#Underlay 和 Overlay 子网的自动互联

如果集群同时存在 Underlay 和 Overlay 子网，默认情况下，Overlay 子网下的 Pod 可以通过网关使用 NAT 访问 Underlay 子网中 Pod 的 IP。但 Underlay 子网中的 Pod 需要配置节点路由才能访问 Overlay 子网中的 Pod。

为了实现 Underlay 和 Overlay 子网之间的自动互联，可以手动修改 Underlay 子网的 YAML 文件。配置完成后，Kube-OVN 还会使用额外的 Underlay IP 连接 Underlay 子网和 ovn-cluster 逻辑路由器，设置相应的路由规则以实现互联。

#操作步骤

1. 进入 管理员。

2. 在左侧导航栏点击 集群管理 > 资源管理。

3. 输入 Subnet 过滤资源对象。

4. 在需要修改的 Underlay 子网旁点击 ⋮ > 更新。

5. 修改 YAML 文件，在 Spec 中添加字段 u2oInterconnection: true。

6. 点击 更新。

注意：Underlay 子网中已有的计算组件需要重新创建，修改才会生效。

#启用 u2oInterconnection 的 Underlay 子网之间的隔离

当多个 Underlay 子网启用 u2oInterconnection: true 时，它们之间的流量不再经过物理网关，而是通过内部 OVN 网络直接路由。

如果需要在两个都启用了 u2oInterconnection 的 Underlay 子网之间实现隔离，必须先配置 kube-ovn-controller 参数，再配置子网隔离。

#第一步：配置 kube-ovn-controller

修改 kube-ovn-controller Deployment，关闭目标逻辑端口 IP 的连接跟踪跳过：

kubectl edit deployment kube-ovn-controller -n kube-system

添加或修改如下参数：

spec:
  template:
    spec:
      containers:
      - name: kube-ovn-controller
        args:
        - --ls-ct-skip-dst-lport-ips=false

#第二步：配置子网隔离

对子网配置如下参数：

spec:
  u2oInterconnection: true
  acls:
  - action: drop
    direction: to-lport  # 入站方向（流量进入逻辑端口）
    match: ip4.src == 172.20.0.0/16
    priority: 1002
  - action: drop
    direction: to-lport  # 入站方向
    match: ip4.src == 192.50.0.0/16
    priority: 1002

ACL 参数说明：