容器隧道网络模型 容器隧道网络模型说明 配置网络策略限制Pod访问的对象 父主题： 容器网络

查看更多 →

优缺点 优点 容器网络和节点网络解耦，不受VPC配额规格、响应速度的限制（如VPC路由条目数、弹性网卡数、创建速度限制）。 支持网络隔离，具体请参见配置网络策略限制Pod访问的对象。 支持带宽限制。 支持大规模组网，最大可支持2000节点规模。 缺点 由于隧道封装，网络问题排查难度较大，整体性能较低。

查看更多 →

表1 添加入方向规则 参数 参数说明 协议端口 填写需要关联的Pod的入方向协议类型和端口，目前支持TCP和UDP协议。不填写表示全部放通。 源对象命名空间 选择允许哪个命名空间的对象访问。不填写表示和当前策略属于同一命名空间。 源对象Pod标签 允许带有这个标签的Pod访问，不填写表示允许命名空间下全部Pod访问。

查看更多 →

容器网络 容器网络模型对比 云原生网络2.0模型 VPC网络模型 容器隧道网络模型 Pod网络配置 父主题： 网络

查看更多 →

路由模式采用VPC路由表的方式与底层网络相结合，能够更加便捷地连接容器和主机，在性能上会优于Overlay的隧道封装。 Underlay模式是借助驱动程序将节点的底层网络接口直接暴露给容器使用的一种网络构建技术，享有较高的性能，较为常见的解决方案有IP VLAN等。 图2 不同节点上的Pod通信

查看更多 →

连通VPC和其他VPC的网络（私网网络） 连通相同区域的VPC网络 如果您需要连通网络的VPC位于同一个区域，您可以使用VPC对等连接、企业路由器，以下为您提供典型的网络连接方案。 关于不同网络连接服务的详细介绍和主要特点，请您参见连通VPC和其他VPC的网络。 连通VPC和其他

查看更多 →

容器网络插件 CoreDNS 域名 解析 NGINX Ingress控制器 节点本地域名解析加速 父主题： 插件

查看更多 →

容器如何访问VPC内部网络 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（VPC内集群外），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络

查看更多 →

VPC网络模型 VPC网络模型说明 扩展集群容器网段 父主题： 容器网络

查看更多 →

，比如：AI计算、大数据计算等。 中小规模组网：由于VPC路由网络受限于VPC路由表条目配额的限制，建议集群规模为1000节点及以下。 性能要求高：由于云原生网络2.0直接使用VPC网络构建容器网络，容器通信不需要进行隧道封装和NAT转换，所以适用于对带宽、时延要求极高的业务场景，比如：线上直播、电商抢购等。

查看更多 →

容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置，可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool

查看更多 →

业。 规格差异 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络2.0：面向大规模和高性能的场景。 网络性能 VPC网络叠加容器网络，性能有一定损耗

查看更多 →

VPC网络性能，所以适用于对性能要求较高的业务场景，比如：AI计算、大数据计算等。 中小规模组网：由于VPC路由网络受限于VPC路由表条目配额的限制，建议集群规模为1000节点及以下。 性能要求高：由于云原生网络2.0直接使用VPC网络构建容器网络，容器通信不需要进行隧道封装和N

查看更多 →

支持虚拟机和 裸金属服务器 混合 网络 网络模型 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 容器网络隔离

查看更多 →

Subnet-A01和Subnet-A02的业务E CS 需要访问公网。首先在子网Subnet-NAT中创建公网NAT网关，其次在公网NAT网关中，分别配置Subnet-A01和Subnet-A02的子网网段对应的SNAT规则，可以实现Subnet-A01和Subnet-A02中所有ECS共用EIP-A访问公网的需求。

查看更多 →

VPC网络安全 通过安全组和网络ACL实现VPC的访问控制 通过对等连接和第三方防火墙实现多VPC互访流量清洗 通过第三方防火墙实现VPC和云下数据中心互访流量清洗

查看更多 →

搭建VPC网络环境 规划vpc网段，如 192.168.0.0/16 创建vpc网络： 在产品列表里搜索vpc，进入vpc控制台 图1 进入vpc控制台 创建vpc，选择区域，填写提前规划的网段、选择可用区 图2 创建vpc 父主题： 实施步骤

查看更多 →

可用IP数和集群规模的影响，详情请参见网段规划建议。 网段规划建议 在集群网络构成中介绍集群中网络地址可分为集群网络、容器网络、服务网络三块，在规划网络地址时需要从如下方面考虑： 三个网段不能重叠，否则会导致冲突。且集群所在VPC下所有子网（包括扩展网段子网）不能和容器网段、服务网段冲突。

查看更多 →

单击“配置规则”，系统自动跳转到安全组页面。 根据界面提示设置入方向规则和出方向规则。 详细操作请参见添加安全组规则。 相关操作 修改或删除网络防御策略 进入企业主机安全控制台。 在左侧导航栏选择“ > 容器防火墙”，进入“容器防火墙”页面。 （可选）如果您已开通企业项目，可在界面上方的“

查看更多 →

跨集群通信经过东西向流量网关，存在转发性能瓶颈 扁平网络和非扁平网络集群混合场景 图3 扁平网络和非扁平网络混合部署 为了减少运维负担，不建议扁平网络和非扁平网络的集群混合加入ASM网格中，如果必须混合部署，有以下使用约束： 所有扁平网络的集群必须使用容器对接ENI的网络模型，对非扁平网络的集群没有特殊要求。

查看更多 →

DNAT：用于从集群外部访问的场景，为集群节点提供网络地址转换服务，使多个节点可以共享使用弹性IP。 Service的详细介绍请参见服务概述。 Ingress Service是基于四层TCP和UDP协议转发的，而Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。

查看更多 →