容器隧道网络模型 容器隧道网络模型说明 配置网络策略限制Pod访问的对象 父主题： 容器网络

查看更多 →

优缺点 优点 容器网络和节点网络解耦，不受VPC配额规格、响应速度的限制（如VPC路由条目数、弹性网卡数、创建速度限制）。 支持网络隔离，具体请参见配置网络策略限制Pod访问的对象。 支持带宽限制。 支持大规模组网，最大可支持2000节点规模。 缺点 由于隧道封装，网络问题排查难度较大，整体性能较低。

查看更多 →

表1 添加入方向规则 参数 参数说明 协议端口 填写需要关联的Pod的入方向协议类型和端口，目前支持TCP和UDP协议。不填写表示全部放通。 源对象命名空间 选择允许哪个命名空间的对象访问。不填写表示和当前策略属于同一命名空间。 源对象Pod标签 允许带有这个标签的Pod访问，不填写表示允许命名空间下全部Pod访问。

查看更多 →

路由模式采用VPC路由表的方式与底层网络相结合，能够更加便捷地连接容器和主机，在性能上会优于Overlay的隧道封装。 Underlay模式是借助驱动程序将节点的底层网络接口直接暴露给容器使用的一种网络构建技术，享有较高的性能，较为常见的解决方案有IP VLAN等。 图2 不同节点上的Pod通信

查看更多 →

容器网络 容器网络模型对比 云原生网络2.0模型 VPC网络模型 容器隧道网络模型 Pod网络配置 父主题： 网络

查看更多 →

容器如何访问VPC内部网络 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（VPC内集群外），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络

查看更多 →

容器网络插件 CoreDNS 域名 解析 NGINX Ingress控制器 节点本地域名解析加速 父主题： 插件

查看更多 →

VPC网络模型 VPC网络模型说明 扩展集群容器网段 父主题： 容器网络

查看更多 →

，比如：AI计算、大数据计算等。 中小规模组网：由于VPC路由网络受限于VPC路由表条目配额的限制，建议集群规模为1000节点及以下。 性能要求高：由于云原生网络2.0直接使用VPC网络构建容器网络，容器通信不需要进行隧道封装和NAT转换，所以适用于对带宽、时延要求极高的业务场景，比如：线上直播、电商抢购等。

查看更多 →

业。 规格差异 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络2.0：面向大规模和高性能的场景。 网络性能 VPC网络叠加容器网络，性能有一定损耗

查看更多 →

支持虚拟机和 裸金属服务器 混合 网络 网络模型 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 容器网络隔离

查看更多 →

容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置，可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool

查看更多 →

VPC网络性能，所以适用于对性能要求较高的业务场景，比如：AI计算、大数据计算等。 中小规模组网：由于VPC路由网络受限于VPC路由表条目配额的限制，建议集群规模为1000节点及以下。 性能要求高：由于云原生网络2.0直接使用VPC网络构建容器网络，容器通信不需要进行隧道封装和N

查看更多 →

搭建VPC网络环境 规划vpc网段，如 192.168.0.0/16 创建vpc网络： 在产品列表里搜索vpc，进入vpc控制台 图1 进入vpc控制台 创建vpc，选择区域，填写提前规划的网段、选择可用区 图2 创建vpc 父主题： 实施步骤

查看更多 →

可用IP数和集群规模的影响，详情请参见网段规划建议。 网段规划建议 在集群网络构成中介绍集群中网络地址可分为集群网络、容器网络、服务网络三块，在规划网络地址时需要从如下方面考虑： 三个网段不能重叠，否则会导致冲突。且集群所在VPC下所有子网（包括扩展网段子网）不能和容器网段、服务网段冲突。

查看更多 →

DNAT：用于从集群外部访问的场景，为集群节点提供网络地址转换服务，使多个节点可以共享使用弹性IP。 Service的详细介绍请参见服务概述。 Ingress Service是基于四层TCP和UDP协议转发的，而Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。

查看更多 →

单击“配置规则”，系统自动跳转到安全组页面。 根据界面提示设置入方向规则和出方向规则。 详细操作请参见添加安全组规则。 相关操作 修改或删除网络防御策略 进入主机安全服务控制台。 在左侧导航栏选择“ > 容器防火墙”，进入“容器防火墙”页面。 （可选）如果您已开通企业项目，可在界面上方的“

查看更多 →

无约束 OS插件，用于故障检测。 icAgent icagent default CCE默认安装当前适配版本 无约束 CCE基础组件，用于日志和监控。 gpuDriver gpu-driver 515.65.01（推荐） 510.47.03 470.182.03 470.57.02

查看更多 →

跨集群通信经过东西向流量网关，存在转发性能瓶颈 扁平网络和非扁平网络集群混合场景 图3 扁平网络和非扁平网络混合部署 为了减少运维负担，不建议扁平网络和非扁平网络的集群混合加入ASM网格中，如果必须混合部署，有以下使用约束： 所有扁平网络的集群必须使用容器对接ENI的网络模型，对非扁平网络的集群没有特殊要求。

查看更多 →

的端）是否开启了容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。 如果使用VPN或“对等连接”等方式打通了小网通信，需要在中间路上和目的地，都需要在对等连接添加容器网段的路由。 “云原生网络2.0”模型的集群需要根据业务诉求放通容器关联的安全组，容器关联的默认安全组

查看更多 →

容器防火墙概述 容器防火墙是一种为容器环境提供的防火墙服务，支持对容器集群内部与外部的网络流量进行控制和拦截，防止恶意访问和攻击。 约束与限制 仅HSS容器版支持该功能，购买和升级HSS的操作，请参见购买主机安全防护配额和配额版本升级。 支持防护的容器网络模型如下： CCE集群：容器隧道网络模型、云原生网络2

查看更多 →