全部产品
Search

搜索本产品

    Container Service for Kubernetes:Catatan untuk mengonfigurasi pod agar dapat mengakses jaringan eksternal

    文档中心

    Container Service for Kubernetes:Catatan untuk mengonfigurasi pod agar dapat mengakses jaringan eksternal

    更新时间:Jul 02, 2025

    Pod dapat mengakses sumber daya yang ditempatkan di dalam virtual private cloud (VPC), termasuk Instance ECS, instance Server Load Balancer (SLB), dan bucket Object Storage Service (OSS). Pod juga dapat mengakses Internet setelah dikonfigurasi. Topik ini menjelaskan catatan penting saat mengonfigurasi pod untuk mengakses jaringan eksternal.

    Tindakan pencegahan untuk mengonfigurasi pod

    • Konfigurasikan Resolusi Nama Domain

      Saat pod mengakses jaringan eksternal, pod menggunakan fitur resolusi nama domain yang disediakan oleh kluster untuk menyelesaikan alamat tujuan. Kemudian, pod mengakses tujuan melalui kebijakan jaringan di sisi pod. Jika nama domain tidak dapat diselesaikan, periksa kesalahan resolusi DNS. Untuk informasi lebih lanjut, lihat Pemecahan Masalah DNS.

    • Konfigurasikan Kebijakan Jaringan

      Periksa apakah kebijakan jaringan telah dikonfigurasi untuk namespace tempat pod berada, serta apakah kebijakan tersebut melarang pod mengakses tujuan. Jika kebijakan jaringan membatasi akses, ubah kebijakan tersebut. Untuk informasi lebih lanjut, lihat Gunakan Kebijakan Jaringan di Kluster ACK.

    • Konfigurasikan Grup Keamanan

      Periksa apakah grup keamanan kluster dan grup keamanan Instance ECS yang menjadi host pod melarang pod mengakses tujuan. Pastikan bahwa grup keamanan memenuhi aturan berikut:

      • Aturan grup keamanan dibuat untuk mengizinkan pod mengakses alamat dan port tujuan dalam arah keluar.

      • Tidak ada aturan grup keamanan yang dibuat untuk melarang pod mengakses alamat dan port tujuan dalam arah keluar.

      Untuk informasi lebih lanjut tentang cara mengelola grup keamanan untuk kluster, lihat Konfigurasikan Grup Keamanan untuk Kluster.

    Tindakan pencegahan untuk mengonfigurasi tujuan

    Pod dalam kluster dapat mengakses Internet atau sumber daya yang ditempatkan di VPC, termasuk sumber daya yang sudah ada seperti Instance ECS dan instance SLB, layanan cloud seperti ApsaraDB RDS dan OSS, serta Layanan LoadBalancer yang diekspos oleh kluster. Konfigurasi pod bervariasi tergantung pada tujuan.

    Mengakses Internet

    Dalam kluster IPv4 single-stack, pod hanya menggunakan alamat IPv4 dan hanya dapat mengakses alamat IPv4 publik. Pod tidak dapat mengakses alamat IPv6.

    Setelah mengaktifkan dual-stack di kluster, pod menggunakan baik alamat IPv4 maupun IPv6. Alamat IPv4 yang digunakan oleh pod adalah alamat IP privat, sedangkan alamat IPv6 adalah alamat publik.

    Konfigurasi pod bervariasi tergantung pada alamat IP yang perlu diakses oleh pod:

    • Kluster IPv4 Single-Stack:

      Untuk mengizinkan pod mengakses Internet, Anda perlu mengaitkan elastic IP address (EIP) dengan pod atau menggunakan gateway NAT. Tabel berikut menjelaskan metode yang dapat Anda gunakan untuk mengonfigurasi pod agar dapat mengakses alamat IPv4 publik:

      Metode akses Internet

      Plug-in jaringan Terway

      Plug-in jaringan Flannel

      Gunakan gateway NAT

      Aturan SNAT harus mencakup entri SNAT dari pod. Untuk informasi lebih lanjut tentang cara mengonfigurasi gateway NAT, lihat Aktifkan kluster ACK yang ada untuk mengakses Internet.

      Alamat IP publik yang digunakan untuk mengakses jaringan eksternal adalah EIP yang terkait dengan gateway NAT.

      Aturan SNAT harus mencakup entri SNAT dari node tempat pod berada. Untuk informasi lebih lanjut tentang cara mengonfigurasi gateway NAT, lihat Aktifkan kluster ACK yang ada untuk mengakses Internet.

