更新时间:2025-07-18 GMT+08:00

云原生网络2.0模型说明

云原生网络2.0模型

云原生网络2.0是自研的新一代容器网络模型,深度整合了虚拟私有云VPC的弹性网卡(Elastic Network Interface,简称ENI)和辅助弹性网卡(Sub Network Interface,简称Sub-ENI)的能力,将Pod直接绑定弹性网卡或辅助弹性网卡,使每个Pod在VPC内均拥有独立的IP地址,且支持ELB直通容器、Pod绑定安全组、Pod绑定弹性公网IP等特性。由于不需要使用容器隧道封装和NAT地址转换,云原生网络2.0模型与容器隧道网络模型和VPC网络模型相比具有更高的网络性能。

图1 云原生网络2.0

在云原生网络2.0模型的集群中,Pod依赖弹性网卡(ENI)/辅助弹性网卡(Sub-ENI)对外进行网络通信:

  • 裸金属节点上运行的Pod:使用弹性网卡对外进行网络通信。
  • ECS节点上运行的Pod:使用辅助弹性网卡对外进行网络通信,辅助弹性网卡通过VLAN子接口挂载在ECS的弹性网卡上。
  • Pod数量上限:由于需要为每个Pod绑定网卡,节点上可运行的Pod数量上限由该节点的能绑定的网卡个数和网卡端口数决定。
  • 通信方式:节点内Pod间通信、跨节点Pod间通信、Pod访问集群外网络的情况均直接通过VPC的弹性网卡/弹性辅助网卡进行流量转发。

约束与限制

仅CCE Turbo集群支持使用云原生网络2.0模型。

优缺点

优点

  • 基于VPC构建容器网络,每个Pod具有独立的网卡及IP地址,易于排查网络问题,且具有最高的性能表现。
  • 在同一个VPC内,由于Pod直接绑定VPC网卡,集群外部的资源可以与集群内部的容器直接进行网络通信。

    同理,如果该VPC和其他VPC或数据中心网络环境连通,在网段不冲突的情况下,其他VPC或数据中心所属的资源也可以与集群内部的容器直接进行网络通信。

  • Pod可直接使用VPC提供的负载均衡、安全组、弹性公网IP等能力。

缺点

由于容器网络基于VPC构建,每个Pod都会从VPC网段内分配IP地址,消耗VPC的地址空间,创建集群前需要合理规划好容器网段。

适用场景

  • 性能要求高:由于云原生网络2.0直接使用VPC网络构建容器网络,容器通信不需要进行隧道封装和NAT转换,所以适用于对带宽、时延要求极高的业务场景,比如:线上直播、电商抢购等。
  • 大规模组网:云原生网络2.0当前最大可支持2000个ECS节点,10万个Pod。

网段规划建议

集群网络构成中介绍集群中网络地址可分为集群网络、容器网络、服务网络三块,在规划网络地址时需要从如下方面考虑:

  • 集群所在VPC下所有子网(包括扩展网段子网)不能和服务网段冲突。
  • 保证每个网段有足够的IP地址可用
    • 集群网段的IP地址要与集群规模相匹配,否则会因为IP地址不足导致无法创建节点。
    • 容器网段的IP地址要与业务规模相匹配,否则会因为IP地址不足导致无法创建Pod。

云原生网络2.0模型下,由于容器网段与节点网段共同使用VPC下的网络地址,建议容器子网与节点子网不要使用同一个子网,否则容易出现IP资源不足导致容器或节点创建失败的情况。

另外云原生网络2.0模型下容器网段支持在创建集群后增加子网,扩展可用IP数量,此时需要注意增加的子网不要与容器网段其他子网存在网络冲突。

云原生网络2.0访问示例

本示例中,已创建一个CCE Turbo集群,且集群中包含3个ECS节点。

在ECS控制台中查看其中一个节点的基本信息,在网卡信息中可以看到节点上绑定了一个主网卡和扩展网卡,这两个网卡都属于弹性网卡,其中扩展网卡的IP地址属于容器网络网段,用于给Pod挂载辅助弹性网卡Sub-ENI。

图2 节点网卡

在云原生网络2.0集群中创建工作负载的访问示例如下。

  1. 使用kubectl命令行工具连接集群,详情请参见通过kubectl连接集群
  2. 在集群中创建一个Deployment。

    创建deployment.yaml文件,文件内容示例如下:

    kind: Deployment
    apiVersion: apps/v1
    metadata:
      name: example
      namespace: default
    spec:
      replicas: 6
      selector:
        matchLabels:
          app: example
      template:
        metadata:
          labels:
            app: example
        spec:
          containers:
            - name: container-0
              image: 'nginx:perl'
              resources:
                limits:
                  cpu: 250m
                  memory: 512Mi
                requests:
                  cpu: 250m
                  memory: 512Mi
          imagePullSecrets:
            - name: default-secret

    创建该工作负载:

    kubectl apply -f deployment.yaml

  3. 查看已运行的Pod。

    kubectl get pod -owide

    回显如下:

    NAME                       READY   STATUS    RESTARTS   AGE   IP            NODE         NOMINATED NODE   READINESS GATES
    example-5bdc5699b7-54v7g   1/1     Running   0          7s    10.1.18.2     10.1.0.167   <none>           <none>
    example-5bdc5699b7-6dzx5   1/1     Running   0          7s    10.1.18.216   10.1.0.186   <none>           <none>
    example-5bdc5699b7-gq7xs   1/1     Running   0          7s    10.1.16.63    10.1.0.144   <none>           <none>
    example-5bdc5699b7-h9rvb   1/1     Running   0          7s    10.1.16.125   10.1.0.167   <none>           <none>
    example-5bdc5699b7-s9fts   1/1     Running   0          7s    10.1.16.89    10.1.0.144   <none>           <none>
    example-5bdc5699b7-swq6q   1/1     Running   0          7s    10.1.17.111   10.1.0.167   <none>           <none>

    这里Pod的IP都是Sub-ENI,挂载在节点的ENI上(扩展网卡)。

    例如10.1.0.167节点对应的扩展网卡IP地址为10.1.17.172。在弹性网卡控制台上查看IP地址为10.1.17.172的扩展网卡上挂载了3个Sub-ENI,均为该节点上运行的Pod IP。

    图3 Pod网卡

  4. 登录同一VPC内的云服务器,从集群外直接访问Pod的IP,本示例中为10.1.18.2

    curl 10.1.18.2

    回显如下,说明可正常访问工作负载应用:

    <!DOCTYPE html>
    <html>
    <head>
    <title>Welcome to nginx!</title>
    <style>
        body {
            width: 35em;
            margin: 0 auto;
            font-family: Tahoma, Verdana, Arial, sans-serif;
        }
    </style>
    </head>
    <body>
    <h1>Welcome to nginx!</h1>
    <p>If you see this page, the nginx web server is successfully installed and
    working. Further configuration is required.</p>
    
    <p>For online documentation and support please refer to
    <a href="http://nginx.org/">nginx.org</a>.<br/>
    Commercial support is available at
    <a href="http://nginx.com/">nginx.com</a>.</p>
    
    <p><em>Thank you for using nginx.</em></p>
    </body>
    </html>

更多说明

相关文档