CCE-访问公网实践
概述
本文档介绍在 CCE 集群中为节点和 Pod 提供公网访问能力的两种方案,适用于通过 yum install 访问外部软件源下载安装软件,以及容器访问公网中的服务等场景。您可以根据是否需要为节点直接暴露公网 IP,自行选择以下方案:
- 通用型子网 + EIP
- NAT 网关方案
前提条件
- 已登录百度智能云控制台,并具备 CCE、VPC、BCC 相关资源的查看与配置权限。
- 已规划集群节点所在的 VPC 和子网;若使用 NAT 网关方案,NAT 网关与节点子网需位于同一个 VPC。
- 已创建集群,或已准备在 CCE 中创建集群并添加节点。## 相关概念
- EIP:百度智能云提供的弹性公网 IP 服务。EIP 可以挂载到 CCE 节点、BLB、NAT 网关等服务,为资源提供可访问公网的地址。
- NAT 网关:百度智能云 NAT 网关支持用户 VPC 子网中的 BCC、DCC 等实例连接公网,通过 NAT 网关可将内网 IP 转换为公网 IP 地址。
- 节点子网:用户在创建 CCE 工作节点时,可以选择节点所在的 VPC 子网。子网类型为通用型子网时,节点既可以通过绑定 EIP 直接访问公网,也可以通过 NAT 网关实现公网访问。
说明: 百度智能云私有网络 VPC 不再支持创建 NAT 专属型子网。若使用方案二进行访问公网实践,请选择通用型子网作为节点子网;之前创建的 NAT 专属型子网不受影响,仍可继续使用。
方案一:通用型子网 + EIP
在创建和添加 CCE 节点时,为节点选择通用型子网后,即可通过为节点绑定 EIP 的方式访问公网。
操作步骤
步骤 1:在创建或添加节点时选择通用型子网
导航路径:容器引擎 CCE -> 创建集群 -> 节点组配置 -> 添加主机型
先选择节点所在可用区,再在 子网 下拉框中选择用于承载节点的通用型子网。已有集群时,可在添加节点页面按相同方式选择节点子网。
步骤 2:在 VPC 控制台确认子网设备类型
导航路径:私有网络 VPC -> 子网
当无法从 CCE 页面直接判断子网类型时,可按子网名称搜索目标子网,并查看列表中的 设备类型。若设备类型显示为 通用型,则该子网可用于本方案。
步骤 3:按需创建新的通用型子网
导航路径:私有网络 VPC -> 子网 -> 创建子网
若现有 VPC 中没有合适的通用型子网,可新建子网,并将 设备类型 选择为 通用型。
| 参数 | 必填 | 说明 |
|---|---|---|
| 子网名称 | 是 | 填写便于识别的子网名称。 |
| 可用区 | 是 | 选择与节点规划一致的可用区。 |
| IPv4 CIDR | 是 | 填写与现有网段不冲突的地址段。 |
| 设备类型 | 是 | 选择 通用型。 |
若页面提示网段冲突,请改用未占用的 CIDR 后再提交。
步骤 4:在创建或添加节点时联动购买 EIP
导航路径:容器引擎 CCE -> 创建集群 -> 节点组配置 -> 高级设置(服务器)
注意: 为节点分配 EIP 和公网带宽会产生相关费用,请按实际网络规划进行配置。
在 公网 IP 区域勾选“为每个节点服务器实例分配一个弹性公网 IPv4 地址”后,可继续配置公网相关参数。
| 参数 | 必填 | 说明 |
|---|---|---|
| 线路类型 | 否 | 按公网线路规划选择。 |
| 公网带宽计费方式 | 否 | 按费用和带宽使用方式选择计费模式。 |
| 带宽峰值 | 否 | 按业务访问需求设置公网带宽上限。 |
完成配置后,系统会在创建或添加节点时同步为每个节点分配 EIP。
步骤 5:节点加入集群后再绑定 EIP
导航路径:云服务器 BCC -> 实例列表
