文档

为Pod配置IPv6公网带宽

更新时间:

默认情况下,IPv6地址只具备私网访问能力。如果Pod需要访问公网IPv6地址,则需要使用IPv6网关对IPv6地址进行带宽配置。本文介绍如何为Pod的IPv6地址配置带宽包,以及出访问规则。

前提条件

重要

仅部分ECS实例支持IPv6功能。详细信息,请参见实例规格族

使用限制

  • 本功能仅支持普通ECS节点,不支持ECI实例。

  • 带宽大小、配置条目数受限于IPv6网关能力,使用约束请参见使用限制

在ack-extend-network-controller中开启IPv6 gateway功能

ack-extend-network-controller需要访问阿里云OpenAPI来创建资源,您需要在RAM中配置相应的权限,然后在应用市场中安装ack-extend-network-controller,并通过注解为指定Pod创建和关联IPv6 gateway。具体操作,如下所示:

步骤一:配置DNAT所需的RAM权限

  1. 登录容器服务管理控制台,在左侧导航栏单击集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息

  3. 集群信息页面,单击集群资源页签,然后单击Worker RAM角色右侧链接。

  4. 创建自定义权限策略,策略内容如下。具体操作,请参见步骤一:创建自定义权限策略

    {
          "Effect": "Allow",
          "Action": [
            "vpc:DescribeIpv6Addresses",
            "vpc:CreateIpv6EgressOnlyRule",
            "vpc:DeleteIpv6EgressOnlyRule",
            "vpc:DescribeIpv6EgressOnlyRules",
            "vpc:AllocateIpv6InternetBandwidth",
            "vpc:DeleteIpv6InternetBandwidth"
          ],
          "Resource": [
            "*"
          ],
          "Condition": {}
        }
  5. 为集群的Worker RAM角色授权。具体操作,请参见步骤二:为集群的Worker RAM角色授权

步骤二:为ack-extend-network-controller组件开启natgw控制器

安装ack-extend-network-controller组件,并且开启natgw控制器。您可以在ACK应用市场中选择安装,请参见应用市场

natgw控制器配置参数如下。

clusterID: "c11ba338192xxxxxxx"          # 请按实际情况填写。
regionID: "cn-hangzhou"                  # 请按实际情况填写。
vpcID: "vpc-bp1rkq0zxxxxxx"              # 请按实际情况填写。
enableControllers:
  - ipv6gw                               # 启用IPv6网关。
networkController:
  ipv6GatewayController:
    maxConcurrentReconciles: 10          # 控制器并发数量。

credential:                               # 使用AK/SK,ACK托管和ACK专有集群推荐使用RamRole模式配置。
  accessKey: ""
  accessSecret: ""

为Pod配置IPv6网络的带宽和规则

您可以使用以下Pod Annotations配置IPv6网络的带宽、计费方式以及规则:

Pod Annotations

Value

k8s.aliyun.com/ipv6-bandwidth

IPv6网关的公网带宽,单位:Mbps。取值范围:1~5000。

更多信息,请参见AllocateIpv6InternetBandwidth

k8s.aliyun.com/ipv6-internet-charge-type

IPv6公网带宽的计费方式,取值:

  • PayByTraffic:按使用流量计费。

  • PayByBandwidth(默认值):按带宽计费。

更多信息,请参见AllocateIpv6InternetBandwidth

k8s.aliyun.com/ipv6-egress-only

创建只出规则。

控制台操作指导

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择工作负载 > 无状态

  3. 无状态页面的右上角,单击使用YAML创建资源,然后将如下YAML示例粘贴至模板,然后单击创建

    以下示例将为Pod配置10 Mbps大小的IPv6带宽,并且创建只出规则。

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: example
      labels:
        app: example
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: example
      template:
        metadata:
          labels:
            app: example
          annotations:
            k8s.aliyun.com/ipv6-bandwidth: "10" # 设置IPv6网关的公网带宽为10 Mbps。
            k8s.aliyun.com/ipv6-egress-only: "" # 创建只出规则。
        spec:
          containers:
          - name: example
            image: nginx
  4. 无状态页面,单击名为example的Deployment,然后在example的基本信息页面,可查看已创建Pod(容器组)的名称。

