CCE集群网络说明及规划

容器引擎 CCE

  • 功能发布记录
  • 产品公告
    • CCE 控制台升级公告
    • CCE 新版集群管理发布公告
    • Kubernetes 版本发布说明
      • CCE Kubernetes 版本更新说明
  • 产品描述
    • 介绍
    • 核心概念
    • 优势
    • 特性
    • 应用场景
  • 产品定价
    • 产品定价
  • 快速入门
    • 使用CCE容器引擎流程概述
    • 快速部署nginx应用
  • 操作指南
    • 集群管理
      • 创建集群
      • 查看集群
      • 操作集群
      • 通过 kubectl 连接集群
      • CCE节点资源预留说明
      • CCE 节点 CDS 扩容
      • CCE 安全组
      • 集群快照
    • 节点管理
      • 添加节点
      • 移出节点
      • 设置节点封锁
      • 设置GPU显存共享
      • 管理节点标签
      • 管理污点
    • 节点组管理
      • 节点组介绍
      • 节点组管理
    • 命名空间管理
      • 命名空间基本操作
      • 设置命名空间资源限制
    • Helm管理
      • Helm模板
      • Helm实例
    • 工作负载
      • Deployment管理
      • Daemonset管理
      • Statefulset管理
      • Job管理
      • CronJob管理
      • 查看容器组
      • 设置工作负载自动水平伸缩
      • 使用私有镜像创建工作负载
      • 免密拉取容器镜像
    • 流量接入
      • 通过 CCE 使用 K8S Service
      • 通过 YAML 创建 LoadBalancer Service
      • 使用直连 Pod 模式 LoadBalancer Service
      • 通过 CCE 使用 K8S Ingress
      • 通过YAML创建CCE_Ingress
      • CCE 基于 nginx-ingress实现灰度发布
      • 使用 NGINX Ingress
      • NGINX Ingress 使用配置参考
    • 网络管理
      • 在CCE集群中使用NetworkPolicy
      • 创建VPC-CNI模式集群
      • 容器网段空间耗尽如何继续扩容(VPC网络模式)
      • CCE 支持 IPv4 和 IPv6 双栈网络
      • CCE IP Masquerade Agent 用户指南
      • 对等连接场景下容器流量转发配置
      • CCE 集群内容器访问集群外服务
      • 容器网段空间耗尽如何继续扩容(VPC-CNI模式)
    • 配置管理
      • Configmap管理
      • Secret管理
    • 存储管理
      • 概述
      • 使用本地存储
      • 使用云盘CDS
      • 使用文件存储CFS
      • 使用对象存储BOS
    • 监控日志
      • 使用Prometheus监控集群
      • 配置报警规则
      • CCE 事件中心
      • 日志管理
      • 集群服务画像
      • CCE 集群异常事件报警
    • 权限管理
      • CCE权限概述
      • CCE_IAM策略授权
      • CCE_RBAC授权
      • 集群 OIDC 认证
    • 镜像仓库
      • 镜像仓库基本操作
      • 使用容器镜像构建服务
    • 虚拟节点
      • 管理虚拟节点
      • 配置BCI Pod
    • Serverless集群
      • 产品概述
      • 创建Serverless集群
      • 在Serverless集群中使用Service
    • 边缘集群
      • 边缘集群概述
      • 纯边集群
        • 创建纯边集群
        • 扩容纯边集群
      • 云边集群
        • 创建云边集群
        • 单元化部署
          • 介绍
          • 快速部署单元化应用
          • 边缘节点组管理
          • 应用部署组管理
          • 服务访问组管理
        • 边缘容器网络
    • 资源弹性
      • CCE 支持定时伸缩部署
      • CCE 集群节点自动伸缩
    • 云原生AI
      • 云原生AI概述
      • 队列管理
        • 新建队列
        • 删除队列
        • 修改队列
      • 任务管理
        • 新建TensorFlow任务
        • 新建Pytorch任务
        • 新建Mxnet任务
        • 新建PaddlePaddle任务
        • 查看任务信息
        • 删除任务
        • GPU独占和共享说明
    • 组件管理
      • 组件概述
      • CCE GPU Manager 说明
      • CCE Deep Learning Frameworks Operator 说明
      • CCE RDMA Device Plugin 说明
      • CCE AI Job Scheduler 说明
      • CCE 动态调度插件说明
  • 最佳实践
    • CCE使用检查清单
    • CCE最佳实践之Guestbook搭建
    • CCE-访问公网实践
    • CCE集群中使用私有镜像实践
    • CCE集群网络说明及规划
    • CCE集群备份
    • VPC-CNI模式集群访问公网实践
    • CCE容器网络模式选择
    • CCE集群使用Jenkins持续发布
    • 使用KMS对etcd数据加密
    • 通过 CCE Ingress 实现虚机和容器服务的统一接入
    • 云原生AI
      • 部署 TensorFlow Serving 推理服务
    • Linux系统配置常用参数说明
    • 使用 CNI 配置容器内网络参数
    • CCE容器运行时选择
  • API参考
    • 概述
    • 服务域名
    • 通用说明
    • 公共头和错误返回
    • Cluster相关接口
    • Image相关接口
    • 附录
  • API_V2参考
    • 概述
    • 通用说明
    • 服务域名
    • 公共头和错误返回
    • Cluster相关接口
    • Autoscaler相关接口
    • InstanceGroup相关接口
    • Instance相关接口
    • Kubeconfig相关接口
    • Network相关接口
    • Task相关接口
    • 附录
  • 常见问题
    • 常见问题总览
    • 通过kubectl创建简单的服务
    • 业务应用如何使用负载均衡?
    • windows-下使用kubectl
    • 自动扩缩容常见问题
    • 集群管理常见问题
  • 安全公告
    • 漏洞CVE-2020-14386修复公告
    • 漏洞CVE-2019-5736修复公告
  • 服务等级协议SLA
    • CCE服务等级协议SLA(V1.0)
所有文档

