全部文档
云容器引擎 CCE云容器引擎 CCE
- 最新动态
-
服务公告
- 最新公告
- CCE安全使用指引
- Kubernetes版本支持机制
- 操作系统版本同步机制
- Kubernetes版本发布说明
-
漏洞公告
- 漏洞修复策略
- runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
- Docker资源管理错误漏洞公告(CVE-2021-21285)
- NVIDIA GPU驱动漏洞公告(CVE-2021-1056)
- Sudo缓冲区错误漏洞公告(CVE-2021-3156)
- Kubernetes安全漏洞公告(CVE-2020-8554)
- Apache containerd安全漏洞公告(CVE-2020-15257)
- Docker Engine输入验证错误漏洞公告(CVE-2020-13401)
- Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559)
- Kubernetes kubelet资源管理错误漏洞公告(CVE-2020-8557)
- Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558)
- 修复Kubernetes HTTP/2漏洞公告
- 修复Linux内核SACK漏洞公告
- 修复Docker操作系统命令注入漏洞公告(CVE-2019-5736)
- 全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105)
- 修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264)
- 产品介绍
- Kubernetes基础知识
- 快速入门
-
用户指南
- 什么是云容器引擎
- 高危操作及解决方案
- 集群管理
- 节点管理
- 节点池管理
- 工作负载
- 亲和/反亲和性调度
- 网络管理
- 存储管理-CSI
- 存储管理-Flexvolume
- 命名空间
- 配置中心
- 模板市场(helm)
- 插件管理
- 弹性伸缩
- 权限管理
- 系统管家
- 云监控服务
- 云审计服务
- 相关服务
- 新版本控制台功能说明
-
最佳实践
- 容器应用部署上云CheckList
- 集群
-
网络
- CCE集群创建时网络模型选择及各模型区别
- CCE集群的网络地址段规划实践
- 从容器访问公网
- 通过负载均衡配置实现会话保持
- 通过VPN实现两个VPC之间的跨Region互通(VPC Router网络)
- 同一VPC下的集群外节点访问集群内的PodIP
- 自建IDC与CCE集群共享域名解析
- 容器与IDC借助VPC+云专线进行网络通信
- 不同场景下容器内获取客户端源IP
- 通过配置容器内核参数增大监听队列长度
- CCE Turbo共池BMS节点容器网卡多队列配置
- 用户在CCE集群的节点上使用多网卡的配置指导
- CCE Turbo集群应用进行优雅滚动升级
- LoadBalancer类型Service使用pass-through能力
- 存储
- 容器
- 微服务治理
- 权限
- 监控
- 弹性伸缩
- 云原生化改造迁移
- 批量计算
-
API参考
- 使用前必读
- API概览
- 如何调用API
- 快速入门
- API
-
Kubernetes API
- Kubernetes API说明
- Node
- Namespace
- Resourcequotas
- Pod
- Deployment
- StatefulSet
- DaemonSet
- Job
- CronJob
- ReplicaSet
- ReplicationController
- Endpoints
- Service
- Ingress
- NetworkPolicy
- PersistentVolume
- PersistentVolumeClaim
- ConfigMap
- Secret
- RBAC
-
API groups
- 列出APIVersions
- 列出APIGroups
- listing APIResources of GroupVersion apiregistration.k8s.io/v1beta1
- listing APIResources of GroupVersion extensions/v1beta1
- listing APIResources of GroupVersion apps/v1&apps/v1beta1
- listing APIResources of GroupVersion authentication.k8s.io/v1
- listing APIResources of GroupVersion authentication.k8s.io/v1beta1
- listing APIResources of GroupVersion authorization.k8s.io/v1
- listing APIResources of GroupVersion authorization.k8s.io/v1beta1
- listing APIResources of GroupVersion autoscaling/v1
- listing APIResources of GroupVersion batch/v1
- listing APIResources of GroupVersion certificates.k8s.io/v1beta1
- listing APIResources of GroupVersion networking.k8s.io/v1
- listing APIResources of GroupVersion policy/v1beta1
- listing APIResources of GroupVersion rbac.authorization.k8s.io/v1beta1
- listing APIResources of GroupVersion storage.k8s.io/v1
- listing APIResources of GroupVersion storage.k8s.io/v1beta1
- listing APIResources of GroupVersion apiextensions.k8s.io/v1beta1
- listing APIResources of GroupVersion v1
- Event
- 历史API
- 数据结构
- 权限和授权项
- 附录
- 修订记录
-
常见问题
- 高频常见问题
- 计费类
- 集群
- 节点
- 节点池
- 工作负载
-
网络管理
- 网络规划
-
网络异常
- 工作负载网络异常时,如何定位排查?
