CCE最佳实践之容器网络模式选择
CCE 目前提供了 VPC网络 、 VPC-CNI 以及 VPC-Hybrid 三种网络模式,三种模式各有特点,选择合适的容器网络模式,可以适应业务发展的需要。
VPC网络
VPC网络 模式的原理与 kubernetes 原生的网络方案 kubenet 类似,配合百度云 VPC 的高速网络,能给集群高性能和稳定的容器网络体验,但支持的特性少。
VPC网络 模式下,集群内 Pod 与 Node 处于两个网段,通过 VPC 路由将跨 Node 的 Pod 互相连接,一个典型的VPC网络模式集群网络拓扑如下图所示:
创建VPC网络模式的集群请参考 CCE集群网络说明及规划
VPC网络模式集群访问公网实践请参考 CCE-访问公网实践
VPC-CNI
VPC-CNI 模式是百度云容器引擎CCE支持的扩展网络模式,基于百度云的弹性网卡产品,能够为集群内的 Pod 分配 VPC 内的 IP 地址。 由百度云 VPC 功能负责路由,打通容器网络的连通性,可实现 Pod 和 Node 的控制面和数据面完全在同一网络层面,该模式下的 Pod 能够复用百度云 VPC 所有产品特性。
VPC-CNI 模式下,集群内 Pod 与 Node 的 IP 均来自同一 VPC,但由于弹性网卡辅助 IP 数量的限制,单个 Node 上可以创建的 Pod 数量有限。一个典型的VPC-CNI模式集群网络拓扑如下图所示:
创建 VPC-CNI 模式的集群以及评估集群规模请参考 创建VPC-CNI模式集群
VPC-CNI 模式集群访问公网实践请参考 VPC-CNI模式集群访问公网实践
VPC-Hybrid
VPC-Hybrid 模式是百度云容器引擎CCE支持的扩展网络模式,能够为集群内的 Pod 分配 VPC 内的 IP 地址,支持 BBC 与 BCC 同时混布在集群中。其中,BBC 上的容器 IP 来自主网卡的辅助 IP, BCC 上的容器 IP 与 VPC-CNI 类似,来自于弹性网卡的辅助 IP。
在 VPC-Hybrid 模式下,Pod 和 Node 的控制面和数据面完全在同一网络层面,该模式下的 Pod 能够复用百度云 VPC 所有产品特性。
三种模式的比较
从支持的机型进行比较:
| 模式 | Master | Node |
|---|---|---|
| VPC网络 | BCC/BBC | BCC/BBC |
| VPC-CNI | BCC/BBC | BCC |
| VPC-Hybrid | BCC/BBC | BCC/BBC |
从支持的机型进行比较:
| 模式 | VPC网络 | VPC-CNI | VPC-Hybrid |
|---|---|---|---|
| 单节点 Pod 数量 | 多 | 14~节点规格决定 | 较多 (70~90) |
| Pod IP 来源 | VPC 内虚拟 IP | VPC 内真实 IP | VPC 内真实 IP |
| 依赖基础设施 | VPC 实例路由 | 弹性网卡(单节点最大8张) | BBC主网卡辅助 IP BCC弹性网卡(单节点最大8张) |
| 安全组配置 | 只能给所有容器配置同一个安全组 | 只能给所有容器配置同一个安全组 | 只能给所有容器配置同一个安全组 |
| 附加功能 | 容器网段支持独立子网 STS Pod 固定 IP |
容器网段支持独立子网 支持按工作负载指定子网,可搭配ACL制订安全规则 |
|
| 访问公网方式 | EIP/NAT网关 | EIP/NAT网关 | EIP/NAT网关 |