更新时间:2024-08-17 GMT+08:00

网络配置

网络配置支持为您的集群配置节点默认安全组,扩展容器网段等。

集群网络配置

表1 集群网络配置参数说明

参数名称

参数说明

虚拟私有云

显示集群所在虚拟私有云。

虚拟私有云(Virtual Private Cloud,简称VPC)可以为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境。您可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性公网IP搭建业务系统。

虚拟私有云网段

显示虚拟私有云网段。

如需扩展虚拟私有云网段,请参见扩展集群VPC网段

默认节点子网

显示集群的节点子网。

子网是用来管理弹性云服务器网络平面的一个网络,可以提供IP地址管理、DNS服务,子网内的弹性云服务器IP地址都属于该子网。

默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。

不同VPC的弹性云服务器可通过VPC创建对等连接通信。

默认节点子网 | IPv4网段

显示集群的节点子网网段。

容器网络模型

显示集群的容器网络模型,集群创建成功后,网络模型不可更改。不同网络模型对比请参见容器网络模型对比

节点默认安全组

显示集群节点默认安全组。您可以选择自定义的安全组作为集群默认的节点安全组,但是需要注意放通指定端口来保证正常通信。

如需要自定义配置安全组规则,修改后的安全组只作用于新创建的节点和新纳管的节点,存量节点需要手动修改节点安全组规则。

访问集群外地址时保留原有Pod IP的网段(VPC网络模型的集群支持)

VPC网络集群中默认将10.0.0.0/8、172.16.0.0/12、192.168.0.0/16这三个VPC私有网段视为集群私有网段。如果集群所在VPC使用了扩展网段,创建、重置节点等操作也会将扩展网段添加到集群私有网段中。

在Pod中发起访问请求时,如果Pod访问的目的地址在集群私有网段范围内,则节点不会将Pod IP进行网络地址转换,可以借由上层VPC直接将报文送达至目的地址,即直接使用Pod IP与集群私有网络地址进行通信。

v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本支持该配置。详情请参见在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP

说明:

如果需要保证节点能正常访问跨节点的Pod,该参数中设置的网段必须包含节点的子网网段。

同理,如果同VPC下的其他ECS节点需要能正常访问Pod IP,该参数中设置的网段必须包含ECS所在子网网段。

Pod访问元数据(CCE Turbo集群支持)

是否允许集群中的Pod访问宿主机元数据,例如可用区、企业项目ID等信息,详情请参见弹性云服务器元数据类型。v1.23.13-r0、v1.25.8-r0、v1.27.5-r0、v1.28.3-r0及以上版本支持该配置。

  • 如果Pod在开关开启状态下创建,则该Pod能否访问元数据取决于开关状态。
  • 如果Pod在开关关闭状态下创建,或是在历史版本集群中创建,则无论开关状态如何,Pod均无法访问元数据。如需访问元数据,需要在开关开启状态下重建Pod。

服务配置

表2 服务配置参数说明

参数名称

参数说明

服务转发模式

显示集群的转发模式,集群创建完成后,服务转发模式不可修改。当前支持IPVS和iptables两种转发模式,具体请参见iptables与IPVS如何选择

服务网段

集群中的每个Service都有自己的地址,在CCE上创建集群时,可以指定Service的地址段(即服务网段)。服务网段不能和子网网段重合,而且服务网段也不能和容器网段重叠。服务网段只在集群内使用,不能在集群外使用。

服务端口范围配置

NodePort端口范围,默认范围为30000-32767,支持的修改范围为20106-32767。修改后需前往安全组页面同步修改节点安全组30000-32767的TCP/UDP端口范围,否则除默认端口外的其他端口将无法被外部访问。
说明:

端口号小于20106会和系统组件的健康检查端口冲突,引发集群不可用;端口号高于32767会和操作系统的随机端口冲突,影响性能。

容器网段配置(VPC网络模型集群支持)

