全部产品
Search

搜索本产品

    Container Service for Kubernetes:Perencanaan jaringan cluster ACK yang dikelola

    文档中心

    Container Service for Kubernetes:Perencanaan jaringan cluster ACK yang dikelola

    更新时间:Jul 02, 2025

    Sebelum memulai, kami menyarankan Anda merencanakan ukuran cluster, fitur jaringan, konfigurasi terkait virtual private cloud (VPC) (VPC dan vSwitch), serta konfigurasi jaringan (plugin jaringan kontainer, blok CIDR kontainer, dan blok CIDR Service). Hal ini memastikan penggunaan sumber daya jaringan yang efisien dan menyediakan ruang yang cukup untuk ekspansi bisnis di masa depan. Topik ini menjelaskan cara merencanakan arsitektur jaringan dari cluster ACK yang dikelola sesuai dengan kebutuhan bisnis Anda dalam lingkungan VPC Alibaba Cloud.

    Perencanaan ukuran jaringan

    Wilayah dan zona

    Instance di zona berbeda dalam satu wilayah dapat saling berkomunikasi. Bahkan jika satu zona down, zona lain tetap bekerja seperti biasa. Instance dalam zona yang sama memiliki latensi lebih rendah, menghasilkan kecepatan akses yang lebih cepat. Rencanakan wilayah dan zona berdasarkan informasi berikut:

    Item

    Deskripsi

    Latensi

    Jarak yang lebih pendek antara pengguna dan lokasi sumber daya berarti latensi lebih rendah dan performa lebih baik.

    Wilayah dan zona yang didukung

    Layanan Alibaba Cloud yang berbeda tersedia di wilayah dan zona yang berbeda dan inventaris mereka bervariasi. Pilih zona dan wilayah berdasarkan layanan Anda.

    Biaya

    Harga layanan cloud mungkin berbeda menurut wilayah. Kami menyarankan memilih wilayah berdasarkan anggaran Anda.

    Ketersediaan tinggi dan pemulihan bencana

    Untuk layanan yang memerlukan kemampuan pemulihan bencana tinggi, sebarkan layanan Anda di beberapa zona dalam wilayah yang sama. Anda juga dapat menyebarkan layanan Anda di beberapa wilayah untuk mencapai pemulihan bencana lintas wilayah.

    Kepatuhan

    Pilih wilayah yang memenuhi persyaratan kepatuhan data dan kebijakan pendaftaran bisnis negara atau wilayah Anda.

    VPC tidak dapat ditempatkan di beberapa wilayah. Untuk menyebarkan layanan Anda di beberapa wilayah, Anda harus membuat VPC di setiap wilayah dan menggunakan koneksi peering VPC atau Cloud Enterprise Network (CEN) untuk mengaktifkan komunikasi antar-VPC. vSwitch adalah sumber daya tingkat zona. Perhatikan hal-hal berikut:

    • Jika Anda memilih beberapa zona karena batasan inventaris Elastic Compute Service (ECS), cadangkan blok CIDR yang cukup dan perhatikan bahwa latensi meningkat ketika lalu lintas berbelok antar-zona.

    • Beberapa wilayah hanya memiliki satu zona, seperti China (Nanjing - Local Region). Jika Anda memiliki kebutuhan pemulihan bencana intra-wilayah, pertimbangkan matang sebelum memilih wilayah tersebut.

    Catatan

    Untuk informasi lebih lanjut tentang wilayah yang didukung oleh ACK, lihat Wilayah yang Didukung.

    Jumlah VPC

    VPC menyediakan lingkungan jaringan yang aman dan fleksibel di cloud, di mana VPC terisolasi satu sama lain dan instance dalam VPC dapat saling berkomunikasi. Rencanakan jumlah VPC Anda sesuai kebutuhan.

    Skenario

    VPC Tunggal

    • Layanan Anda kecil dan ditempatkan di satu wilayah tanpa kebutuhan isolasi jaringan.

    • Anda menggunakan VPC untuk pertama kalinya.

    • Anda khawatir tentang biaya terkait koneksi antar-VPC.

