#配置子网

#IP 分配规则

• 项目分配：

  • 如果一个项目没有绑定到子网，则该项目下所有命名空间中的 Pods 只能使用默认子网中的 IP 地址。如果默认子网中的 IP 地址不足，Pods 将无法启动。
  • 如果一个项目绑定到子网，则该项目下所有命名空间中的 Pods 只能使用该特定子网中的 IP 地址。

• 命名空间分配：

  • 如果一个命名空间没有绑定到子网，则该命名空间中的 Pods 只能使用默认子网中的 IP 地址。如果默认子网中的 IP 地址不足，Pods 将无法启动。
  • 如果一个命名空间绑定到子网，则该命名空间中的 Pods 只能使用该特定子网中的 IP 地址。

#Calico 网络

在 Calico 网络中创建子网，以实现集群内资源的更细粒度的网络隔离。

#约束和限制

在 IPv6 集群环境中，默认情况下，在 Calico 网络中创建的子网使用 VXLAN 封装。所需的 VXLAN 封装端口与 IPIP 封装的端口不同。您需要确保 UDP 端口 4789 是开放的。

#使用 Calico 网络的示例子网自定义资源 (CR)

# test-calico-subnet.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: test-calico
spec:
  cidrBlock: 10.1.1.1/24
  default: false
  ipipMode: Always
  natOutgoing: true
  private: false
  protocol: Dual
  v4blockSize: 30

#通过 Web 控制台在 Calico 网络中创建子网

1. 转到 平台管理。

2. 在左侧导航栏中，单击 网络管理 > 子网。

3. 单击 创建子网。

4. 根据以下说明配置相关参数。

   参数	描述
   CIDR	在将子网分配给项目或命名空间后，命名空间内的容器组将随机使用此 CIDR 内的 IP 地址进行通信。 注意：有关 CIDR 和 BlockSize 之间的对应关系，请参见 参考内容。
   封装协议	选择封装协议。IPIP 在双栈模式下不受支持。 IPIP：使用 IPIP 协议实现跨段通信。 VXLAN (Alpha)：使用 VXLAN 协议实现跨段通信。 无封装：通过路由转发直接连接。
   封装模式	当封装协议为 IPIP 或 VXLAN 时，必须设置封装模式，默认为 Always。 Always：始终启用 IPIP / VXLAN 隧道。 跨子网：仅当主机在不同子网时启用 IPIP / VXLAN 隧道；当主机在同一子网时通过路由转发直接连接。
   出站流量 NAT	选择是否启用出站流量 NAT（网络地址转换），默认启用。 主要用于设置子网容器组访问外部网络时暴露给外部网络的访问地址。 当启用出站流量 NAT 时，主机 IP 将作为当前子网容器组的访问地址；当未启用时，子网内容器组的 IP 将直接暴露给外部网络。

5. 单击 确认。

6. 在子网详细信息页面，选择 操作 > 分配项目 / 分配命名空间。

7. 完成配置并单击 分配。

#通过 CLI 在 Calico 网络中创建子网

kubectl apply -f test-calico-subnet.yaml

#参考内容

CIDR 和 blockSize 之间的动态匹配关系如下表所示。

#Kube-OVN 网络

在 Kube-OVN Overlay 网络中创建子网，以实现集群内资源的更细粒度的网络隔离。

#使用 Kube-OVN Overlay 网络的示例子网自定义资源 (CR)

# test-overlay-subnet.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: test-overlay-subnet
spec:
  default: false
  protocol: Dual
  cidrBlock: 10.1.0.0/23
  natOutgoing: true
  excludeIps:
    - 10.1.1.2
  gatewayType: distributed
  gatewayNode: ""
  private: false
  enableEcmp: false

