计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

网络配置

更新时间:2025-02-18 GMT+08:00

网络配置支持为您的集群配置节点默认安全组,扩展容器网段等。

集群网络配置

表1 集群网络配置参数说明

参数名称

参数说明

虚拟私有云

显示集群所在虚拟私有云。

虚拟私有云(Virtual Private Cloud,简称VPC)可以为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境。您可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性公网IP搭建业务系统。

虚拟私有云网段

显示虚拟私有云网段。

如需扩展虚拟私有云网段,请参见扩展集群VPC网段

默认节点子网

显示集群的节点子网。

子网是用来管理弹性云服务器网络平面的一个网络,可以提供IP地址管理、DNS服务,子网内的弹性云服务器IP地址都属于该子网。

默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。

不同VPC的弹性云服务器可通过VPC创建对等连接通信。

默认节点子网 | IPv4网段/ IPv6网段

显示集群的节点子网网段。

IPv6双栈

显示是否开启IPv6双栈。

容器网络模型

显示集群的容器网络模型,集群创建成功后,网络模型不可更改。不同网络模型对比请参见容器网络模型对比

节点默认安全组

显示集群节点默认安全组。您可以选择自定义的安全组作为集群默认的节点安全组,但是需要注意放通指定端口来保证正常通信。

如需要自定义配置安全组规则,修改后的安全组只作用于新创建的节点和新纳管的节点,存量节点需要手动修改节点安全组规则。

访问集群外地址时保留原有Pod IP的网段(VPC网络模型的集群支持)

VPC网络集群中默认将10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这三个VPC私有网段视为集群私有网段。如果集群所在VPC使用了扩展网段,创建、重置节点等操作也会将扩展网段添加到集群私有网段中。

在Pod中发起访问请求时,如果Pod访问的目的地址在集群私有网段范围内,则节点不会将Pod IP进行网络地址转换,可以借由上层VPC直接将报文送达至目的地址,即直接使用Pod IP与集群私有网络地址进行通信。

v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本支持该配置。详情请参见在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP

说明:

如果需要保证节点能正常访问跨节点的Pod,该参数中设置的网段必须包含节点的子网网段。

同理,如果同VPC下的其他ECS节点需要能正常访问Pod IP,该参数中设置的网段必须包含ECS所在子网网段。

Pod访问元数据(CCE Turbo集群支持)

是否允许集群中的Pod访问宿主机元数据,例如可用区、企业项目ID等信息,详情请参见弹性云服务器元数据类型。v1.23.13-r0、v1.25.8-r0、v1.27.5-r0、v1.28.3-r0及以上版本支持该配置。

  • 如果Pod在开关开启状态下创建,则该Pod能否访问元数据取决于开关状态。
  • 如果Pod在开关关闭状态下创建,或是在历史版本集群中创建,则无论开关状态如何,Pod均无法访问元数据。如需访问元数据,需要在开关开启状态下重建Pod。

网络策略(容器隧道网络模型的集群支持)

是否开启网络策略(NetworkPolicy)能力。v1.25.16-r10、v1.27.16-r10、v1.28.15-r0、v1.29.10-r0、v1.30.6-r0、v1.31.1-r0及以上版本支持该配置。

  • 关闭:不支持使用网络策略(NetworkPolicy)能力,已创建的策略不生效。
  • 开启:在客户配置的服务网段和自建线下网段存在冲突时,新增网关链路调整,可能出现新增网关对应链路的建链不成功。

    例如,集群通过云专线访问云外地址时,云外交换机不支持ip-option,开启网络策略可能导致网络无法访问。

服务配置

表2 服务配置参数说明

参数名称

参数说明

服务转发模式

显示集群的转发模式,集群创建完成后,服务转发模式不可修改。当前支持IPVS和iptables两种转发模式,具体请参见iptables与IPVS如何选择

IPv4/IPv6 服务网段

集群中的每个Service都有自己的地址,在CCE上创建集群时,可以指定Service的地址段(即服务网段)。服务网段不能和子网网段重合,而且服务网段也不能和容器网段重叠。服务网段只在集群内使用,不能在集群外使用。

服务端口范围配置

NodePort端口范围,默认范围为30000-32767,支持的修改范围为20106-32767。修改后需前往安全组页面同步修改节点安全组30000-32767的TCP/UDP端口范围,否则除默认端口外的其他端口将无法被外部访问。
说明:

