写点什么

CCE 集群 VPC 网络模式下几种访问场景

  • 2024-03-11
    广东
  • 本文字数:1058 字

    阅读完需:约 3 分钟

CCE集群VPC网络模式下几种访问场景

本文分享自华为云社区《【理解云容器网络】5-CCE集群VPC模型容器网络走线介绍》,作者:可以交个朋友。

简介


鉴于在 CCE 集群使用 VPC 网络模型,处理遇到的一些网络问题时,需要熟悉不同场景下数据包的流转过程,才能快速的解决问题。本文主要介绍 CCE 集群 VPC 网络模式下各种访问场景介绍。

VPC 网络模型不同访问场景走线


VPC 网络模型下,容器子网不属于 VPC 网段,跨节点容器互访除了隧道封装还可以通过路由实现,需要为每个节点划分固定的容器子网,比如节点 Node1 上所有容器 ip 都在子网 172.16.0.0/25 内,VPC 路由表将目的 ip 属于 172.16.0.0/25 子网的数据包全部转给节点 Node1 处理,Node1 收到数据包再根据系统路由表转给具体的容器。同时为了使容器能访问 VPC 以外的 ip 地址,在 CCE 集群内做了 Yangtse 白名单处理,如果容器访问目的 ip 在白名单内,容器请求数据包出节点前不会做 SNAT;反之会将数据包的源 ip 转换成节点 ip,Yangtse 白名单默认有三个网段(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)。

同节点容器互访



访问说明:


容器的 eth0 网口是节点 eth0 的子接口,内部互通是子接口之间的报文转发,这个转发就是内核的虚拟网络的收发处理函数和缓冲队列处理,实际上不经过节点网卡的收发队列和网络命名空间。同节点容器访问容器不涉及 SNAT 和 DNAT

跨节点容器访问容器



访问说明:


发起请求时,源 ip 为 10.0.0.133,目的 ip 为 10.0.0.7。服务端容器接收的数据包,其源地址是 10.0.0.133 ,目的地址为 10.0.0.7。跨节点容器访问容器不涉及 SNAT 和 DNAT

容器访问 ClusterIP



访问说明:


发起请求时,源 ip 为 10.0.0.133,目的 ip 为 10.247.4.15。服务端容器接收的数据包,其源地址是 192.168.0.74,目的地址为 10.0.0.2。容器访问 ClusterIP 涉及 DNAT 和 SNAT。

容器访问外部 EIP



访问说明:


发起请求时,源 ip 为 10.0.0.33,目的 ip 为 100.85.116.151,服务端主机接收的数据包源 IP 为 192.168.0.157,目的 ip 为 100.85.116.151。容器访问 EIP 涉及 SNAT 转换,不涉及 DNAT

节点访问容器



访问说明:


发起请求时,源 ip 为 192.168.0.74,目的 ip 为 10.0.0.2,服务端容器接收的数据包源 IP 为 192.168.0.174,目的 ip 为 10.0.0.2。节点访问容器不涉及 SNAT 和 DNAT 转换。

与线下 IDC 网络打通



访问说明:


VPC 网络模型,容器访问 VPC 外的 ip 若不在 Yangtse 白名单(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)内,请求数据包出节点前会做 SNAT,将数据包的源 ip 转换成节点 ip,响应包进入节点后经过 conntrack 还原,将数据包的目的 ip 转换成容器 ip。如果线下机房想获取云上容器的 ip,需要给 SRE 提单将线下 IDC 的目标网段加入到 Yangtse 白名单中。


点击关注,第一时间了解华为云新鲜技术~

发布于: 刚刚阅读数: 5
用户头像

提供全面深入的云计算技术干货 2020-07-14 加入

生于云,长于云,让开发者成为决定性力量

评论

发布
暂无评论
CCE集群VPC网络模式下几种访问场景_后端_华为云开发者联盟_InfoQ写作社区