- 为什么访问部署的应用时浏览器返回404错误码?
- 为什么容器无法连接互联网?
- VPC的子网无法删除,怎么办?
- 如何修复出现故障的容器网卡?
- 节点无法连接互联网(公网),如何排查定位?
- 如何解决VPC网段与容器网络冲突的问题?
- ELB四层健康检查导致java报错:Connection reset by peer
- Service事件:Have no node to bind,如何排查?
- 为什么登录虚拟机VNC界面会间歇性出现Dead loop on virtual device gw_11cbf51a, fix it urgently?
- 集群节点使用networkpolicy概率性出现panic问题
- 节点远程登录界面(VNC)打印较多source ip_type日志问题
- 安全加固
- 网络指导
- 其他
- 存储管理
- 模板插件
- 监控日志
- API&kubectl
- 域名DNS
- 镜像仓库
- 参考知识
- 视频帮助
- 文档下载
- 通用参考
更新时间:2021/09/10 GMT+08:00
链接复制成功!
网络平面(NetworkAttachmentDefinition)
网络平面(NetworkAttachmentDefinition)是集群的一种crd资源,为容器对接ENI(Elastic Network Interface,弹性网络接口)提供配置项,如VPC,子网等。关联网络平面的工作负载支持对接弹性网卡服务,容器能直接绑定弹性网卡,并对外提供服务。
图1 网络平面
约束与限制
- VPC网络模型的集群使用ENI为受限功能,未全面开放,如有使用ENI需求请创建CCE Turbo集群。
- 仅网络模型为VPC网络(且未开启IPv6)的集群支持创建网络平面;网络模型为容器隧道网络时列表中仅显示“default-network”,不能新增或修改。
- 需v1.13.7-r0及以上版本的集群才能启用,v1.13.7-r0以下版本集群需要升级到最新版本后才能启用。
通过界面创建
- 单击CCE左侧导航栏的“资源管理 > 网络管理”。
- 在“网络平面(NetworkAttachmentDefinition)”页签下,在右上角选择框中点选要操作的集群,单击“添加网络平面”。图2 添加网络平面
集群默认创建一个“default-network”,默认的network资源包含了tenant_id、vpc_id、subnet等信息。图3 默认网络平面
- 在添加网络平面页面,设置基本信息。
- 网络平面名称:自定义名称,请输入长度范围为4-63的字符。
- 集群名称:请选择要添加网络平面的集群。
- 安全组:安全组给弹性网卡提供访问策略,最多可以选择5条,安全组必选,不可缺省。
- 子网:请选择子网。若无子网可选请单击后方的“创建子网”进行创建,创建完成后单击刷新按钮。
图4 填写网络平面参数
- 完成基本配置后单击“创建”,创建完成后页面将自动返回到网络平面列表页,可以看到新添加的网络平面已在列表中。图5 添加网络平面成功
通过kubectl命令行创建
- 请参见通过kubectl连接集群,使用kubectl连接集群。
- 修改networkattachment-test.yaml。
vi networkattachment-test.yaml
apiVersion: k8s.cni.cncf.io/v1 kind: NetworkAttachmentDefinition metadata: annotations: tenant_id: 052fd975a300d31e2f90c01ab87e5839 generation: 3 name: test namespace: kube-system spec: config: >- {"cniVersion":"0.2.0","name":"test","type":"eni-neutron","bridge":"br0","args":{"phynet":"phy_net2","vpc_id":"7a4d731e-fe17-4b72-aa17-962b8363b2d3","securityGroups":"3289d598-8e05-40d8-b726-1f2c425d4935","subnetID":"2945a96b-03a0-4e11-9012-746fe09f714d","cidr":"192.168.1.0/24","availableZone":"cn-north-4b","region":"cn-north-4"}}表1 关键参数说明 参数
是否必填
参数类型
描述
tenant_id
是
String
Project ID
config
是
表2 config字段数据结构说明Object
网络平面配置参数
表2 config字段数据结构说明 参数
是否必填
参数类型
描述
cniVersion
是
String
cni版本,支持版本:0.3.1
name
是
String
网络平面的名称。
取值范围:1-64个字符,小写字母,数字,中划线,小写字母开头,小写字母或者数字结尾。
type
是
String
网络平面类型:
- eni-neutron : eni网络模式