  5. 执行如下命令,您可以访问Pod同名的资源podipv6gws.alibabacloud.com,跟踪分配的带宽包和只出访问规则信息。

    kubectl get podipv6gws.alibabacloud.com  -oyaml example-674b897446-q****

    预期输出:

    apiVersion: alibabacloud.com/v1beta1
    kind: PodIPv6GW
    metadata:
      creationTimestamp: "2024-02-07T06:00:48Z"
      finalizers:
      - ipv6gw-controller.alibabacloud.com/finalizer
      generation: 1
      name: example-674b897446-q****
      namespace: default
      ownerReferences:
      - apiVersion: v1
        kind: Pod
        name: example-674b897446-q****
        uid: bdf86c45-7**5-4**4-b**3-9b****
      resourceVersion: "11488"
      uid: 78747d60-9**8-4**e-b**8-f7f7c****
    spec:
      bandwidth: 10
      egressOnlyRule: true
      ipv6Address: 2408:4006:1115:xxxx:xxxx:xxxx:xxxx:xxxx
     status:
        ipv6AddressID: ipv6-xxx
        ipv6EgressOnlyRuleID: ipv6py-xxx
        ipv6GatewayID: ipv6gw-xxx
        ipv6InternetBandwidthID: ipv6bw-xxx

kubectl操作指导

  1. 使用以下内容,创建example.yaml。

    以下示例将为Pod配置10 Mbps大小的IPv6带宽,并且创建只出规则。

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: example
      labels:
        app: example
    spec:
      replicas: 1
      selector:
        matchLabels:
          app: example
      template:
        metadata:
          labels:
            app: example
          annotations:
            k8s.aliyun.com/ipv6-bandwidth: "10" # 设置IPv6网关的公网带宽为10 Mbps。
            k8s.aliyun.com/ipv6-egress-only: "" # 创建只出规则。
        spec:
          containers:
          - name: example
            image: nginx
  2. 执行以下命令,创建资源对象。

    kubectl apply -f example.yaml

    预期输出:

    deployment.apps/example created
  3. 执行以下命令,查看已创建Pod的名称。

    kubectl get podipv6gws -n <example所在的命名空间>
  4. 执行如下命令,您可以访问Pod同名的资源podipv6gws.alibabacloud.com,跟踪分配的带宽包和只出访问规则信息。

    kubectl get podipv6gws.alibabacloud.com  -oyaml example-674b897446-q****

    预期输出:

    apiVersion: alibabacloud.com/v1beta1
    kind: PodIPv6GW
    metadata:
      creationTimestamp: "2024-02-07T06:00:48Z"
      finalizers:
      - ipv6gw-controller.alibabacloud.com/finalizer
      generation: 1
      name: example-674b897446-q****
      namespace: default
      ownerReferences:
      - apiVersion: v1
        kind: Pod
        name: example-674b897446-q****
        uid: bdf86c45-7**5-4**4-b**3-9b****
      resourceVersion: "11488"
      uid: 78747d60-9**8-4**e-b**8-f7f7c****
    spec:
      bandwidth: 10
      egressOnlyRule: true
      ipv6Address: 2408:4006:1115:xxxx:xxxx:xxxx:xxxx:xxxx
     status:
        ipv6AddressID: ipv6-xxx
        ipv6EgressOnlyRuleID: ipv6py-xxx
        ipv6GatewayID: ipv6gw-xxx
        ipv6InternetBandwidthID: ipv6bw-xxx

常见问题

ACK Serverless集群中如何部署ack-extend-network-controller组件?

我们不推荐您在ACK Serverless集群部署该组件。如需部署,请先为RAM用户生成访问密钥(AccessKey)。具体操作,请参见创建RAM用户创建自定义权限策略。然后,在应用市场部署组件时,配置到对应参数中。

相关文档

关于如何在Pod中访问外部网络的更多信息,请参见在Pod中访问外部网络