Jika aplikasi dalam Container Service for Kubernetes (ACK) cluster perlu mengakses sumber daya eksternal melalui Internet, seperti menarik gambar atau memperbarui pustaka dependensi, Anda dapat mengonfigurasi aturan SNAT pada gateway NAT di virtual private cloud (VPC) tempat cluster berada.
Untuk mengizinkan akses eksternal ke API server dari sebuah cluster ACK melalui Internet, seperti menggunakan kubectl untuk terhubung ke cluster, Anda dapat mengaitkan alamat IP elastis dengan API server. Untuk informasi lebih lanjut, lihat Ekspos API server ke Internet.
Deskripsi Penagihan
Saat mengonfigurasi aturan SNAT, layanan cloud berikut digunakan:
NAT Gateway: Menyediakan gateway NAT yang dikelola sepenuhnya, memungkinkan instance mengakses Internet menggunakan fitur network address translation. Ini meningkatkan keamanan jaringan dengan menghindari paparan alamat. Untuk informasi lebih lanjut tentang penagihan NAT Gateway, lihat Penagihan Gateway NAT Internet.
EIP: Menyediakan alamat IP publik yang dapat dibeli sebagai sumber daya independen. Setelah dikaitkan dengan sumber daya cloud, sumber daya tersebut dapat menggunakan EIP untuk mengakses Internet. Untuk informasi lebih lanjut tentang penagihan EIP, lihat Bayar sesuai pemakaian.
Prosedur
Anda dapat mengonfigurasi aturan SNAT saat membuat cluster ACK atau setelah cluster dibuat. Aturan ini memungkinkan cluster menggunakan EIP yang dikaitkan dengan gateway Internet untuk mengakses Internet.
Operasi API tidak dapat digunakan untuk mengaktifkan SNAT pada cluster yang sudah ada.
Aktifkan SNAT untuk cluster yang sudah ada
Gambar berikut menunjukkan langkah-langkah untuk mengaktifkan SNAT agar cluster yang sudah ada dapat mengakses Internet.
Buat gateway NAT.
Gateway NAT harus dibuat di wilayah yang sama dengan cluster.
Masuk ke Konsol Gateway NAT.
Di panel navigasi sebelah kiri, pilih NAT Gateway > Internet NAT Gateway.
Di halaman Internet NAT Gateway, klik Create Internet NAT Gateway. Konfigurasikan parameter dan klik Buy Now. Untuk informasi lebih lanjut tentang parameter gateway NAT, lihat Buat dan kelola Gateway NAT Internet.
PentingSaat membuat Gateway NAT Internet pertama di VPC, sistem secara otomatis menambahkan rute dengan blok CIDR tujuan 0.0.0.0/0 dan hop berikutnya adalah Gateway NAT Internet ke tabel rute sistem VPC. Rute ini digunakan untuk merutekan lalu lintas ke Gateway NAT Internet. Jika VPC memiliki tabel rute kustom atau beberapa Gateway NAT Internet ada di VPC, tambahkan rute secara manual sesuai kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Buat dan kelola tabel rute.
(Opsional) Buat EIP. Jika Anda sudah memiliki EIP, lewati langkah ini.
Di panel navigasi sebelah kiri, pilih .
Di halaman Elastic IP Addresses, klik Create EIP. Pilih wilayah tempat gateway NAT berada, konfigurasikan parameter lainnya, lalu klik Buy Now.
Kaitkan EIP dengan gateway NAT.
Di panel navigasi sebelah kiri, pilih NAT Gateway > Internet NAT Gateway.
Di halaman Internet NAT Gateway, temukan gateway NAT yang Anda buat dan pilih
> Associate EIP di kolom Actions.Di kotak dialog Associate EIP, pilih grup sumber daya dari daftar drop-down Resource Group, pilih EIP yang Anda buat dari daftar drop-down Select Existing EIP, lalu klik OK.
Buat entri SNAT dengan ruang lingkup vSwitch di gateway NAT.
Di halaman Internet NAT Gateway, temukan gateway NAT yang Anda buat dan klik Manage di kolom Actions.
Di halaman detail gateway, klik tab SNAT Management. Di tab Manajemen SNAT, klik Create SNAT Entry.