- vpc-router : VPC路由网络模式
- overlay_l2 :容器隧道网络模式
bridge
是
String
网桥(已废弃)
args
是
Object
网络平面的配置参数
表3 args字段数据结构说明 参数
是否必填
参数类型
描述
phynet
是
String
物理网络平面(已废弃)
vpc_id
是
String
当前集群的虚拟私有云ID
securityGroups
是
String
安全组ID,取值范围:1-100字符。
获取方式:
在控制台的“服务列表”中,单击“网络 > 弹性负载均衡 ELB”,单击“访问控制 > 安全组”,单击安全组名称,在安全组详情页的“基本信息”页签下找到“ID”字段复制即可。
subnetID
是
String
同一VPC下非集群的子网ID,取值范围:1-100字符。
获取方式:
在控制台的“服务列表”中,单击“网络 > 弹性负载均衡 ELB”,单击“子网”,单击子网名称,在子网详情页的“基本信息”页签下找到“子网ID”字段复制即可。
cidr
是
String
无类别域间路由,即容器所在子网的网段。
availableZone
是
String
可用区。
可用区是同一服务区内,电力和网络互相独立的地理区域,一般是一个独立的物理机房,这样可以保证可用区的独立性。
region
是
String
区域。
不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。
- 创建网络平面。
kubectl create -f networkattachment-test.yaml
回显如下,表示服务已创建。
networkattachmentdefinition.k8s.cni.cncf.io/networkattachment-test created
Pod使用ENI能力
创建Pod时,在annotations中指定“k8s.v1.cni.cncf.io/networks: test”字段即可指定网络平面,目前仅支持一个网络平面,当配置多个网络平面,仅第一个网络平面生效,暂不支持更新操作。
CCE Turbo集群创建pod时,网络平面默认选择“default-network”,不需要设置“k8s.v1.cni.cncf.io/networks”字段。
“k8s.v1.cni.cncf.io/networks: test”数组中每个元素的数据结构说明请参考表4。
参数 |
是否必选 |
参数类型 |
描述 |
|---|---|---|---|
name |
是 |
String |
Pod实例所要引用的网络平面(NetworkAttachmentDefinition)名称。 |
请求示例:
{
"apiVersion":"v1",
"kind":"Pod",
"metadata":{
"annotations":{
"k8s.v1.cni.cncf.io/networks":"test"
},
"labels":{
"name":"test-pod"
},
"name":"test-pod"
},
"spec":{
"containers":[
{
"image":"test-image",
"imagePullPolicy":"IfNotPresent",
"name":"test",
"resources":{
"requests":{
"cpu":"100m"
}
}
}
],
"imagePullSecrets":[
{
"name":"default-secret"
}
],
"restartPolicy":"Always"
}
}
查看Pod时,网络平面相关属性将回写在annotations中“k8s.v1.cni.cncf.io/network-status”字段下。详情请参考表5
参数 |
是否必填 |
参数类型 |
描述 |
|---|---|---|---|
name |
是 |
String |
Pod实例所在的网络平面名称 |
ips |
是 |
Array |
Pod实例的内网地址 |
mac |
是 |
String |
ENI网卡的Mac地址,仅支持在云原生网络2.0网络模式下显示。 |
default |
是 |
Bool |
true:表示此网络平面为主网络平面。 false:表示此网络平面为非主网络平面。 |
响应示例
apiVersion: v1
kind: Pod
metadata:
name: test-pod
namespace: default
selfLink: /api/v1/namespaces/default/pods/test-pod
uid: 0fd06c29-99ad-4e8d-90f9-35366afbb048
resourceVersion: '640691'
creationTimestamp: '2021-04-08T08:14:46Z'
labels:
name: test-pod
annotations:
k8s.v1.cni.cncf.io/network-status: |-
[{
"name": "test",
"ips": [
"192.168.45.115"
],
"default": true,
"extras": {