          容器引擎 CCE

          • 功能发布记录
          • 产品公告
            • CCE 控制台升级公告
            • CCE 新版集群管理发布公告
            • Kubernetes 版本发布说明
              • CCE Kubernetes 版本更新说明
          • 产品描述
            • 介绍
            • 核心概念
            • 优势
            • 特性
            • 应用场景
          • 产品定价
            • 产品定价
          • 快速入门
            • 使用CCE容器引擎流程概述
            • 快速部署nginx应用
          • 操作指南
            • 集群管理
              • 创建集群
              • 查看集群
              • 操作集群
              • 通过 kubectl 连接集群
              • CCE节点资源预留说明
              • CCE 节点 CDS 扩容
              • CCE 安全组
              • 集群快照
            • 节点管理
              • 添加节点
              • 移出节点
              • 设置节点封锁
              • 设置GPU显存共享
              • 管理节点标签
              • 管理污点
            • 节点组管理
              • 节点组介绍
              • 节点组管理
            • 命名空间管理
              • 命名空间基本操作
              • 设置命名空间资源限制
            • Helm管理
              • Helm模板
              • Helm实例
            • 工作负载
              • Deployment管理
              • Daemonset管理
              • Statefulset管理
              • Job管理
              • CronJob管理
              • 查看容器组
              • 设置工作负载自动水平伸缩
              • 使用私有镜像创建工作负载
              • 免密拉取容器镜像
            • 流量接入
              • 通过 CCE 使用 K8S Service
              • 通过 YAML 创建 LoadBalancer Service
              • 使用直连 Pod 模式 LoadBalancer Service
              • 通过 CCE 使用 K8S Ingress
              • 通过YAML创建CCE_Ingress
              • CCE 基于 nginx-ingress实现灰度发布
              • 使用 NGINX Ingress
              • NGINX Ingress 使用配置参考
            • 网络管理
              • 在CCE集群中使用NetworkPolicy
              • 创建VPC-CNI模式集群
              • 容器网段空间耗尽如何继续扩容(VPC网络模式)
              • CCE 支持 IPv4 和 IPv6 双栈网络
              • CCE IP Masquerade Agent 用户指南
              • 对等连接场景下容器流量转发配置
              • CCE 集群内容器访问集群外服务
              • 容器网段空间耗尽如何继续扩容(VPC-CNI模式)
            • 配置管理
              • Configmap管理
              • Secret管理
            • 存储管理
              • 概述
              • 使用本地存储
              • 使用云盘CDS
              • 使用文件存储CFS
              • 使用对象存储BOS
            • 监控日志
              • 使用Prometheus监控集群
              • 配置报警规则
              • CCE 事件中心
              • 日志管理
              • 集群服务画像
              • CCE 集群异常事件报警
            • 权限管理
              • CCE权限概述
              • CCE_IAM策略授权
              • CCE_RBAC授权
              • 集群 OIDC 认证
            • 镜像仓库
              • 镜像仓库基本操作
              • 使用容器镜像构建服务
            • 虚拟节点
              • 管理虚拟节点
              • 配置BCI Pod
            • Serverless集群
              • 产品概述
              • 创建Serverless集群
              • 在Serverless集群中使用Service
            • 边缘集群
              • 边缘集群概述
              • 纯边集群
                • 创建纯边集群
                • 扩容纯边集群
              • 云边集群
                • 创建云边集群
                • 单元化部署
                  • 介绍
                  • 快速部署单元化应用
                  • 边缘节点组管理
                  • 应用部署组管理
                  • 服务访问组管理