      Alamat IP publik yang digunakan untuk mengakses jaringan eksternal adalah EIP yang terkait dengan gateway NAT.

      Kaitkan dengan EIP

      Anda dapat mengaitkan EIP dengan pod. Untuk informasi lebih lanjut, lihat Kaitkan EIP eksklusif dengan pod.

      Alamat IP publik yang digunakan untuk mengakses jaringan eksternal adalah EIP yang terkait dengan pod.

      Pod hanya dapat mengakses Internet menggunakan EIP yang terkait dengan node. Untuk informasi lebih lanjut, lihat EIP.

      Alamat IP publik yang digunakan untuk mengakses jaringan eksternal adalah EIP yang terkait dengan node.

      Metode

      Tindakan Pencegahan

      Alamat IP Publik yang Digunakan untuk Mengakses Jaringan Eksternal

      Gunakan Gateway NAT

      • Untuk kluster menggunakan Terway: Aturan SNAT harus mencakup entri SNAT dari pod.

      • Untuk kluster menggunakan Flannel: Aturan SNAT harus mencakup entri SNAT dari node tempat pod berada.

      Untuk mengonfigurasi gateway NAT, lihat Aktifkan Akses Jaringan Publik untuk Kluster yang Ada.

      EIP yang terkait dengan gateway NAT.

      Gunakan EIP yang Terkait dengan Node Pod (Hanya Saat Menggunakan Flannel)

      Kaitkan EIP dengan node (Instance ECS) yang menjadi host pod. Untuk informasi lebih lanjut, lihat EIP.

      EIP yang terkait dengan node.

      Gunakan EIP yang Terkait dengan Pod (Hanya Saat Menggunakan Terway)

      Kaitkan EIP dengan pod. Untuk informasi lebih lanjut, lihat Pasang EIP Publik Independen ke Pod.

      EIP yang terkait dengan pod.

    • Kluster Dual-Stack:

      Dalam kluster dual-stack, pod menggunakan alamat IPv6 publik, tetapi secara default tidak ada bandwidth publik yang dialokasikan untuk alamat IPv6. Untuk informasi lebih lanjut tentang cara mengalokasikan bandwidth publik ke pod, lihat Alokasikan Bandwidth Internet IPv6 ke Pod.

    Mengakses sumber daya di VPC

    Saat pod mengakses sumber daya lain di kluster, seperti ECS, RDS, dan OSS, tujuan mungkin memiliki beberapa aturan kontrol akses yang memblokir sumber akses, seperti grup keamanan, aturan Daftar Kontrol Akses (ACL), atau mekanisme daftar putih. Jika alamat IP sumber yang digunakan oleh pod diblokir, Anda perlu membukanya dalam aturan kontrol akses:

    • Dalam mode Terway, alamat IP pod digunakan. Anda perlu memodifikasi aturan grup keamanan, aturan ACL, dan daftar putih yang digunakan oleh sumber daya lain di VPC untuk menerima akses dari alamat IP pod.

    • Dalam mode Flannel, alamat IP dari node tempat pod berada digunakan. Anda perlu memodifikasi aturan grup keamanan, aturan ACL, dan daftar putih yang digunakan oleh sumber daya lain di VPC untuk menerima akses dari alamat IP ECS tempat pod berada.

    Anda juga dapat menggunakan ack-kubernetes-webhook-injector untuk mengonfigurasi daftar putih secara otomatis. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Putih Pod Secara Dinamis untuk Layanan Alibaba Cloud.

    Mengakses instance SLB yang digunakan oleh kluster

    Saat pod mengakses instance SLB yang digunakan oleh Service di dalam kluster, ia menggunakan mekanisme di mana lalu lintas diarahkan ke pod backend untuk akses langsung, dan lalu lintas sebenarnya tidak meninggalkan kluster. Dalam Terway versi 1.1.0 atau lebih lama, kluster yang menggunakan mode IPVLAN + eBPF tidak mendukung mekanisme ini dan menggunakan alamat IP instance SLB untuk akses. Dalam Terway versi 1.2.0 atau lebih baru, kluster yang baru dibuat mendukung fitur ini, sedangkan kluster yang sudah ada tidak. Untuk informasi lebih lanjut tentang mekanisme ini, lihat Bagaimana Cara Mengaktifkan Load Balancing dalam Kluster di Mode Terway IPVLAN?.