若节点已加入集群但创建时未联动购买 EIP,可在对应节点实例行依次点击 【更多】、【网络和安全】、【绑定 EIP】 完成绑定。绑定成功后,节点即可通过公网 IP 访问互联网。
方案二:NAT专属型子网 + NAT 网关
如果不希望节点在访问公网时暴露自身公网 IP,可以通过 NAT 网关为私有网络提供公网访问服务。
说明: 百度智能云私有网络 VPC 当前不再支持新建 NAT 专属型子网。新建环境请使用通用型子网配合 NAT 网关出公网;若账号中已有历史创建的 NAT 专属型子网,则仍可继续使用。
操作步骤
步骤 1:在 VPC 创建节点子网时确认当前可选设备类型
导航路径:私有网络 VPC -> 子网 -> 创建子网
创建子网时,先检查 设备类型 字段。当前控制台未提供 NAT 专属型 选项,因此新建环境请选择 通用型 子网,并在后续通过 NAT 网关提供公网出口;若已有历史创建的 NAT 专属型子网,可直接沿用。
步骤 2:进入 NAT 网关创建页并填写基础配置
导航路径:私有网络 VPC -> NAT 网关 -> 公网 NAT 网关
注意: 创建 NAT 网关会产生相关费用,请在提交前确认网络规划和计费方式。
点击 【立即创建】 或 【创建 NAT 网关】 进入创建页面,按实际网络规划填写 NAT 网关配置。
| 参数 | 必填 | 说明 |
|---|---|---|
| 所在网络 | 是 | 选择与节点子网相同的 VPC。 |
| NAT 网关名称 | 是 | 填写便于识别的名称。 |
| 类型 | 否 | 按公网访问需求选择 NAT 网关类型。 |
| 性能容量 | 否 | 按连接规模和带宽需求选择。 |
| 公网 IP | 否 | 按实际出口规划选择或绑定。 |
| 连接超时时间 | 否 | 按业务连接特征设置。 |
| 标签 | 否 | 按资源管理需要配置。 |
创建完成后,请确保 NAT 网关与目标节点子网处于同一个 VPC。
步骤 3:在路由表中为节点子网添加指向 NAT 网关的默认路由
导航路径:私有网络 VPC -> 路由表
找到与节点子网关联的路由表,点击 【管理】、【添加路由】,为节点子网访问公网的流量配置默认路由。
| 参数 | 必填 | 说明 |
|---|---|---|
| 网段类型 | 是 | 选择 IPv4。 |
| 源网段 | 是 | 选择节点所在子网。 |
| 目标网段 | 是 | 填写 0.0.0.0/0,表示默认公网路由。 |
| 路由类型 | 是 | 选择 NAT 网关。 |
| 下一跳实例 | 是 | 选择已创建且与子网位于同一 VPC 的 NAT 网关。 |
若 下一跳实例 下拉列表为空,说明当前 VPC 下还没有可用的 NAT 网关,请先完成 NAT 网关创建。
步骤 4:创建 CCE 集群时关闭公网 IP,并使用已配置 NAT 出口的子网
导航路径:容器引擎 CCE -> 创建集群 -> 节点组配置 -> 高级设置(服务器)
若希望节点访问公网时不暴露自身公网地址,请保持 公网 IP 关闭,不为节点单独分配 EIP;同时在节点相关子网选择时,使用已经配置 NAT 网关路由的子网。若使用历史遗留的 NAT 专属型子网,可直接选择该子网;若是当前新建环境,请选择已配置 NAT 网关路由的通用型子网。
优缺点分析
| 方案 | 优点 | 缺点 |
|---|---|---|
| 通用型子网 + EIP | 操作简单;可在创建或添加节点时直接分配 EIP;无需额外配置 NAT 路由。 | 节点会暴露公网 IP,存在安全风险;会产生 EIP 和公网带宽相关费用。 |
| NAT 网关方案 | 节点无需暴露公网 IP,安全性更高;适合统一管理公网出口。 | 需要额外创建 NAT 网关并配置路由;会产生 NAT 网关相关费用;节点无法直接被公网访问。 |
评价此篇文章