#通过 Web 控制台在 Kube-OVN Overlay 网络中创建子网

1. 转到 平台管理。

2. 在左侧导航栏中，单击 网络管理 > 子网。

3. 单击 创建子网。

4. 根据以下说明配置相关参数。

   参数	描述
   网络段	在将子网分配给项目或命名空间后，该段内的 IP 将随机分配给 Pods 使用。
   保留 IP	设置的保留 IP 将不会被自动分配。例如，可以用作计算组件的 固定 IP 地址。
   网关类型	选择子网的网关类型以控制出站流量。 - 分布式：集群中的每个主机都可以作为当前主机上 Pods 的出站节点，实现分布式出站。 - 集中式：集群中的所有 Pods 使用一个或多个特定主机作为出站节点，便于外部审计和防火墙控制。设置多个集中式 网关节点 可以实现高可用性。
   ECMP (Alpha)	选择 集中式 网关时，可以使用 ECMP 功能。默认情况下，网关以主从模式运行，只有主网关处理流量。启用 ECMP（等成本多路径路由）后，出站流量将通过多个等成本路径路由到所有可用的网关节点，从而增加网关的总吞吐量。 注意：请提前启用与 ECMP 相关的功能。
   网关节点	使用 集中式 网关时，选择一个或多个特定主机作为网关节点。
   出站流量 NAT	选择是否启用出站流量 NAT（网络地址转换）。默认情况下启用。 主要用于设置 Pods 访问互联网时暴露给外部网络的访问地址。 当启用出站流量 NAT 时，主机 IP 将作为当前子网内 Pods 的访问地址；当未启用时，子网内 Pods 的 IP 将直接暴露给外部网络。在这种情况下，建议使用集中式网关。

5. 单击 确认。

6. 在子网详细信息页面，选择 操作 > 分配项目 / 命名空间。

7. 完成配置并单击 分配。

#通过 CLI 在 Kube-OVN Overlay 网络中创建子网

kubectl apply -f test-overlay-subnet.yaml

#下层网络

在 Kube-OVN 下层网络中创建子网，不仅可以实现资源的更细粒度网络隔离，还可以提供更好的性能体验。

#使用说明

在 Kube-OVN 下层网络中创建子网的一般流程为：添加桥接网络 > 添加 VLAN > 创建子网。

#通过 Web 控制台添加桥接网络（可选）

# test-provider-network.yaml
kind: ProviderNetwork
apiVersion: kubeovn.io/v1
metadata:
  name: test-provider-network
spec:
  defaultInterface: eth1
  customInterfaces:
    - interface: eth2
      nodes:
        - node1
  excludeNodes:
    - node2

桥接网络是指一个桥接，在将网络卡绑定到桥接后，可以转发容器网络流量，实现与物理网络的互通。

操作步骤：

1. 转到 平台管理。

2. 在左侧导航栏中，单击 网络管理 > 桥接网络。

3. 单击 添加桥接网络。

4. 根据以下说明配置相关参数。

   注意：

   • 目标 Pod 是指调度在当前节点上的所有 Pods 或调度到当前节点的绑定到特定子网的命名空间中的 Pods。这取决于桥接网络下子网的范围。

   • 下层子网中的节点必须具有多个网络卡，桥接网络使用的网络卡必须专门分配给下层，不能承载其他流量，例如 SSH。例如，如果桥接网络有三个节点计划使用 eth0、eth0、eth1 专门用于下层，则默认网络卡可以设置为 eth0，节点三的网络卡可以设置为 eth1。

   参数	描述
   默认网络卡名称	默认情况下，目标 Pod 将使用此作为与物理网络互通的桥接网络卡。
   按节点配置网络卡	在配置的节点上，目标 Pods 将桥接到指定的网络卡，而不是默认网络卡。
   排除节点	当排除节点时，所有调度到这些节点的 Pods 将不会桥接到这些节点上的任何网络卡。 注意：排除节点上的 Pods 将无法与物理网络或跨节点容器网络进行通信，需注意避免将相关 Pods 调度到这些节点。

5. 单击 添加。

#通过 CLI 添加桥接网络

kubectl apply -f test-provider-network.yaml

#通过 Web 控制台添加 VLAN（可选）

# test-vlan.yaml
kind: Vlan
apiVersion: kubeovn.io/v1
metadata:
  name: test-vlan
spec:
  id: 0
  provider: test-provider-network

平台预配置了 ovn-vlan 虚拟局域网，将连接到 provider 桥接网络。您还可以配置新的 VLAN 连接到其他桥接网络，从而实现 VLAN 之间的网络隔离。

操作步骤：

1. 转到 平台管理。

2. 在左侧导航栏中，单击 网络管理 > VLAN。

3. 单击 添加 VLAN。

4. 根据以下说明配置相关参数。

   参数	描述
   VLAN ID	此 VLAN 的唯一标识符，用于区分不同的虚拟局域网。
   桥接网络	VLAN 将连接到此桥接网络，以便与物理网络进行互通。

5. 单击 添加。

#通过 CLI 添加 VLAN

kubectl apply -f test-vlan.yaml

#使用 Kube-OVN 下层网络的示例子网自定义资源 (CR)

# test-underlay-network.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: test-underlay-network
spec:
  default: false
  protocol: Dual
  cidrBlock: 11.1.0.0/23
  gateway: 11.1.0.1
  excludeIps:
    - 11.1.0.3
  private: false
  allowSubnets: []
  vlan: test-vlan
  enableEcmp: false

