准备 Kube-OVN Underlay 物理网络
Kube-OVN Underlay 传输模式下的容器网络依赖于物理网络支持。在部署 Kube-OVN Underlay 网络之前,请与网络管理员协作,提前规划并完成物理网络的相关配置,确保网络连通性。
目录
使用说明
Kube-OVN Underlay 需要多网卡(NIC)部署,且 Underlay 子网必须专用一块网卡,该网卡上不能有其他类型的流量(如 SSH),其他流量应使用其他网卡。
使用前,请确保节点服务器至少具备双网卡环境,且建议网卡速率至少为 10 Gbps 或更高(如 10 Gbps、25 Gbps、40 Gbps)。
-
网卡一:带默认路由的网卡,配置有 IP 地址,与外部交换机接口互联,交换机端口设置为 Access 模式。
-
网卡二:无默认路由且未配置 IP 地址的网卡,与外部交换机接口互联,交换机端口设置为 Trunk 模式。Underlay 子网专用网卡二。
术语说明
VLAN(虚拟局域网)是一种将局域网逻辑划分为多个段(或更小的局域网)以便虚拟工作组数据交换的技术。
VLAN 技术的出现使管理员能够根据实际应用需求,将同一物理局域网内的不同用户逻辑划分为不同的广播域。每个 VLAN 由一组具有相似需求的计算机工作站组成,具备与物理形成的局域网相同的属性。由于 VLAN 是逻辑划分而非物理划分,同一 VLAN 内的工作站不必局限于同一物理区域,可以分布在不同的物理局域网段。
VLAN 的主要优点包括:
-
端口隔离。即使在同一交换机上,不同 VLAN 的端口之间也无法通信。物理交换机可以作为多个逻辑交换机使用。常用于控制网络中不同部门和站点之间的相互访问。
-
网络安全。不同 VLAN 之间不能直接通信,消除了广播信息的不安全性。VLAN 内的广播和单播流量不会转发到其他 VLAN,有助于控制流量、减少设备投入、简化网络管理并提升网络安全。
-
灵活管理。更改用户网络归属时,无需更换端口或线缆,仅需软件配置变更。
环境要求
在 Underlay 模式下,Kube-OVN 将物理网卡桥接到 OVS,通过该物理网卡直接向外发送数据包。L2/L3 转发能力依赖底层网络设备,需在底层网络设备上预先配置对应的网关、VLAN 和安全策略。
-
网络配置要求
-
Kube-OVN 启动容器时通过 ICMP 协议检测网关连通性,底层网关必须响应 ICMP 请求。
-
对于服务访问流量,Pod 会先将数据包发送到网关,网关必须具备将数据包转发回本地子网的能力。
-
当交换机或桥接启用 Hairpin 功能时,必须禁用 Hairpin。若使用 VMware 虚拟机环境,需在 VMware 主机上将 Net.ReversePathFwdCheckPromisc 设置为 1,此时无需禁用 Hairpin。
-
桥接的网卡不能是Linux Bridge。
-
网卡绑定模式支持 Mode 0(balance-rr)、Mode 1(active-backup)、Mode 4(802.3ad)、Mode 6(balance-alb),推荐使用 0 或 1。其他绑定模式未测试,请谨慎使用。
-
-
IaaS(虚拟化)层配置要求
-
OpenStack 虚拟机环境需关闭对应网络端口的 PortSecurity。
-
VMware vSwitch 网络需将 MAC Address Changes、Forged Transmits 和 Promiscuous Mode Operation 均设置为 Accept。
-
公有云如 AWS、GCE、阿里云等因不支持用户自定义 MAC 地址,无法支持 Underlay 模式网络。
-
配置示例
本示例中的节点为双网卡物理机。网卡一为带默认路由的网卡;网卡二为无默认路由且未配置 IP 地址的网卡,专用于 Underlay 子网,网卡二与外部交换机互联。
-
交换机侧,连接网卡二的接口应配置为 Trunk 模式,允许对应 VLAN 通过。
-
在对应 vlan-interface 接口上配置集群子网的网关地址。如需双栈,可同时配置 IPv6 网关地址。
-
若网关位于防火墙后,需允许节点访问 cluster-cidr 网络。
-
服务器网卡无需配置。
交换机配置
配置 VLAN 接口:
配置连接网卡二的接口:
检查网络连通性
测试网卡二是否能与网关地址通信:
平台配置
在左侧导航栏点击 Cluster Management > Cluster,然后点击 Create Cluster。具体配置流程请参考Create Cluster文档,容器网络配置示例如下图所示。
注意:Join 子网在 Underlay 环境中无实际意义,主要用于后续创建 Overlay 子网,提供节点与容器组间通信所需的 IP 地址段。
