本文介绍在使用ACK Edge集群时,通过Terway Edge作为CNI插件提供Underlay容器网络通信。
Terway Edge网络插件目前处于公测阶段,如需开通请提交工单申请。
网络架构介绍
Terway Edge与ACK集群Pro版中的Terway的不同之处在于其网络架构划分为云端和边缘两个部分。在云端节点池采用了与ACK集群Pro版一致的Terway网络插件,在边缘侧则采用Flannel插件。
非跨域容器间通信:云端节点池以及边缘节点池内的容器间通信在各自的网络域内完成,无需额外配置。
跨域容器间通信:若需实现云端与边缘容器的通信,应通过专线方案打通网络,并在边界路由器上配置相应路由。以图为例,云端VPC网段为192.168.0.0/16,边缘容器网段为10.0.0.0/16。
云端至边缘通信:在云端的边界路由器上配置边缘容器网段(10.0.0.0/16),通过专线连接到IDC路由设备上,边缘侧Flannel组件具有BGP宣告能力,将边缘侧容器网段以及路由宣告给IDC路由设备,即可实现从云端到边缘容器网络通信。
边缘至云端通信:在边缘侧的IDC路由设备上配置通往云端容器网段(192.168.0.0/16)的路由,并通过专线连接至云端的边界路由器,同时在云端边界路由器上配置该网段到对应的VPC内,即可实现从边缘到云端容器网络通信。
注意事项
使用Terway Edge网络插件时,需要边缘侧网关设备(交换机)支持BGP协议,并能够与集群内的某些节点配置BGP邻居关系。
在IDC网关设备上,容器网段不得与其他网段发生冲突。
云端网络CNI
在ACK Edge集群的云端节点池采用了阿里云Terway插件,Terway网络插件是基于阿里云的虚拟化网络中的弹性网卡(ENI)资源构建的云原生容器网络方案。通过此插件,Pod可以直接分配VPC中的IP地址,具有以下特性:
容器和虚拟机(ECS)共享相同的网络层。
不依赖封包或路由表,分配给容器的网络设备ENI本身可以直接通信。
更多详细信息,请参见Terway容器网络插件。
边缘侧网络CNI
在ACK Edge集群的边缘节点池中,采用Flannel网络插件,并且自研Route模式支持Underlay容器网络。具有以下特性:
需要为每个节点设置独立的Pod网段,并均匀划分,以便每个节点上的Pod可以从其划分的网段中分配IP地址。
Flannel会在主机网络栈路由表中配置路由规则,容器间网络通信通过主机路由转发到目的Pod所在的主机。
Flannel具有BGP宣告能力,会将本网络域的容器路由宣告给交换机,对于跨域的容器网络请求,流量将经过交换机及BGP路由路径转发至对应网络域的网关设备,再由其发送给目的Pod。