Container Service for Kubernetes：使用跨域營運通訊組件Raven

前提條件

• 已建立ACK Edge叢集，且叢集版本為v1.26.3及以上。具體操作，請參見通過控制台建立叢集。

• 如開啟代理模式，邊緣側安全性原則請勿阻擋TCP[10280,10285)區間的連接埠。

• 如開啟隧道模式，邊緣側安全性原則請勿阻擋UDP 4500，雲端安全性群組放開UDP 8472連接埠。

• 由於邊緣側需要與雲上構建反向通道，因此邊緣側安全性原則請勿阻擋Raven組件掛載的EIP地址。

  如何查看Raven掛載的EIP地址，請參見雲資源資訊。

注意事項

• Raven組件的跨域通訊能力依賴Elastic IP Address、傳統型負載平衡CLB、存取控制ACL等雲資源。

• 託管組件Edge-Controller-Manager（ECM）會根據您是否開啟Raven的跨域通訊能力來購買CLB、EIP、ACL等雲產品資源；關閉或卸載Raven跨域能力則會釋放相關雲產品資源。您可以根據實際需求變更配置雲產品的資源規格。

  以上雲資源的命名方式為k8s/raven-agent-ds/kube-system/{CLUSTER_ID}，請勿修改資源名稱，否則可能導致ECM組件無法識別該資源，進而導致資源流失問題。

  請勿擅自刪除以上資源導致Raven能力不可用。

• 雲資源資訊記錄在叢集資源configmap kube-system/raven-cfg中，請勿手動刪除。

  展開查看raven-cfg的範例程式碼

  apiVersion: v1
  kind: ConfigMap
  metadata:
    name: raven-cfg
    namespace: kube-system
  data:
    acl-id: acl-xxx
    acl-entry: ""
    eip-id: eip-xxx
    eip-ip: 47.XX.XX.47
    enable-l3-tunnel: "false"
    enable-l7-proxy: "true"
    loadbalancer-id: lb-xxx
    loadbalancer-ip: 192.XX.XX.1

基於raven-agent-ds配置通訊模式和存取控制白名單

ACK Edge叢集安裝時，會自動安裝raven-agent-ds組件，並預設啟動代理模式。您可以自行同步配置通訊模式（代理模式、隧道模式）並設定邊緣網關節點的存取控制白名單。

1. 登入Container Service管理主控台，在左側導覽列選擇叢集。

2. 在叢集列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇營運管理 > 組件管理。

3. 搜尋並定位raven-agent-ds，在目標卡片地區，單擊配置，然後完成相關參數配置。

   配置項	說明
   controller	Raven 組件是否開啟代理模式（推薦配置）：代理模式，構建反向 Proxy通道，實現跨域主機網路通訊。 Raven 組件是否開啟隧道模式：隧道模式僅支援節點間網路互連的節點池。通過構建VPN隧道，實現跨域容器網路通訊，主要支援雲邊容器Metrics監控。 重要 由於跨域通訊通過公網傳輸，可能存在資料丟失風險，請勿傳輸重要業務資料。如在使用過程中遇到問題或有相關產品建議，請提交工單聯絡Container Service團隊。 關於兩種通訊模式的更多資訊，請參見跨域營運通訊組件Raven。
   accessControlListEntry	存取控制白名單條目。允許存取的邊緣網關節點可以與雲上構建隧道，增強網路安全性。 採用CIDR標準格式，固定IP地址以“/32”為掩碼，多個地址之間使用英文半形逗號（,）分隔。不填寫時，表示所有源地址均可被負載平衡允許存取訪問雲上服務。 如果您添加ACL條目，請允許存取CLB健全狀態檢查IP位址區段100.64.0.0/10。

通過Label自訂網關節點

Raven組件會通過在網關節點之間構建通道實現跨域通訊的目的，預設會在節點池中隨機播放一些網關節點，建議您指定一些固定的節點作為網關節點用於構建穩定營運通道，您可以使用以下命令選擇：

kubectl label node node-xxx raven.openyurt.io/gateway-node=true

相關文檔

• 如需瞭解Raven組件的更多資訊，例如組件構成、支援的通訊模式等，請參見跨域營運通訊組件Raven概述。

• ACK Edge叢集會不斷迭代raven-agent-ds組件，詳細的變更記錄請參見raven-agent-ds。