                • 边缘容器网络
            • 资源弹性
              • CCE 支持定时伸缩部署
              • CCE 集群节点自动伸缩
            • 云原生AI
              • 云原生AI概述
              • 队列管理
                • 新建队列
                • 删除队列
                • 修改队列
              • 任务管理
                • 新建TensorFlow任务
                • 新建Pytorch任务
                • 新建Mxnet任务
                • 新建PaddlePaddle任务
                • 查看任务信息
                • 删除任务
                • GPU独占和共享说明
            • 组件管理
              • 组件概述
              • CCE GPU Manager 说明
              • CCE Deep Learning Frameworks Operator 说明
              • CCE RDMA Device Plugin 说明
              • CCE AI Job Scheduler 说明
              • CCE 动态调度插件说明
          • 最佳实践
            • CCE使用检查清单
            • CCE最佳实践之Guestbook搭建
            • CCE-访问公网实践
            • CCE集群中使用私有镜像实践
            • CCE集群网络说明及规划
            • CCE集群备份
            • VPC-CNI模式集群访问公网实践
            • CCE容器网络模式选择
            • CCE集群使用Jenkins持续发布
            • 使用KMS对etcd数据加密
            • 通过 CCE Ingress 实现虚机和容器服务的统一接入
            • 云原生AI
              • 部署 TensorFlow Serving 推理服务
            • Linux系统配置常用参数说明
            • 使用 CNI 配置容器内网络参数
            • CCE容器运行时选择
          • API参考
            • 概述
            • 服务域名
            • 通用说明
            • 公共头和错误返回
            • Cluster相关接口
            • Image相关接口
            • 附录
          • API_V2参考
            • 概述
            • 通用说明
            • 服务域名
            • 公共头和错误返回
            • Cluster相关接口
            • Autoscaler相关接口
            • InstanceGroup相关接口
            • Instance相关接口
            • Kubeconfig相关接口
            • Network相关接口
            • Task相关接口
            • 附录
          • 常见问题
            • 常见问题总览
            • 通过kubectl创建简单的服务
            • 业务应用如何使用负载均衡?
            • windows-下使用kubectl
            • 自动扩缩容常见问题
            • 集群管理常见问题
          • 安全公告
            • 漏洞CVE-2020-14386修复公告
            • 漏洞CVE-2019-5736修复公告
          • 服务等级协议SLA
            • CCE服务等级协议SLA(V1.0)
          • CCE
          • >
          • 最佳实践
          • >
          • CCE集群网络说明及规划
          本页目录
          • 集群网络概念
          • 节点网络
          • 容器网络
          • 服务网络
          • CCE 集群网络示意图
          • 容器网络冲突说明
          • 集群网络规划
          • 示例
          • Step1: 创建VPC网络
          • Step2: VPC 网络内创建子网
          • Step3: 创建CCE集群
          • Step4: 验证节点 IP
          • Step5: 验证路由表
          • Step6: 验证 Pod IP

          CCE集群网络说明及规划

          更新时间:2021-10-20

          有效的规划集群的网络,可以适应业务发展的需要。 本文将介绍在百度云 VPC 环境下 CCE Kubernetes 集群里各种网络地址的作用,以及地址段该如何规划。

          集群网络概念

          集群网络包括:节点网络,容器网络和服务网络,概念分别如下。

          节点网络

          节点网络为集群内的主机分配 IP 地址的节点网络范围,创建集群时,需要选择节点网络的子网,更多节点网络和子网介绍参考 私有网络VPC子网。

          容器网络

          容器网络即容器实例 Pod 所在的网段,集群创建好后不支持修改此网段。

          • Kubernetes 中的最小管理单元 Pod,其在 kubernetes 网络模型中对应一个独立的 IP。
          • 容器网络为集群内的 Pod 分配 IP 地址的容器网络范围,百度云CCE提供了自定义的三大类私有网段 10、192 和 172 作为容器网络,并根据配置的单节点最大运行Pod的数量,自动计算该容器网络所允许的集群的最大节点数量。限制:因为 VPC 路由表的配额限制为200。

