间网络不通,对等连接用于连通同一个区域内的VPC,实现不同VPC的网络互联。两个VPC网络互联的情况下,可以通过路由表配置哪些报文要发送到对端VPC里。

VPC网络模式集群

VPC网络模式的集群跨VPC互联时,在创建对等连接后,您需要在两端VPC内添加对等连接路由信息,才能使两个VPC互通。

图5 VPC网络-VPC互联场景

跨VPC的集群容器之间互联需要建立VPC对等连接时,需要注意如下几点:

  • 两端集群所属的VPC地址段需要避免重叠,且在每个集群中,子网网段不能与容器网段重叠。
  • 两端集群的容器网段不能相互重叠,但服务网段可以重叠。
  • 当请求端集群为VPC网络模型时,需要关注目的端集群的节点安全组在入方向上是否放通了请求端集群的容器网段。此时,一个集群的Pod可以通过容器IP直接访问另外一个集群的Pod。同理,如果两端集群的节点需要相互访问,节点安全组需要放通对端集群的VPC网段。
  • 两端的VPC路由表中均需要添加访问对端网段的路由。例如,VPC 1的路由表需添加访问VPC 2网段的路由,同时,VPC 2的路由表也需要添加访问VPC 1的路由。
    • 添加对端集群VPC网段:添加VPC网段的路由后,Pod可以访问另外一个集群节点,例如访问NodePort类型的Service端口。
    • 添加对端容器网段:添加容器网段路由后,Pod可以通过容器IP直接访问另外一个集群的Pod。

容器隧道网络模式集群

两个容器隧道网络模式的集群跨VPC互联时,创建对等连接后,您需要在两端VPC内添加对等连接路由信息,才能使两个VPC互通。

图6 容器隧道网络-VPC互联场景

需要注意如下几点:

  • 两端集群所属的VPC地址段需要避免重叠。
  • 所有集群的容器网段可以重叠,服务网段也可以重叠。
  • 当请求端集群为容器隧道网络模型时,需要关注目的端集群的节点安全组在入方向上是否放通了请求端集群的VPC网段(包含节点子网)。在此情况下,一个集群的节点可以访问另一个集群的节点。但不同集群的Pod不能通过容器IP直接访问,跨集群容器之间的访问需要通过Service,建议使用负载均衡类型的Service。
  • 两端的VPC路由表中均需要添加对端集群VPC网段路由。例如,VPC 1的路由表需添加访问VPC 2网段的路由,同时,VPC 2的路由表也需要添加访问VPC 1的路由。添加VPC网段的路由后,Pod可以访问另外一个集群节点,例如访问NodePort类型的Service端口。

多网络模式集群并存场景

在不同网络模式集群间需要跨VPC互访的情况下,每种类型的集群均可能作为请求端和目的端。一般情况下需遵循以下规律:

  • 集群所属的VPC地址段需要避免和对端集群的VPC地址段重叠。
  • 集群子网网段尽量避免和自身的容器网段重叠。
  • 集群间的容器网段需要避免相互重叠。
  • 如集群间容器或节点存在相互访问,则两侧集群的安全组在入方向上均需按以下规则放通对应网段:
    • 请求端集群为VPC网络模型时,目的端集群的节点安全组需放通请求端集群的VPC网段(包含节点子网)和容器网段
    • 请求端集群为容器隧道网络模型时,目的端集群的节点安全组需放通请求端集群的VPC网段(包含节点子网)
  • 两端的VPC路由表中均需要添加对端集群VPC网段路由。例如,VPC 1的路由表需添加访问VPC 2网段的路由,同时,VPC 2的路由表也需要添加访问VPC 1的路由。添加VPC网段的路由后,Pod可以访问另外一个集群节点,例如访问NodePort类型的Service端口。

    若某个集群为VPC网络模型,两端的VPC路由表中还需要添加容器网段的地址。添加容器网段路由后,Pod可以通过容器IP直接访问另外一个集群的Pod。

VPC网络到IDC的场景

和VPC互联场景类似,同样存在VPC里部分地址段路由到IDC,CCE集群的Pod地址就不能和这部分地址重叠。IDC里如果需要访问集群里的Pod地址,同样需要在IDC端配置到专线VBR的路由表。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容