    VPC Ganda

    • Layanan Anda besar dan ditempatkan di wilayah berbeda.

    • Layanan Anda berada di satu wilayah, tetapi harus diisolasi.

    • Arsitektur bisnis Anda kompleks, dan setiap departemen membutuhkan manajemen independen.

    Catatan

    Secara default, Anda dapat membuat maksimal 10 VPC di setiap wilayah. Anda dapat pergi ke halaman Manajemen Kuota atau halaman Pusat Kuota untuk meminta peningkatan kuota.

    Jumlah vSwitches

    vSwitch adalah sumber daya tingkat zona yang menampung semua layanan cloud dalam VPC. Membuat vSwitch membantu Anda merencanakan alamat IP dengan benar. Semua vSwitch dalam VPC dapat berkomunikasi satu sama lain secara default.

    Item

    Deskripsi

    Latensi

    Latensi antar zona dalam wilayah yang sama rendah. Namun, panggilan sistem yang kompleks dan panggilan lintas zona dapat meningkatkan latensi.

    Ketersediaan tinggi dan pemulihan bencana

    Kami menyarankan membuat setidaknya dua vSwitch dalam VPC dan menyebarkan vSwitch lintas zona untuk pemulihan bencana lintas zona. Anda dapat menyebarkan layanan di beberapa zona dan mengonfigurasi aturan keamanan secara terpusat. Ini meningkatkan ketersediaan sistem dan pemulihan bencana.

    Skala bisnis dan pembagian

    Buat vSwitch berdasarkan modul bisnis. Misalnya, Anda dapat menyebarkan lapisan web, lapisan logika, dan lapisan data di vSwitch berbeda untuk membuat arsitektur web standar.

    Rencanakan vSwitch Anda berdasarkan informasi berikut:

    • Buat setidaknya dua vSwitch dan sebarkan mereka di berbagai zona untuk kemampuan failover. Ketika satu vSwitch tidak berfungsi, yang lain akan mengambil alih dan mewujudkan pemulihan bencana lintas zona.

      Latensi antar zona dalam wilayah yang sama secara teori rendah. Namun, latensi aktual perlu diverifikasi. Latensi jaringan dapat meningkat karena topologi jaringan yang kompleks dan panggilan lintas zona. Kami menyarankan meningkatkan dan memvalidasi arsitektur Anda untuk menyeimbangkan ketersediaan tinggi dan latensi rendah.

    • Jumlah vSwitch yang diperlukan tergantung pada skala sistem dan desain arsitektur Anda. Secara umum, buat vSwitch berdasarkan modul bisnis. Misalnya, sebarkan layanan yang menghadap publik di vSwitch publik. Menyebarkan layanan lintas zona memfasilitasi konfigurasi kebijakan keamanan terpusat dan tata kelola.

    Catatan

    Secara default, Anda dapat membuat maksimal 150 vSwitch dalam setiap VPC. Anda dapat pergi ke halaman Manajemen Kuota atau halaman Pusat Kuota untuk meminta peningkatan kuota.

    Skala cluster

    Jumlah node

    Skenario

    Perencanaan VPC

    Perencanaan zona

    Kurang dari 100 node

    Bisnis non-inti

    VPC Tunggal

    1 (disarankan 2 atau lebih)

    100 node atau lebih

    Bisnis umum yang memerlukan beberapa zona

    VPC Tunggal

    2 atau lebih

    100 node atau lebih

    Bisnis inti yang memerlukan keandalan tinggi dan beberapa wilayah

    VPC Ganda

    2 atau lebih

    Perencanaan koneksi jaringan

    Cluster tunggal dalam satu VPC

    Blok CIDR VPC ditentukan saat Anda membuat VPC. Saat Anda membuat cluster ACK dalam VPC, pastikan bahwa blok CIDR pod dan blok CIDR Service tidak tumpang tindih dengan blok CIDR VPC. Ini memastikan komunikasi jaringan dalam cluster dan mencegah konflik dengan VPC eksternal.

    Cluster ganda dalam satu VPC

    Buat beberapa cluster dalam VPC.