端口号小于20106会和系统组件的健康检查端口冲突,引发集群不可用;端口号高于32767会和操作系统的随机端口冲突,影响性能。

容器网段配置(VPC网络模型集群支持)

当创建集群时设置的容器网段太小,无法满足业务扩容需求时,您通过扩展集群容器网段的方法来解决,详情请参见扩展集群容器网段

说明:
  • 仅支持v1.19及以上版本的“VPC网络”模型集群。
  • 容器网段添加后无法删除,请谨慎操作。

自定义容器网络配置(CCE Turbo集群支持)

如您期望不同的命名空间或工作负载使用不同的子网网段或安全组,可创建一条策略,将子网/安全组信息和命名空间或工作负载进行绑定,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组

  • 容器子网(Pod CIDR):Pod IP会被约束在特定的网段中,不同命名空间或工作负载之间可实现网络隔离。
  • 关联安全组:支持为同一命名空间或工作负载的Pod设置安全组规则,实现自定义访问策略。
说明:

仅CCE Turbo集群支持该配置。v1.23.17-r0、v1.25.12-r0、v1.27.9-r0、v1.28.7-r0、v1.29.3-r0及以上版本的集群支持删除容器子网。

集群容器网络预热配置(CCE Turbo集群支持)

CCE Turbo集群会为每个Pod分配(申请并绑定)一张弹性网卡或辅助弹性网卡。容器场景下Pod支持极速弹性,而网卡创建绑定需要一定时间,影响了大规模批创场景下的容器启动速度。系统默认提供了容器网卡动态预热的能力,在尽可能提高IP的资源利用率的前提下,加快Pod的启动速度。集群预热配置为您的集群设置全局的预热策略,集群节点默认会根据集群预热配置选项进行容器网卡的预热。如您期望为一组节点设置独立的预热策略,建议您配置节点池预热。

说明:

仅CCE Turbo集群支持该配置。

是否启用容器网络全预热:

  • 开启:开启容器网络全预热后,您的集群节点会预热申请节点规格上限的网卡数,如s7.large.2机型的节点辅助弹性网卡上限是16个,则系统会动态预热出16个辅助弹性网卡。
  • 关闭:不启用容器网络全预热时,您可以自行定义预热参数。
    表3 容器网卡动态预热参数

    容器网卡动态预热参数

    默认值

    参数说明

    配置建议

    节点最少绑定容器网卡数(nic-minimum-target)

    10

    保障节点最少有多少张容器网卡绑定在节点上。

    参数值需为正整数。例如10,表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时,后台取值为节点的容器网卡配额。

    建议配置为大部分节点平时日常运行的Pod数。

    节点预热容器网卡上限检查值(nic-maximum-target)

    0

    当节点绑定的容器网卡数超过节点预热容器网卡上限检查值(nic-maximum-target),不再主动预热容器网卡。

    当该参数大于等于节点最少绑定容器网卡数(nic-minimum-target)时,则开启预热容器网卡上限值检查;反之,则关闭预热容器网卡上限值检查。

    参数值需为正整数。例如0,表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时,后台取值为节点的容器网卡配额。

    建议配置为大部分节点平时最多运行的Pod数。

    节点动态预热容器网卡数(nic-warm-target)

    2

    保障节点至少预热的容器网卡数,只支持数值配置。

    当 节点动态预热容器网卡数(nic-warm-target) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nic-maximum-target) 时,只会预热nic-maximum-target与节点当前绑定的容器网卡数的差值。

    建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。

    节点预热容器网卡回收阈值(nic-max-above-warm-target)

    2

    只有当 节点上空闲的容器网卡数 - 节点动态预热容器网卡数(nic-warm-target) 大于此阈值 时,才会触发预热容器网卡的解绑回收。只支持数值配置。

    • 调大此值会减慢空闲容器网卡的回收,加快Pod的启动速度,但会降低IP地址的利用率,特别是在IP地址紧张的场景,请谨慎调大
    • 调小此值会加快空闲容器网卡的回收,提高IP地址的利用率,但在瞬时大量Pod激增的场景,部分Pod启动会稍微变慢。

    建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 - 大部分节点日常10s内会瞬时弹性扩容的Pod数。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容