当创建集群时设置的容器网段太小,无法满足业务扩容需求时,您通过扩展集群容器网段的方法来解决,详情请参见扩展集群容器网段

  • 仅支持v1.19及以上版本的“VPC网络”模型集群。
  • 容器网段添加后无法删除,请谨慎操作。

自定义容器网络配置(CCE Turbo集群支持)

如您期望不同的命名空间或工作负载使用不同的子网网段或安全组,可创建一条策略,将子网/安全组信息和命名空间或工作负载进行绑定,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组

  • 容器绑定子网:Pod IP会被约束在特定的网段中,不同命名空间或工作负载之间可实现网络隔离。
  • 容器绑定安全组:支持为同一命名空间或工作负载的Pod设置安全组规则,实现自定义访问策略。

仅CCE Turbo集群支持该配置。v1.23.17-r0、v1.25.12-r0、v1.27.9-r0、v1.28.7-r0、v1.29.3-r0及以上版本的集群支持删除容器子网。

集群容器网络预热配置(CCE Turbo集群支持)

CCE Turbo集群会为每个Pod分配(申请并绑定)一张弹性网卡或辅助弹性网卡。容器场景下Pod支持极速弹性,而网卡创建绑定需要一定时间,影响了大规模批创场景下的容器启动速度。系统默认提供了容器网卡动态预热的能力,在尽可能提高IP的资源利用率的前提下,加快Pod的启动速度。集群预热配置为您的集群设置全局的预热策略,集群节点默认会根据集群预热配置选项进行容器网卡的预热。如您期望为一组节点设置独立的预热策略,建议您配置节点池预热。

仅CCE Turbo集群支持该配置。

是否启用容器网络全预热:

  • 开启:开启容器网络全预热后,您的集群节点会预热申请节点规格上限的网卡数,如s7.large.2机型的节点辅助弹性网卡上限是16个,则系统会动态预热出16个辅助弹性网卡。
  • 关闭:不启用容器网络全预热时,您可以自行定义预热参数。
    表3 容器网卡动态预热参数

    容器网卡动态预热参数

    默认值

    参数说明

    配置建议

    节点最少绑定容器网卡数(nic-minimum-target)

    10

    保障节点最少有多少张容器网卡绑定在节点上。

    参数值需为正整数。例如10,表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时,后台取值为节点的容器网卡配额。

    建议配置为大部分节点平时日常运行的Pod数。

    节点预热容器网卡上限检查值(nic-maximum-target)

    0

    当节点绑定的容器网卡数超过节点预热容器网卡上限检查值(nic-maximum-target),不再主动预热容器网卡。

    当该参数大于等于节点最少绑定容器网卡数(nic-minimum-target)时,则开启预热容器网卡上限值检查;反之,则关闭预热容器网卡上限值检查。

    参数值需为正整数。例如0,表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时,后台取值为节点的容器网卡配额。

    建议配置为大部分节点平时最多运行的Pod数。

    节点动态预热容器网卡数(nic-warm-target)

    2

    保障节点至少预热的容器网卡数,只支持数值配置。

    当 节点动态预热容器网卡数(nic-warm-target) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nic-maximum-target) 时,只会预热nic-maximum-target与节点当前绑定的容器网卡数的差值。

    建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。

    节点预热容器网卡回收阈值(nic-max-above-warm-target)

    2

    只有当 节点上空闲的容器网卡数 - 节点动态预热容器网卡数(nic-warm-target) 大于此阈值 时,才会触发预热容器网卡的解绑回收。只支持数值配置。

    • 调大此值会减慢空闲容器网卡的回收,加快Pod的启动速度,但会降低IP地址的利用率,特别是在IP地址紧张的场景,请谨慎调大
    • 调小此值会加快空闲容器网卡的回收,提高IP地址的利用率,但在瞬时大量Pod激增的场景,部分Pod启动会稍微变慢。

    建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 - 大部分节点日常10s内会瞬时弹性扩容的Pod数。