    • Blok CIDR VPC ditentukan saat Anda membuat VPC. Saat Anda membuat cluster, blok CIDR VPC, blok CIDR Service, dan blok CIDR pod di setiap cluster tidak boleh tumpang tindih satu sama lain.

    • Blok CIDR pod tidak boleh tumpang tindih di antara semua cluster, tetapi blok CIDR Service (blok CIDR virtual) dapat tumpang tindih satu sama lain.

    • Jika cluster Anda menggunakan Flannel, paket pod harus diteruskan oleh router VPC. Cluster ACK yang dikelola secara otomatis menghasilkan tabel rute untuk setiap blok CIDR pod tujuan pada router VPC.

    Catatan

    Dalam kasus ini, cluster sebagian terhubung. Pod di satu cluster dapat mengakses pod dan instance ECS di cluster lain, tetapi tidak dapat mengakses layanan di cluster lain. Sebagai contoh, layanan IP cluster hanya dapat diakses dalam cluster. Untuk mengekspos layanan, Anda dapat menggunakan Layanan LoadBalancer atau Ingress.

    Interkoneksi multi-cluster lintas VPC

    Kami menyarankan Anda merencanakan koneksi beberapa cluster lintas VPC dalam skenario berikut:

    Penyebaran lintas wilayah

    VPC tidak dapat ditempatkan di beberapa wilayah. Jika Anda ingin menyebarkan layanan Anda di wilayah berbeda, Anda harus membuat beberapa VPC dan beberapa cluster. Anda dapat menggunakan koneksi peering VPC, gateway VPN, dan Cloud Enterprise Network (CEN) untuk menghubungkan VPC yang ditempatkan di wilayah berbeda.

    Isolasi layanan

    Jika beberapa sistem bisnis dalam satu wilayah memerlukan isolasi ketat menggunakan VPC, seperti isolasi antara lingkungan produksi dan lingkungan staging, Anda dapat menyebarkan cluster produksi dan cluster uji di VPC berbeda untuk memberikan isolasi logis dan keamanan yang lebih baik. Anda juga dapat menggunakan koneksi peering VPC, gateway VPN, dan CEN untuk menghubungkan VPC yang ditempatkan di wilayah yang sama.

    Sistem bisnis berskala besar

    Jika arsitektur bisnis Anda kompleks dan setiap layanan dan departemen memerlukan VPC independen untuk mengelola kluster dan sumber daya mereka dan untuk manajemen fleksibel, kami menyarankan Anda mengonfigurasi beberapa VPC dan beberapa cluster.

    Penting

    Untuk menghindari masalah seperti kesalahan routing yang disebabkan oleh konflik IP dalam skenario interkoneksi multi-cluster lintas VPC, Anda harus mengikuti persyaratan perencanaan jaringan berikut untuk cluster baru:

    • Blok CIDR cluster baru tidak tumpang tindih dengan blok CIDR VPC.

    • Blok CIDR cluster baru tidak tumpang tindih dengan blok CIDR cluster lain.

    • Blok CIDR cluster baru tidak tumpang tindih dengan blok CIDR pod cluster lain.

    • Blok CIDR cluster baru tidak tumpang tindih dengan blok CIDR Service cluster lain.

    Komunikasi antara cluster cloud dan pusat data

    Mirip dengan skenario interkoneksi multi-cluster lintas VPC, jika VPC terhubung ke pusat data, paket blok CIDR tertentu dirutekan ke pusat data. Dalam hal ini, blok CIDR pod dari cluster dalam VPC tidak boleh tumpang tindih dengan blok CIDR ini. Untuk mengakses pod dalam VPC dari pusat data, Anda harus mengonfigurasi tabel routing untuk Virtual Border Router (VBR) di pusat data.

    Perencanaan plugin jaringan kontainer

    Cluster ACK yang dikelola mendukung dua jenis plugin jaringan kontainer: Terway dan Flannel. Plugin yang berbeda memengaruhi fitur yang didukung dan konfigurasi jaringan. Misalnya, Terway mendukung NetworkPolicy, yang menyediakan kontrol jaringan berbasis kebijakan, sedangkan Flannel tidak. Blok CIDR kontainer Terway dialokasikan dari VPC, sedangkan blok CIDR kontainer Flannel adalah segmen jaringan virtual yang ditentukan.

