Alauda Container Platform
  • 简体中文

    • 配置子网

    目录

    IP 分配规则

    NOTE

    如果一个项目或命名空间被分配了多个子网,将会随机从其中一个子网中选择一个 IP 地址。

    • 项目分配:

      • 如果一个项目没有绑定到子网,则该项目下所有命名空间中的 Pods 只能使用默认子网中的 IP 地址。如果默认子网中的 IP 地址不足,Pods 将无法启动。
      • 如果一个项目绑定到子网,则该项目下所有命名空间中的 Pods 只能使用该特定子网中的 IP 地址。

    • 命名空间分配:

      • 如果一个命名空间没有绑定到子网,则该命名空间中的 Pods 只能使用默认子网中的 IP 地址。如果默认子网中的 IP 地址不足,Pods 将无法启动。
      • 如果一个命名空间绑定到子网,则该命名空间中的 Pods 只能使用该特定子网中的 IP 地址。

    Calico 网络

    在 Calico 网络中创建子网,以实现集群内资源的更细粒度的网络隔离。

    约束和限制

    在 IPv6 集群环境中,默认情况下,在 Calico 网络中创建的子网使用 VXLAN 封装。所需的 VXLAN 封装端口与 IPIP 封装的端口不同。您需要确保 UDP 端口 4789 是开放的。

    使用 Calico 网络的示例子网自定义资源 (CR)

    # test-calico-subnet.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: test-calico
spec:
  cidrBlock: 10.1.1.1/24
  default: false
  ipipMode: Always
  natOutgoing: true
  private: false
  protocol: Dual
  v4blockSize: 30
    1. default 为 true 时,使用 VXLAN 封装。
    2. 请参见封装模式参数和封装协议参数。
    3. 请参见出站流量 NAT 参数。

    通过 Web 控制台在 Calico 网络中创建子网

    1. 转到 平台管理

    2. 在左侧导航栏中,单击 网络管理 > 子网

    3. 单击 创建子网

    4. 根据以下说明配置相关参数。

      参数描述
      CIDR在将子网分配给项目或命名空间后,命名空间内的容器组将随机使用此 CIDR 内的 IP 地址进行通信。
      注意:有关 CIDR 和 BlockSize 之间的对应关系,请参见 参考内容
      封装协议选择封装协议。IPIP 在双栈模式下不受支持。
      • IPIP:使用 IPIP 协议实现跨段通信。
      • VXLAN (Alpha):使用 VXLAN 协议实现跨段通信。
      • 无封装:通过路由转发直接连接。
      封装模式当封装协议为 IPIPVXLAN 时,必须设置封装模式,默认为 Always
      • Always:始终启用 IPIP / VXLAN 隧道。
      • 跨子网:仅当主机在不同子网时启用 IPIP / VXLAN 隧道;当主机在同一子网时通过路由转发直接连接。
      出站流量 NAT选择是否启用出站流量 NAT(网络地址转换),默认启用。
      主要用于设置子网容器组访问外部网络时暴露给外部网络的访问地址。
      当启用出站流量 NAT 时,主机 IP 将作为当前子网容器组的访问地址;当未启用时,子网内容器组的 IP 将直接暴露给外部网络。

    5. 单击 确认

    6. 在子网详细信息页面,选择 操作 > 分配项目 / 分配命名空间

    7. 完成配置并单击 分配

    通过 CLI 在 Calico 网络中创建子网

    kubectl apply -f test-calico-subnet.yaml

    参考内容

    CIDR 和 blockSize 之间的动态匹配关系如下表所示。

    CIDRblockSize 大小主机数量单个 IP 池的大小
    prefix<=16261024+64
    16<prefix<=1927256~102432
    prefix=202825616
    prefix=21292568
    prefix=22302564
    prefix=23301284
    prefix=2430644
    prefix=2530324
    prefix=2631322
    prefix=2731162
    prefix=283182
    prefix=293142
    prefix=303122
    prefix=313112
    NOTE

