Gunakan komponen Raven untuk komunikasi O&M cloud-edge - Container Service for Kubernetes

Komponen Raven dalam ACK Edge cluster menyediakan jaringan dasar untuk operasi lintas domain antara cloud dan edge. Anda dapat mengonfigurasi Raven untuk menggunakan mode komunikasi yang berbeda, seperti proxy mode atau tunnel mode, serta mengelola access control whitelist guna menentukan edge gateway nodes mana yang dapat membuat tunnel ke cloud.

Catatan

Jika cluster Anda menggunakan Express Connect circuit untuk cloud-edge communication, Anda dapat menguninstall komponen Raven.

Prasyarat

Anda memiliki ACK Edge cluster yang menjalankan versi v1.26.3 atau lebih baru. Untuk instruksi, lihat Create an ACK Edge cluster.
Jika Anda mengaktifkan proxy mode, pastikan kebijakan keamanan pada nodes edge Anda mengizinkan lalu lintas inbound pada port TCP 10280 hingga 10284.
Jika Anda mengaktifkan tunnel mode, pastikan kebijakan keamanan pada nodes edge Anda mengizinkan lalu lintas pada port UDP 4500. Selain itu, konfigurasikan security group di cloud agar mengizinkan lalu lintas inbound pada port UDP 8472.
Nodes edge harus membuat reverse tunnel ke cloud. Pastikan kebijakan keamanan di sisi edge tidak memblokir lalu lintas dari elastic IP address (EIP) yang terkait dengan komponen Raven.

Untuk menemukan EIP yang digunakan oleh Raven, lihat bagian Usage notes.

Catatan penggunaan

Fitur komunikasi lintas domain dari komponen Raven bergantung pada cloud resources seperti elastic IP addresses (EIPs), instans Classic Load Balancer (CLB), dan access control lists (ACLs).
Komponen terkelola Edge-Controller-Manager (ECM) secara otomatis menyediakan cloud resources seperti instans CLB, EIPs, dan ACLs saat Anda mengaktifkan komunikasi lintas domain Raven. Saat Anda menonaktifkan atau meng-uninstall fitur ini, ECM secara otomatis melepaskan resource tersebut. Anda dapat mengubah ukuran cloud resources ini sesuai kebutuhan.

Cloud resources ini diberi nama dengan format k8s/raven-agent-ds/kube-system/{CLUSTER_ID}. Jangan mengubah nama resource tersebut. Jika Anda melakukannya, komponen ECM mungkin gagal mengenali resource tersebut, yang dapat menyebabkan kebocoran resource.

Jangan menghapus resource ini secara manual karena akan mengganggu fungsionalitas Raven.

kube-system/raven-cfg ConfigMap menyimpan informasi tentang cloud resources. Jangan menghapus ConfigMap ini secara manual.

Kode contoh

apiVersion: v1
kind: ConfigMap
metadata:
  name: raven-cfg
  namespace: kube-system
data:
  acl-id: acl-xxx
  acl-entry: ""
  eip-id: eip-xxx
  eip-ip: 47.XX.XX.47
  enable-l3-tunnel: "false"
  enable-l7-proxy: "true"
  loadbalancer-id: lb-xxx
  loadbalancer-ip: 192.XX.XX.1

Konfigurasikan mode komunikasi dan daftar putih raven-agent-ds

Saat Anda membuat ACK Edge cluster, komponen raven-agent-ds dipasang secara otomatis, dan proxy mode diaktifkan secara default. Anda kemudian dapat mengonfigurasi mode komunikasi (proxy mode atau tunnel mode) serta menyiapkan access control whitelist untuk edge gateway nodes Anda.

Masuk ke ACK console. Di panel navigasi kiri, klik Clusters.
Pada halaman Clusters, klik nama cluster Anda. Di panel navigasi kiri, klik Add-ons.

Temukan komponen raven-agent-ds dan klik Configuration pada kartunya. Lalu, konfigurasikan parameter sesuai kebutuhan.

Parameter

Deskripsi

controller

Enable Proxy Mode (Direkomendasikan): Mengaktifkan proxy mode. Mode ini membuat tunnel reverse proxy untuk komunikasi lintas domain di tingkat jaringan host.
Enable Tunnel Mode: Mengaktifkan tunnel mode. Mode ini ditujukan untuk node pools tempat nodes dapat berkomunikasi secara langsung. Mode ini membuat tunnel VPN untuk komunikasi lintas domain di tingkat jaringan kontainer dan terutama digunakan untuk memantau metrik kontainer cloud-edge.

Penting
Karena komunikasi lintas domain dikirimkan melalui jaringan publik, terdapat risiko kehilangan data. Jangan mengirimkan data bisnis penting. Jika Anda mengalami masalah atau memiliki saran terkait produk, submit a ticket untuk menghubungi tim layanan kontainer.

Untuk informasi lebih lanjut mengenai kedua mode komunikasi tersebut, lihat The Raven cross-domain O&M communication component.

accessControlListEntry

Menentukan entri untuk access control whitelist. Hanya edge gateway nodes dalam daftar ini yang dapat membuat tunnel ke cloud, sehingga meningkatkan keamanan jaringan.

Gunakan format CIDR. Untuk alamat IP tunggal, gunakan masker subnet /32. Pisahkan beberapa entri dengan koma (,). Jika Anda mengosongkan parameter ini, load balancer akan mengizinkan semua alamat sumber mengakses layanan cloud.

Jika Anda menambahkan entri ke access control list, Anda juga harus mengizinkan Blok CIDR 100.64.0.0/10, yang digunakan oleh CLB untuk health checks.

Kustomisasi node gateway dengan label

Komponen Raven mengaktifkan komunikasi lintas domain dengan membangun tunnel antara nodes gateway. Secara default, komponen ini memilih nodes gateway secara acak dari node pool. Untuk memastikan saluran O&M yang stabil, tetapkan nodes tertentu sebagai nodes gateway khusus. Untuk melakukannya, jalankan perintah berikut:

kubectl label node node-xxx raven.openyurt.io/gateway-node=true

Dokumen terkait

Untuk mempelajari lebih lanjut tentang komponen Raven, termasuk arsitektur dan mode komunikasi yang didukung, lihat The Raven cross-domain O&M communication component.
Komponen raven-agent-ds untuk ACK Edge clusters diperbarui secara berkala. Untuk daftar perubahan lengkap, lihat raven-agent-ds.