Terway網路下所有節點預設使用命名空間kube-system中名稱為eni-config的ConfigMap,如果需要按節點維度配置所使用的虛擬交換器、安全性群組,則可以通過建立新的ConfigMap實現。Terway將會以MergePatch(rfc7396)的形式將新配置合并到預設配置上。
本文介紹Terway網路下如何?節點層級的網路設定。
前提條件
情境圖
給特定Pod獨立的NAT出口IP和頻寬:
使用限制
僅建立ENI時會使用您指定的虛擬交換器、安全性群組。如果ENI已經存在,則將使用原有ENI配置。
操作步驟
在命名空間
kube-system中建立名稱為foo的ConfigMap。在控制台左側導覽列,單擊叢集。
在叢集列表頁面,單擊目的地組群名稱或者目的地組群右側操作列下的詳情。
在叢集管理頁左側導覽列,選擇。
在配置項頁面,命名空間選擇kube-system,然後單擊頁面右上方的建立。
在建立頁面,配置項名稱設定為foo。單擊添加,名稱設定為eni_conf,值中填入以下內容並將虛擬交換器和安全性群組參數替換為實際值。
{ "vswitches": { "cn-hangzhou-g": [ "vsw-10000" ], "cn-hangzhou-i": [ "vsw-10001" ] }, "security_group": "sg-10000", "security_groups": [ "sg-10000", "sg-10001" ] }參數名稱
說明
vswitches
配置虛擬交換器的可用性區域和執行個體ID。
您可以登入專用網路管理主控台,在控制台左側導覽列選擇交換器,在交換器列表中查看虛擬交換器所在的可用性區域和執行個體ID。配置虛擬交換器的可用性區域和執行個體ID時注意以下事項:
請確保填寫的虛擬交換器包含需使用的節點所在的可用性區域,如果節點可用性區域和您填寫的虛擬交換器可用性區域不一致,則不生效。
如無需修改,則無需配置
vswitches相關的索引值。
security_group
當您只需要新增一個安全性群組時,可用
security_group,並設定security_groups: null。當您需要新增一個或多個安全性群組時,可用
security_groups,並設定security_group: null。系統將使用重新指定後的
security_group和security_groups中的所有安全性群組,請確保所有安全性群組在相同的VPC下,且安全性群組類型相同,並且總數量不超過5個。更多配置多安全性群組的資訊,請參見為彈性網卡(ENI)配置多個安全性群組。如無需修改,則無需配置安全性群組相關的索引值。
security_groups
單擊確定。
為節點配置標籤。
為已有節點配置標籤。
配置標籤。
在叢集管理頁左側導覽列中,選擇,然後單擊頁面右上方標籤與汙點管理。
在標籤頁簽中,選擇目標節點,單擊添加標籤。
在添加頁面中,名稱設定為terway-config,值設定為foo,單擊確定。
重啟Terway容器組以使配置生效。
在叢集管理頁左側導覽列中,選擇。
在容器組頁面頂部設定命名空間為kube-system,在搜尋方塊中搜尋
terway-eniip。選中所有搜尋到的結果後,單擊大量刪除。在對話方塊中,單擊確定。刪除後,系統會自動重新建立Terway容器組。
在容器組頁面以
terway-eniip開頭的容器組,其狀態列顯示Running,說明重啟Terway容器組成功。新配置的虛擬交換器和安全性群組,也會在建立Terway容器組時生效。
為建立節點配置標籤。
請在建立節點池時添加節點標籤,鍵設定為terway-config,值設定為foo。建立節點池,請參見操作步驟。
檢查Terway容器組分配的ENI是否使用了指定的虛擬交換器、安全性群組。
登入ECS管理主控台,在左側導覽列中選擇。
單擊目標執行個體。在執行個體頁面單擊彈性網卡頁簽,在此頁面下查看Pod分配的ENI是否使用了指定的虛擬交換器、安全性群組。
說明如果配置不生效,請參見Terway網路模式下,Pod分配的IP不在虛擬交換器網段中怎麼辦?