Di halaman Create SNAT Entry, atur parameter dan klik OK. Untuk informasi lebih lanjut tentang parameter entri SNAT, lihat Buat entri SNAT.
Parameter
Deskripsi
SNAT Entry
Pilih Specify vSwitch dan pilih satu atau beberapa vSwitch yang digunakan oleh cluster.
Jika cluster menggunakan plugin jaringan Terway, pilih vSwitch node dan vSwitch pod.
Jika cluster menggunakan plugin jaringan Flannel, pilih vSwitch node.
Dapatkan ID vSwitch node
Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
Di halaman Clusters, temukan cluster yang akan dikelola dan klik namanya. Di panel navigasi sebelah kiri, pilih .
Di halaman Pool Node, klik nama pool node yang ingin Anda kelola. Di halaman detail pool node, klik tab Overview. Di bagian Node Configurations, Anda dapat melihat ID vSwitch node.
Dapatkan ID vSwitch pod
Di halaman Clusters, temukan cluster yang Anda inginkan dan klik namanya. Di panel sebelah kiri, pilih .
Di bagian atas halaman ConfigMap, pilih kube-system dari daftar drop-down Namespace. Kemudian, temukan dan klik ConfigMap eni-config.
Di halaman eni-config, Anda dapat melihat ID vSwitch pod di bidang vswitches.
Select EIP
Pilih satu atau lebih EIP yang ingin Anda gunakan untuk mengaktifkan akses Internet.
Setelah entri SNAT dibuat dan aturan SNAT dikonfigurasi, SNAT diaktifkan untuk cluster. Anda dapat masuk ke Konsol Gateway NAT untuk melihat detail gateway NAT, seperti EIP yang digunakan oleh SNAT. Gambar berikut menunjukkan gateway NAT yang dibuat untuk cluster ACK yang menggunakan plugin jaringan Terway. Aturan SNAT dikonfigurasi untuk mengaktifkan cluster mengakses Internet.
Aktifkan SNAT selama pembuatan cluster
Masuk ke Konsol ACK. Saat membuat cluster ACK, pilih Configure SNAT for VPC di bagian Pengaturan Jaringan. Untuk informasi lebih lanjut tentang cara membuat cluster ACK di Konsol ACK, lihat Buat cluster ACK yang dikelola.
Saat membuat Gateway NAT Internet pertama di VPC, sistem secara otomatis menambahkan rute dengan blok CIDR tujuan 0.0.0.0/0 dan hop berikutnya adalah Gateway NAT Internet ke tabel rute sistem VPC. Rute ini digunakan untuk merutekan lalu lintas ke Gateway NAT Internet. Jika VPC memiliki tabel rute kustom atau beberapa Gateway NAT Internet ada di VPC, tambahkan rute secara manual sesuai kebutuhan bisnis. Untuk informasi lebih lanjut, lihat Buat dan kelola tabel rute.
Hasil
Masuk ke node di cluster dan akses Internet untuk menguji apakah node dapat mengakses Internet dan apakah terjadi kehilangan paket selama transmisi data.
FAQ
Bagaimana cara melihat alamat IP publik cluster ACK
Masuk ke Konsol Gateway NAT.
Di panel navigasi sebelah kiri, pilih NAT Gateway > Internet NAT Gateway.
Di halaman Internet NAT Gateway, temukan gateway NAT yang Anda buat dan klik Manage di kolom Actions.
Klik tab SNAT Management. Di bagian SNAT Entry List, Anda dapat melihat EIP yang digunakan oleh cluster.
Referensi
Untuk informasi lebih lanjut tentang catatan penggunaan untuk mengonfigurasi pod agar dapat mengakses jaringan eksternal, seperti resolusi nama domain, kebijakan jaringan, dan grup keamanan, lihat Catatan untuk mengonfigurasi pod untuk mengakses jaringan eksternal.
Untuk informasi lebih lanjut tentang aturan grup keamanan cluster yang direkomendasikan, lihat Konfigurasikan grup keamanan untuk cluster.
Jangan mengonfigurasi entri SNAT dan gateway IPv4 untuk cluster ACK secara bersamaan. Untuk informasi lebih lanjut tentang cara mengonfigurasi gateway IPv4 untuk node di cluster ACK, lihat Gunakan gateway IPv4 untuk kontrol terpusat atas akses Internet.