    不支持前缀大于 31 的子网配置。

    Kube-OVN 网络

    在 Kube-OVN Overlay 网络中创建子网,以实现集群内资源的更细粒度的网络隔离。

    NOTE

    平台内置了 join 子网,用于节点和 Pods 之间的通信;请避免 join 和新创建的子网之间的网络段冲突。

    使用 Kube-OVN Overlay 网络的示例子网自定义资源 (CR)

    # test-overlay-subnet.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: test-overlay-subnet
spec:
  default: false
  protocol: Dual
  cidrBlock: 10.1.0.0/23
  natOutgoing: true
  excludeIps:
    - 10.1.1.2
  gatewayType: distributed
  gatewayNode: ""
  private: false
  enableEcmp: false
    1. 请参见出站流量 NAT 参数。
    2. 请参见保留 IP 参数。
    3. 请参见网关类型参数。可用值为 distributedcentralized
    4. 请参见网关节点参数。
    5. 请参见 ECMP 参数。前提是您联系管理员启用该功能。

    通过 Web 控制台在 Kube-OVN Overlay 网络中创建子网

    1. 转到 平台管理

    2. 在左侧导航栏中,单击 网络管理 > 子网

    3. 单击 创建子网

    4. 根据以下说明配置相关参数。

      参数描述
      网络段在将子网分配给项目或命名空间后,该段内的 IP 将随机分配给 Pods 使用。
      保留 IP设置的保留 IP 将不会被自动分配。例如,可以用作计算组件的 固定 IP 地址。
      网关类型选择子网的网关类型以控制出站流量。
      - 分布式:集群中的每个主机都可以作为当前主机上 Pods 的出站节点,实现分布式出站。
      - 集中式:集群中的所有 Pods 使用一个或多个特定主机作为出站节点,便于外部审计和防火墙控制。设置多个集中式 网关节点 可以实现高可用性。
      ECMP (Alpha)选择 集中式 网关时,可以使用 ECMP 功能。默认情况下,网关以主从模式运行,只有主网关处理流量。启用 ECMP(等成本多路径路由)后,出站流量将通过多个等成本路径路由到所有可用的网关节点,从而增加网关的总吞吐量。

      注意:请提前启用与 ECMP 相关的功能。
      网关节点使用 集中式 网关时,选择一个或多个特定主机作为网关节点。
      出站流量 NAT选择是否启用出站流量 NAT(网络地址转换)。默认情况下启用。
      主要用于设置 Pods 访问互联网时暴露给外部网络的访问地址。
      当启用出站流量 NAT 时,主机 IP 将作为当前子网内 Pods 的访问地址;当未启用时,子网内 Pods 的 IP 将直接暴露给外部网络。在这种情况下,建议使用集中式网关。

    5. 单击 确认

    6. 在子网详细信息页面,选择 操作 > 分配项目 / 命名空间

    7. 完成配置并单击 分配

    通过 CLI 在 Kube-OVN Overlay 网络中创建子网

    kubectl apply -f test-overlay-subnet.yaml

    下层网络

    在 Kube-OVN 下层网络中创建子网,不仅可以实现资源的更细粒度网络隔离,还可以提供更好的性能体验。

    INFO

    Kube-OVN 下层的容器网络需要物理网络的支持。请参阅最佳实践 准备 Kube-OVN 下层物理网络 以确保网络连接。

    使用说明

    在 Kube-OVN 下层网络中创建子网的一般流程为:添加桥接网络 > 添加 VLAN > 创建子网。

    1. 默认网络卡名称。
    2. 按节点配置网络卡。

    通过 Web 控制台添加桥接网络(可选)

    # test-provider-network.yaml
kind: ProviderNetwork
apiVersion: kubeovn.io/v1
metadata:
  name: test-provider-network
spec:
  defaultInterface: eth1
  customInterfaces:
    - interface: eth2
      nodes:
        - node1
  excludeNodes:
    - node2
    1. 默认网络卡名称。
    2. 按节点配置网络卡。

    桥接网络是指一个桥接,在将网络卡绑定到桥接后,可以转发容器网络流量,实现与物理网络的互通。

    操作步骤:

    1. 转到 平台管理

    2. 在左侧导航栏中,单击 网络管理 > 桥接网络

    3. 单击 添加桥接网络

    4. 根据以下说明配置相关参数。

      注意

      • 目标 Pod 是指调度在当前节点上的所有 Pods 或调度到当前节点的绑定到特定子网的命名空间中的 Pods。这取决于桥接网络下子网的范围。

      • 下层子网中的节点必须具有多个网络卡,桥接网络使用的网络卡必须专门分配给下层,不能承载其他流量,例如 SSH。例如,如果桥接网络有三个节点计划使用 eth0、eth0、eth1 专门用于下层,则默认网络卡可以设置为 eth0,节点三的网络卡可以设置为 eth1。

      参数描述
      默认网络卡名称默认情况下,目标 Pod 将使用此作为与物理网络互通的桥接网络卡。
      按节点配置网络卡在配置的节点上,目标 Pods 将桥接到指定的网络卡,而不是默认网络卡。
      排除节点当排除节点时,所有调度到这些节点的 Pods 将不会桥接到这些节点上的任何网络卡。

      注意:排除节点上的 Pods 将无法与物理网络或跨节点容器网络进行通信,需注意避免将相关 Pods 调度到这些节点。

    5. 单击 添加

    通过 CLI 添加桥接网络

    kubectl apply -f test-provider-network.yaml

    通过 Web 控制台添加 VLAN(可选)

    # test-vlan.yaml
kind: Vlan
apiVersion: kubeovn.io/v1
metadata:
  name: test-vlan
spec:
  id: 0
  provider: test-provider-network
    1. VLAN ID。
    2. 桥接网络引用。

    平台预配置了 ovn-vlan 虚拟局域网,将连接到 provider 桥接网络。您还可以配置新的 VLAN 连接到其他桥接网络,从而实现 VLAN 之间的网络隔离。

    操作步骤:

    1. 转到 平台管理

    2. 在左侧导航栏中,单击 网络管理 > VLAN

    3. 单击 添加 VLAN

    4. 根据以下说明配置相关参数。

      参数描述
      VLAN ID此 VLAN 的唯一标识符,用于区分不同的虚拟局域网。
      桥接网络VLAN 将连接到此桥接网络,以便与物理网络进行互通。

    5. 单击 添加

    通过 CLI 添加 VLAN

    kubectl apply -f test-vlan.yaml

    使用 Kube-OVN 下层网络的示例子网自定义资源 (CR)

    # test-underlay-network.yaml
apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: test-underlay-network
spec:
  default: false
  protocol: Dual
  cidrBlock: 11.1.0.0/23
  gateway: 11.1.0.1
  excludeIps:
    - 11.1.0.3
  private: false
  allowSubnets: []
  vlan: test-vlan
  enableEcmp: false
    1. VLAN 引用。

    通过 Web 控制台在 Kube-OVN 下层网络中创建子网

    NOTE

    平台还预配置了 join 子网,用于在 Overlay 传输模式下节点和 Pods 之间的通信。此子网在下层传输模式下将不被使用,因此必须避免 join 和其他子网之间的 IP 段冲突。

    操作步骤:

    1. 转到 平台管理

    2. 在左侧导航栏中,单击 网络管理 > 子网

    3. 单击 创建子网

    4. 根据以下说明配置相关参数。

      参数描述
      VLAN子网所属的 VLAN。
      子网在将子网分配给项目或命名空间后,物理子网内的 IP 将随机分配给 Pods 使用。
      网关上述子网内的物理网关。
      保留 IP指定的保留 IP 将不会被自动分配。例如,可以用作计算组件的 固定 IP 地址。