#通过 Web 控制台在 Kube-OVN 下层网络中创建子网

操作步骤：

1. 转到 平台管理。

2. 在左侧导航栏中，单击 网络管理 > 子网。

3. 单击 创建子网。

4. 根据以下说明配置相关参数。

   参数	描述
   VLAN	子网所属的 VLAN。
   子网	在将子网分配给项目或命名空间后，物理子网内的 IP 将随机分配给 Pods 使用。
   网关	上述子网内的物理网关。
   保留 IP	指定的保留 IP 将不会被自动分配。例如，可以用作计算组件的 固定 IP 地址。

5. 单击 确认。

6. 在子网详细信息页面，选择 操作 > 分配项目 / 命名空间。

7. 完成配置并单击 分配。

#通过 CLI 在 Kube-OVN 下层网络中创建子网

kubectl apply -f test-underlay-network.yaml

#相关操作

当集群中同时存在下层和 Overlay 子网时，您可以根据需要配置 下层和 Overlay 子网之间的自动互通。

#子网管理

#通过 Web 控制台更新网关

这包括更改出站流量方式、网关节点和 NAT 配置。

1. 转到 平台管理。

2. 在左侧边栏中，单击 网络管理 > 子网。

3. 单击子网的名称。

4. 选择 操作 > 更新网关。

5. 更新参数配置；有关详细信息，请参见 参数描述。

6. 单击 确定。

#通过 CLI 更新网关

kubectl patch subnet test-overlay-subnet --type=json -p='[
  {"op": "replace", "path": "/spec/gatewayType", "value": "centralized"},
  {"op": "replace", "path": "/spec/gatewayNode", "value": "192.168.66.210"},
  {"op": "replace", "path": "/spec/natOutgoing", "value": true},
  {"op": "replace", "path": "/spec/enableEcmp", "value": true}
]'

#通过 Web 控制台更新保留 IP

网关 IP 不能从保留 IP 中删除，而其他保留 IP 可以自由编辑、删除或添加。

1. 转到 平台管理。

2. 在左侧边栏中，单击 网络管理 > 子网。

3. 单击子网的名称。

4. 选择 操作 > 更新保留 IP。

5. 更新完成后，单击 更新。

#通过 CLI 更新保留 IP

kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/excludeIps",
    "value": ["10.1.0.1", "10.1.1.2", "10.1.1.4"]
  }
]'

#通过 Web 控制台分配项目

将子网分配给特定项目有助于团队更好地管理和隔离不同项目的网络流量，确保每个项目有足够的网络资源。

1. 转到 平台管理。

2. 在左侧边栏中，单击 网络管理 > 子网。

3. 单击子网的名称。

4. 选择 操作 > 分配项目。

5. 添加或移除项目后，单击 分配。

#通过 CLI 分配项目

kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/namespaceSelectors",
    "value": [
      {
        "matchLabels": {
          "cpaas.io/project": "cong"
        }
      }
    ]
  }
]'

#通过 Web 控制台分配命名空间

将子网分配给特定命名空间可以实现更细粒度的网络隔离。

注意：分配过程将重建网关，出站数据包将被丢弃！请确保当前没有业务应用程序正在访问外部集群。

1. 转到 平台管理。

2. 在左侧边栏中，单击 网络管理 > 子网。

3. 单击子网的名称。

4. 选择 操作 > 分配命名空间。

5. 添加或移除命名空间后，单击 分配。

#通过 CLI 分配命名空间

kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/namespaces",
    "value": ["cert-manager"]
  }
]'

#通过 Web 控制台扩展子网

当子网的保留 IP 范围达到使用限制或即将耗尽时，可以根据原子网范围进行扩展，而不会影响现有服务的正常运行。

1. 转到 平台管理。

2. 在左侧边栏中，单击 网络管理 > 子网。

3. 单击子网的名称。

4. 选择 操作 > 扩展子网。

5. 完成配置并单击 更新。

#通过 CLI 扩展子网

kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/cidrBlock",
    "value": "10.1.0.0/22"
  }
]'

#管理 Calico 网络

支持分配项目和命名空间；有关详细信息，请参见 项目分配 和 命名空间分配。

#通过 Web 控制台删除子网

1. 转到 平台管理。

2. 在左侧导航栏中，单击 网络管理 > 子网。

3. 单击 ⋮ > 删除，并继续进行删除。

#通过 CLI 删除子网

kubectl delete subnet test-overlay-subnet