创建VPC-ENI模式集群
更新时间:2026-03-11
VPC-ENI 模式说明
VPC-ENI 模式是容器引擎 CCE 支持的扩展网络模式,基于百度云弹性网卡 ENI,为集群内 Pod 分配 VPC 内 IP 地址。该模式由私有网络 VPC 负责路由,打通容器网络连通性,使 Pod 与 Node 的控制面和数据面处于同一网络层,并可复用百度云 VPC 的产品特性。
注意: VPC-ENI 模式的集群创建后无法修改,请提前完成网络规划。
由于 VPC-ENI 模式存在使用限制,建议提前评估业务场景适配性。
VPC-ENI 模式应用场景
采用 VPC-ENI 模式的集群具有以下优势:
- 原生私有网络 VPC 网络性能。
- 整合私有网络 VPC 产品特性,例如可为 Pod 绑定独立安全组实现数据包过滤。
VPC-ENI 模式使用说明
- 支持 Node 分布在不同可用区、不同子网。
- 支持弹性网卡分布在不同可用区、不同子网,但弹性网卡仅可绑定在同可用区 Node 上。
- 要求弹性网卡与 Node 分布在不同子网。
- 为每个 Node 动态绑定多个弹性网卡。
VPC-ENI 容器规模限制
VPC-ENI 模式下,每个 Node 可分配给容器的 IP 数量上限由 Node 规格(CPU 核数与内存)决定。 Node 可挂载弹性网卡数量 = min(主机核数,8),内存与单个弹性网卡辅助 IP 数量对应关系如下:
| Node 内存 | 单个弹性网卡辅助 IP 数量上限 |
|---|---|
| 1G | 1 |
| (1-8]G | 7 |
| (8-32]G | 15 |
| (32-64]G | 29 |
| 大于 64G | 39 |
单个 Node 可分配给容器的 IP 数量 = 可挂载弹性网卡数量 × 单个弹性网卡辅助 IP 数量上限。
说明: 如果使用 BBC 机器(含不支持弹性网卡的机型),在主网卡辅助 IP 模式下,单网卡 IP 数量最少为 1 个,最多为 39 个。
创建 VPC-ENI 模式集群
执行前请确保已登录百度智能云控制台,并具备 CCE 集群创建权限。 导航路径:控制台->容器引擎 CCE->集群列表
- 在 集群列表 页面点击 【创建集群】,进入 创建集群(容器引擎 CCE) 向导页面。
- 在 网络配置 区域将 容器网络模式 设置为 VPC-ENI,并继续配置该模式相关网络项(如 弹性网卡模式、容器子网、ClusterIP 网段、LB Service 子网)。
- 完成必填项校验后点击 【下一步】,进入 节点组配置 阶段继续后续配置。
| 配置项 | 必选/可选 | 配置说明 | 参数 | 必填 | 说明 |
|---|---|---|---|---|---|
| 弹性网卡模式 | 必选 | 支持共享和独占两种模式。 共享:多个 Pod 共享一个弹性网卡,系统为弹性网卡申请多个辅助 IP 分配给不同 Pod。可按需开启 DataPath V2 和 Network Policy 支持,更多信息请参见 使用 Network Policy 网络策略。 独占:每个 Pod 独占一个弹性网卡,系统为弹性网卡申请一个辅助 IP 地址分配给 Pod。独占模式为白名单开放,如有需求请 提工单。 |
弹性网卡模式 | 是 | 选择共享或独占模式,并根据业务需求开启相关网络能力。 |
| 容器子网 | 必选 | 指定私有网络 VPC 中的子网作为容器子网,集群创建的 Pod 将从容器子网中分配 IP 地址。请选用与节点同可用区的子网。 | 容器子网 | 是 | 选择用于分配 Pod IP 的容器子网,且需与节点可用区匹配。 |
| ClusterIP 网段 | 必选 | 指定集群中为 Service 分配 IP 地址的专用网络地址范围。该网段不能与 VPC 及 VPC 内已有集群使用网段重复,且不能与容器地址段重复。 | ClusterIP 网段 | 是 | 规划 Service 地址段,避免与现有网段冲突。 |
| LB Service 子网 | 必选 | 指定创建负载均衡类型 Service 及 Ingress 时默认使用的子网,不能选择 NAT 子网。 | LB Service 子网 | 是 | 选择用于负载均衡 Service 与 Ingress 的子网。 |
| 弹性网卡安全组 | 必选 | 指定为弹性网卡绑定的安全组。支持自动创建,也支持选择已有普通安全组和企业安全组,更多信息请参见 CCE安全组说明。 | 弹性网卡安全组 | 是 | 为弹性网卡绑定安全组并按策略开放网络访问。 |
| Kube-proxy 模式 | 必选 | 支持 IPVS 和 IPTABLES 两种模式。 IPVS:高性能代理模式,适用于 Service 数量较多且对负载均衡性能要求较高的场景。 IPTABLES:成熟稳定,适用于 Service 数量较少的场景。 |
Kube-proxy 模式 | 是 | 根据 Service 规模与性能需求选择代理模式。 |
| NodePort 范围 | 必选 | 指定集群中 Service 的端口范围,默认为 30000-32767。 |
NodePort 范围 | 是 | 按业务端口规划设置 Service 暴露范围。 |
注意:
- 当前配额下,每个 VPC 默认仅支持创建 500 个弹性网卡,如需提升配额请提交工单至 CCE。
- 在删除 Kubernetes namespace 资源前,请先删除该 namespace 下所有 Pod,否则可能造成辅助 IP 资源泄露。