本文分享自華為雲社群《CCE叢集中容器出網總結》,作者:可以交個朋友。
一 背景
針對CCE叢集和CCE turbo叢集中的容器訪問外部網路進行總結
二 容器出網簡介
使用EIP服務繫結特定節點、容器IP地址 或者使用SNAT閘道器對特定子網進行NAT源地址進行轉換從而實現容器出網。
2.1 CCE 標準叢集
叢集工作節點繫結EIP,位於節點上的POD就可以透過宿主機的網路卡進行出網。
叢集工作節點對應的Subnet關聯SNAT閘道器,節點透過SNAT閘道器出網。(建議選擇此種方式)2.2 CCE turbo 叢集
POD繫結EIP(節點綁沒有用),容器直接出網
POD對應的Subnet關聯SNAT閘道器,pod透過SNAT閘道器出網。(建議選擇此種方式)三 實踐
以CCE turbo叢集為例,如果叢集中POD需要訪問公網,則需要繫結EIP或者配置SNAT。大規模場景下,每個POD配置EIP,會造成資源的大量浪費,已經管理成本的上升。所以大部分情況下都是配置SNAT規則進行容器的出網。
確認POD網段
如下圖所示,正在執行的pod使用的是subnet-container01這個子網
未新增SNAT時訪問公網
登入容器,執行命令curl -I -m 10 www.baidu.com
可以發現此時POD沒有出網能力,訪問公網失敗。
給對應容器子網新增SNAT出網規則
容器訪問公網
登入容器,執行命令curl -I -m 10 www.baidu.com
訪問成功。
點選關注,第一時間瞭解華為雲新鮮技術~