          服务网络

          Kubernetes 集群中的 service,在实际网络中并没有实体,是一个纯虚拟的IP网段。

          • 在节点上,kube-proxy 可以通过 iptables 或 ipvs将 service 地址转发到后端对应的 Pod。
          • Service 地址段不能与容器网络、节点网络重合。
          • Service 地址在 Kubernetes 集群内使用,不能在集群外使用。目前 Service 地址并没有暴露给用户选择,CCE 从 172.[16-31].0.0/16 中选取第一个与 容器网络 和 节点网络 不冲突的地址 作为Service 网络地址。

          CCE 集群网络示意图

          CCE 集群网络架构图如下,包括节点网络,容器网络,服务网络。 cce-network.jpg

          容器网络冲突说明

          CCE上配置的容器网络,会进行地址冲突检查,如有冲突,可以通过查看详情了解冲突的地址或路由,并可以选择使用建议的容器网络。如果建议使用的容器网络是空,则表明当前 VPC 无可用容器网络,建议新建 VPC 创建 CCE 集群。

          选择查看详情: container-conflict.png

          可以看到容器网络冲突详情,并可选择使用建议的容器网络。 container-details.png

          容器网络冲突检查有以下几点:

          1. 检查容器网络和节点网络不能冲突。
          2. 检查当前容器网络和当前集群所在的 VPC 内已创建的集群的容器网络不能冲突。
          3. 检查当前容器网络不能与当前集群所在的已存在的 VPC 路由冲突(先比较 src 地址是否是 0.0.0.0/0,如果是则继续比较 des 地址)。

          集群网络规划

          为了保证容器间网络互通,CCE 创建集群时,会将每个容器网段都添加到路由表中,为了避免网段冲突,需要对 VPC 和容器网段进行合理的划分。

          VPC 节点子网网络和容器网络不能冲突,比如,VPC 节点子网选择的是 172.16.0.0/16,容器网络也选择 172.16.0.0/16,则创建集群时会提示容器网络冲突,则建议使用推荐的容器网络。

          示例

          下面以一个完整的示例流程,来演示整个 VPC 内 CCE 集群的创建流程。

          Step1: 创建VPC网络

          1. 登录 VPC 控制台
          2. 点击创建VPC。
          3. 选择VPC CIDR,点击确定。 在本示例中,为避免和容器网络冲突,选择192.168.0.0/16的VPC网络。 create-vpc.png

          Step2: VPC 网络内创建子网

          1. VPC 创建好后,在该 VPC 下创建子网,并选择子网的 CIDR。
          2. 设备类型可以选择 通用型 或 NAT 专属型,如果有访问外网需求,参考 CCE 访问公网实践 create-subnet.png

          Step3: 创建CCE集群

          1. 登录 CCE 控制台。
          2. 点击创建集群。
          3. 选择刚刚创建的节点网络和节点子网。如有容器网络冲突,点击查看详情,使用推荐的容器网络。 subnet-detailes.png

          Step4: 验证节点 IP

          容器集群创建成功后,校验集群IP。

          1. 在 CCE 控制台 >> 集群列表,选择刚刚创建的集群。
          2. 进入集群详情后,点击左侧导航栏的 节点管理 >> Worker。
          3. 查看节点的内网 IP,是否属于创建集群时,选择的节点子网。 如下图: cluster-status.png

          Step5: 验证路由表

          1. 登录 VPC 控制台
          2. 选择刚创建的VPC。
          3. 点击左侧导航栏选择路由表。可以看到新增网段为 172.16.x.0/24 的路由信息,下一跳是 BCC 实例 ID。 如下图: route-table.png

          Step6: 验证 Pod IP

          最终要验证 Pod 分配的 IP ,是否正确。

          1. 在 CCE 控制台 >> 集群列表,选择刚刚创建的集群。
          2. 进入集群详情后,点击左侧导航栏的 节点管理 >> Worker。
          3. 选择 VNC 远程登录集群节点。 vnc-remote.png
          4. 输入用户名和密码,执行:kubectl get pods -n kube-system -o wide 如下图:看到容器的 IP 分配的是 172.16.0.x,属于创建集群时选择的容器网络。 pod-status.png

          以上的校验,表明成功地创建了一个 VPC 网络内的集群。

          上一篇
          CCE集群中使用私有镜像实践
          下一篇
          CCE集群备份
          本篇文档内容是否对您有帮助?有帮助没帮助
          文档反馈