ACK Edge集群支持将本地数据中心IDC服务器设备通过公网或专线形式接入进行容器化管理。当通过专线接入集群时,您需要在接入前完成基础设施的网元配置。本文提供了专线环境下的网元配置指导,帮您构建本地IDC和云上专有网络VPC之间可靠、安全和高速的私网通信环境。
网络架构
本地数据中心网络拓扑
典型的本地IDC网络拓扑如图所示,采用三层网络架构,IDC服务器与交换机构建二层局域网,多个二层局域网构建成一个三层网络域,从而形成一个私网网段为10.0.0.0/8的IDC网络环境。
云端专有网络VPC拓扑
云上专有网络采用了虚拟化网络,计算实例(ECS、ECI等)直接与虚拟交换机连接,通过虚拟交换机进行通信,另外一些云服务采用了100.0.0.0/8网段,在云上VPC中通过虚拟交换机可以默认访问到这些云服务网段。
专线网络
阿里云在全国各个地域都有专线接入点,您可以根据就近原则选择接入点地址。从IDC核心交换机通过网络防火墙可接入到阿里云高速通道接入点的边界路由器,结合专线网关或云企业网可连接到阿里云专有网络VPC。
网元配置
本文示例假设IDC核心交换机及其子网已完成三层网络配置,并实现互通。
上行路由:从本地IDC访问云端VPC或云服务。
下行路由:从云端VPC访问本地IDC。
网络配置示例
云端VPC网段:192.168.0.0/16
本地IDC网段:10.0.0.0/8
云服务、云产品私网网段:100.0.0.0/8
边缘容器网段:172.16.0.0/12(ACK Edge集群选用Terway Edge插件时需要)
ACK Edge集群依赖的云产品 (以杭州地域为例):
OSS:[100.118.28.0/24,100.114.102.0/24,100.98.170.0/24,100.118.31.0/24]
ACR:[100.103.9.188/32,100.103.7.181/32]
ACK管控:域名cs-anony-vpc.cn-hangzhou.aliyuncs.com,建议在云端VPC解析获取,此处以100.103.42.233为例。
以下将根据上述网络配置示例介绍如何配置基础设施上的网元,如果您觉得云服务、云产品的网段100.0.0.0/8过大,您可以参考ACK Edge集群依赖的云服务地址,对100.0.0.0/8大网段进行替换,关于云服务、云产品地址请参见边缘节点访问域名和IP路由网段配置,以下配置以100.0.0.0/8网段为例进行介绍。
IDC核心交换机
配置项 | 说明 | 注意事项 |
配置项 | 说明 | 注意事项 |
上行路由 | 配置访问云端VPC的网段以及访问云产品的网段,并通过专线网关指向高速通道的边界路由器VBR。
| 如果ACK Edge集群选用Terway Edge插件,您还需要在IDC核心交换机以及交换机上配置BGP,让网络插件将容器路由宣告给交换机以及核心交换机上,详见使用Terway Edge网络插件、配置Terway Edge实现容器通信。 |
下行路由 | 从阿里云高速通道的边界路由器VBR访问IDC服务器,本文默认核心交换机已完成服务器网络配置。 |
IDC网络防火墙
配置项 | 说明 | 注意事项 |
配置项 | 说明 | 注意事项 |
出方向 | 需要放行访问云端VPC的网段以及云服务的网段:
如需精细化配置,您还需要放行杭州地域的以下云服务网段:
| 如果ACK Edge集群选用Flannel插件,您还需要在IDC网络防火墙的出方向和入方向上允许UDP 8472端口。
|
入方向 | 需要放行访问云端VPC的网段以及云服务的网段:
如需精细化配置,您还需要允许上述入方向的网段访问kubelet的TCP 10250/10255端口,以及访问Node-Exporter的TCP 9100/9445端口。 |
边界路由器VBR配置
配置项 | 说明 | 注意事项 |
配置项 | 说明 | 注意事项 |
上行路由 | 配置上行访问云端VPC的网段192.168.0.0/16以及访问云产品的网段100.0.0.0/8指向VPC。通过直连VPC、专线网关ECR或云企业网CEN等方法均可,具体方案参见阿里云高速通道。 | 无 |
下行路由 | 配置访问IDC服务器的网段10.0.0.0/8,通过专线以及IDC网络防火墙指向核心交换机。 | 如果ACK Edge集群选用Terway Edge插件,您还需配置VBR的下行容器路由,即将边缘容器网段172.16.0.0/12配置到VBR下行路由中。 |
专线网关ECR或云企业网CEN
配置项 | 说明 | 注意事项 |
配置项 | 说明 | 注意事项 |
上行路由 | 配置ECR或CEN的转发路由表上行访问云端VPC网段192.168.0.0/16以及云服务网段100.0.0.0/8指向VPC。 | 无 |
下行路由 | 配置ECR或CEN的转发路由表下行访问IDC服务器网段10.0.0.0/8指向边界路由器VBR。 | 如果ACK Edge集群选用Terway Edge插件,您还需配置ECR或CEN的下行容器路由,即将边缘容器网段172.16.0.0/12配置到ECR或CEN的下行路由中。 |
VPC路由表
配置项 | 说明 | 注意事项 |
配置项 | 说明 | 注意事项 |
上行路由 | 云端VPC默认已完成网络配置,会在接收到IDC请求之后转发到目的地址。 | 无 |
下行路由 | 配置云端VPC路由表访问IDC服务器网段10.0.0.0/8指向云企业网CEN、专线网关ECR、边界路由器VBR。 | 如果ACK Edge集群选用Terway Edge插件,您还需配置VPC路由表的下行容器路由,即将边缘容器网段172.16.0.0/12配置到VPC路由表的下行路由中。 |
云上VPC安全组
配置项 | 说明 |
配置项 | 说明 | |
出方向 | 需要允许访问IDC服务器网段10.0.0.0/8。如需精细化配置端口,还需要允许访问kubelet的TCP10250/10255端口、访问node-exporter的TCP 9100/9445端口等。 | 如果ACK Edge集群选用Flannel插件,您还需要在云上VPC安全组的出方向和入方向上允许UDP 8472端口。
|
入方向 | 需要允许IDC网段10.0.0.0/8的访问请求。如需精细化配置端口,还需要允许API Server的TCP 6443端口被访问。 |