    5. 单击 确认

    6. 在子网详细信息页面,选择 操作 > 分配项目 / 命名空间

    7. 完成配置并单击 分配

    通过 CLI 在 Kube-OVN 下层网络中创建子网

    kubectl apply -f test-underlay-network.yaml

    相关操作

    当集群中同时存在下层和 Overlay 子网时,您可以根据需要配置 下层和 Overlay 子网之间的自动互通

    子网管理

    通过 Web 控制台更新网关

    这包括更改出站流量方式、网关节点和 NAT 配置。

    1. 转到 平台管理

    2. 在左侧边栏中,单击 网络管理 > 子网

    3. 单击子网的名称。

    4. 选择 操作 > 更新网关

    5. 更新参数配置;有关详细信息,请参见 参数描述

    6. 单击 确定

    通过 CLI 更新网关

    kubectl patch subnet test-overlay-subnet --type=json -p='[
  {"op": "replace", "path": "/spec/gatewayType", "value": "centralized"},
  {"op": "replace", "path": "/spec/gatewayNode", "value": "192.168.66.210"},
  {"op": "replace", "path": "/spec/natOutgoing", "value": true},
  {"op": "replace", "path": "/spec/enableEcmp", "value": true}
]'

    通过 Web 控制台更新保留 IP

    网关 IP 不能从保留 IP 中删除,而其他保留 IP 可以自由编辑、删除或添加。

    1. 转到 平台管理

    2. 在左侧边栏中,单击 网络管理 > 子网

    3. 单击子网的名称。

    4. 选择 操作 > 更新保留 IP

    5. 更新完成后,单击 更新

    通过 CLI 更新保留 IP

    kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/excludeIps",
    "value": ["10.1.0.1", "10.1.1.2", "10.1.1.4"]
  }
]'

    通过 Web 控制台分配项目

    将子网分配给特定项目有助于团队更好地管理和隔离不同项目的网络流量,确保每个项目有足够的网络资源。

    1. 转到 平台管理

    2. 在左侧边栏中,单击 网络管理 > 子网

    3. 单击子网的名称。

    4. 选择 操作 > 分配项目

    5. 添加或移除项目后,单击 分配

    通过 CLI 分配项目

    kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/namespaceSelectors",
    "value": [
      {
        "matchLabels": {
          "cpaas.io/project": "cong"
        }
      }
    ]
  }
]'

    通过 Web 控制台分配命名空间

    将子网分配给特定命名空间可以实现更细粒度的网络隔离。

    注意:分配过程将重建网关,出站数据包将被丢弃!请确保当前没有业务应用程序正在访问外部集群。

    1. 转到 平台管理

    2. 在左侧边栏中,单击 网络管理 > 子网

    3. 单击子网的名称。

    4. 选择 操作 > 分配命名空间

    5. 添加或移除命名空间后,单击 分配

    通过 CLI 分配命名空间

    kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/namespaces",
    "value": ["cert-manager"]
  }
]'

    通过 Web 控制台扩展子网

    当子网的保留 IP 范围达到使用限制或即将耗尽时,可以根据原子网范围进行扩展,而不会影响现有服务的正常运行。

    1. 转到 平台管理

    2. 在左侧边栏中,单击 网络管理 > 子网

    3. 单击子网的名称。

    4. 选择 操作 > 扩展子网

    5. 完成配置并单击 更新

    通过 CLI 扩展子网

    kubectl patch subnet test-overlay-subnet --type=json -p='[
  {
    "op": "replace",
    "path": "/spec/cidrBlock",
    "value": "10.1.0.0/22"
  }
]'

    管理 Calico 网络

    支持分配项目和命名空间;有关详细信息,请参见 项目分配命名空间分配

    通过 Web 控制台删除子网

    NOTE

    • 当子网被删除时,如果仍有容器组使用子网内的 IP,容器组可以继续运行,IP 地址将保持不变,但它们将无法通过网络进行通信。容器组可以重建以使用默认子网内的 IP,或为容器组所在的命名空间分配新的子网以供使用。

    • 默认子网无法删除。

    1. 转到 平台管理

    2. 在左侧导航栏中,单击 网络管理 > 子网

    3. 单击 ⋮ > 删除,并继续进行删除。

    通过 CLI 删除子网

    kubectl delete subnet test-overlay-subnet