云容器引擎 CCE-集群网络地址段规划实践:单VPC下多集群场景

时间：2023-11-08 20:03:02

云容器引擎 CCE 网络

VPC网络模式

Pod的报文需要通过VPC路由转发，CCE会自动在VPC路由上配置到每个容器网段的路由表，集群组网规模受限于VPC路由表能力。集群网络地址段规划示意图如图4所示。

VPC网段：集群所在的VPC网段，该网段的大小影响集群中可创建的节点数量上限。
子网网段：每个集群中的子网网段不能和容器网段重叠。
容器网段：单VPC中存在多个VPC网络模型集群的场景下，由于各个集群使用同一路由表，因此所有集群的容器网段不能相互重叠。在此情况下，如果节点安全组在入方向上放通对端集群的容器网段，一个集群的Pod可以通过容器IP直接访问另外一个集群的Pod。
服务网段：由于服务网段只能在集群中使用，因此集群之间服务网段可以重叠，但是不能和所属集群的子网网段和容器网段重叠。

图4 VPC网络-多集群场景示例
点击放大

容器隧道网络

该模式下容器网络是承载于VPC网络之上的Overlay网络平面，具有少量隧道封装性能损耗，但获得了通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。集群网络地址段规划示意图如图5所示。

VPC网段：集群所在的VPC网段，该网段的大小影响集群中可创建的节点数量上限。
子网网段：每个集群中的子网网段不能和容器网段重叠。
容器网段：所有集群的容器网段可以重叠。在此情况下不同集群的Pod不能通过容器IP直接访问，跨集群容器之间的访问需要通过Service，建议使用负载均衡类型的Service。
服务网段：由于服务网段只能在集群中使用，因此集群之间服务网段可以重叠，但是不能和所属集群的子网网段和容器网段重叠。

图5 容器隧道网络-多集群场景示例
点击放大

云原生网络2.0模式（即CCE Turbo集群）

该模式下集群直接从VPC网段内分配容器IP地址，支持ELB直通容器、支持容器直接绑定安全组等多种VPC网络的能力，极大提高了网络连通速度和转发效率。

VPC网段：集群所在的VPC网段，在CCE Turbo集群中，该网段的大小影响集群中可创建的节点数量与容器数量之和。
子网网段：CCE Turbo集群中的子网网段没有特殊限制。
容器子网：容器子网的网段包含在VPC网段中，且不同集群的容器子网之间可以重叠，也可以和子网网段重叠。但仍建议您将不同集群的容器网段错开，且尽量保证容器子网网段的IP数充足。在此情况下，如果集群ENI安全组在入方向上放通对端集群的容器子网网段，不同集群的Pod之间可以直接通过IP访问。
服务网段：由于服务网段只能在集群中使用，因此集群之间服务网段可以重叠，但是不能和所属集群的子网网段和容器子网网段重叠。

图6 云原生网络2.0-多集群场景示例
点击放大

多网络模式集群并存场景

同一VPC中包含多个网络模式的集群时，应在创建新集群时遵循以下规律：

VPC网段：该场景下各个集群所在的VPC网段相同，请保证VPC内可用的IP地址数充足。
子网网段：子网网段尽量避免和容器网段重叠。即使在某些场景下（例如和CCE Turbo集群共存时），子网网段可以和容器（子网）网段重叠，但从地址段规划角度出发，这是不推荐的。
容器网段：仅VPC网络模式的集群间的容器网段需要避免相互重叠。
服务网段：所有集群之间服务网段可以重叠，但是不能和所属集群的子网网段和容器网段重叠。