"cni.yangtse.io/vpc-port-id": "61b0db5f-333f-4237-ac5b-f8adda236334"
}
}]
k8s.v1.cni.cncf.io/networks: test
kubernetes.io/psp: psp-global
spec:
volumes:
- name: default-token-hssgv
secret:
secretName: default-token-hssgv
defaultMode: 420
containers:
- name: test
image: 'nginx:latest'
resources:
requests:
cpu: 100m
volumeMounts:
- name: default-token-hssgv
readOnly: true
mountPath: /var/run/secrets/kubernetes.io/serviceaccount
terminationMessagePath: /dev/termination-log
terminationMessagePolicy: File
imagePullPolicy: IfNotPresent
restartPolicy: Always
terminationGracePeriodSeconds: 30
dnsPolicy: ClusterFirst
serviceAccountName: default
serviceAccount: default
nodeName: 192.168.0.238
securityContext: {}
imagePullSecrets:
- name: default-secret
schedulerName: default-scheduler
tolerations:
- key: node.kubernetes.io/not-ready
operator: Exists
effect: NoExecute
tolerationSeconds: 300
- key: node.kubernetes.io/unreachable
operator: Exists
effect: NoExecute
tolerationSeconds: 300
priority: 0
dnsConfig:
options:
- name: single-request-reopen
value: ''
- name: timeout
value: '2'
enableServiceLinks: true
preemptionPolicy: PreemptLowerPriority
status:
phase: Running
conditions:
- type: Initialized
status: 'True'
lastProbeTime: null
lastTransitionTime: '2021-04-08T08:14:46Z'
- type: Ready
status: 'True'
lastProbeTime: null
lastTransitionTime: '2021-04-08T08:14:47Z'
- type: ContainersReady
status: 'True'
lastProbeTime: null
lastTransitionTime: '2021-04-08T08:14:47Z'
- type: PodScheduled
status: 'True'
lastProbeTime: null
lastTransitionTime: '2021-04-08T08:14:46Z'
hostIP: 192.168.0.238
podIP: 192.168.45.115
podIPs:
- ip: 192.168.45.115
startTime: '2021-04-08T08:14:46Z'
containerStatuses:
- name: test
state:
running:
startedAt: '2021-04-08T08:14:47Z'
lastState: {}
ready: true
restartCount: 0
image: 'swr.cn-north-4.myhuaweicloud.com/p***67/nginx:latest'
imageID: 'docker-pullable://swr.cn-north-4.myhuaweicloud.com/p***67/nginx@sha256:18c8411a66ef352ba7fc857d924c8c9357dbd37551760fd6deba40ee68c9e62a'
containerID: 'docker://b19912a4b9265adf323fa55b19f08ee0e7600a9edb3505b45e2a5e718ff0e550'
started: true
qosClass: Burstable
其他操作
您可以查看新添加网络平面的YAML,也可以对新添加的网络平面进行“删除”操作。
如果网络平面已经被工作负载绑定且在使用中,则不能被删除。如需删除该网络平面,请先删除绑定的工作负载。
图6 管理网络平面
父主题: 网络管理