    Penting

    Plugin jaringan kontainer harus diinstal saat Anda membuat cluster dan tidak dapat diubah setelah cluster dibuat. Kami menyarankan Anda memilih plugin jaringan berdasarkan kebutuhan jaringan Anda.

    Perencanaan fitur

    Item

    Terway

    Flannel

    NetworkPolicy

    Anda dapat menggunakan kebijakan jaringan dalam cluster ACK.

    Tidak didukung.

    Stack dual IPv4/IPv6

    Anda dapat mengalokasikan bandwidth Internet IPv6 ke pod.

    Tidak didukung.

    Catatan

    Plugin Flannel yang digunakan dalam ACK telah dimodifikasi untuk menyesuaikan dengan lingkungan Alibaba Cloud dan tidak disinkronkan dengan komunitas open source. Untuk informasi lebih lanjut tentang catatan rilis Flannel, lihat Flannel.

    Konfigurasikan alamat IP statis pod

    Anda dapat mengonfigurasi alamat IP statis, vSwitch terpisah, dan grup keamanan terpisah untuk setiap pod.

    Tidak didukung.

    Mengikat EIP ke pod

    Anda dapat mengaitkan EIP eksklusif dengan pod.

    Tidak didukung.

    Akses antar beberapa cluster

    Didukung. Pod di cluster berbeda dapat berkomunikasi ketika port relevan dibuka dalam aturan grup keamanan.

    Tidak didukung.

    Untuk informasi lebih lanjut tentang perbandingan antara Terway dan Flannel, lihat Perbandingan antara Terway dan Flannel.

    Perencanaan blok CIDR

    Penting

    Bidang kontrol cluster ACK yang dikelola menggunakan blok CIDR 7.0.0.0/8. Untuk mencegah konflik jaringan yang dapat mengganggu akses manajemen cluster, hindari memilih rentang CIDR yang tumpang tindih dengan 7.0.0.0/8.

    Terway

    terway

    Configuration example

    • Single-zone configuration of Terway

      Blok CIDR VPC

      Blok CIDR vSwitch

      Blok CIDR vSwitch pod

      Blok CIDR Service

      Jumlah maksimum alamat IP pod

      192.168.0.0/16

      Zone I

      192.168.0.0/19

      192.168.32.0/19

      172.21.0.0/20

      8192

    • Multi-zone deployment of Terway

      Blok CIDR VPC

      Blok CIDR vSwitch

      Blok CIDR vSwitch pod

      Blok CIDR Service

      Jumlah maksimum alamat IP pod

      192.168.0.0/16

      Zone I 192.168.0.0/19

      192.168.32.0/19

      172.21.0.0/20

      8192

      Zone J 192.168.64.0/19

      192.168.96.0/19

    Jika cluster Anda menggunakan plugin jaringan Terway, Anda harus mengonfigurasi parameter berikut:

    • VPC

      • Anda dapat menentukan salah satu blok CIDR berikut atau subset mereka sebagai blok CIDR IPv4 utama VPC: 192.168.0.0/16, 172.16.0.0/12, dan 10.0.0.0/8. Blok CIDR ini adalah blok CIDR pribadi standar sebagaimana didefinisikan oleh dokumen Request for Comments (RFC). Subnet mask harus memiliki panjang 8 hingga 28 bit. Contoh: 192.168.0.0/16.

      • Anda dapat menggunakan rentang CIDR kustom sebagai blok CIDR IPv4 utama untuk VPC Anda, asalkan tidak tumpang tindih dengan segmen jaringan yang dicadangkan berikut atau subnet mereka: 100.64.0.0/10, 224.0.0.0/4, 127.0.0.0/8, 169.254.0.0/16, dan 7.0.0.0/8.

      • Dalam skenario di mana beberapa VPC digunakan atau dalam skenario cloud hybrid di mana Anda ingin menghubungkan pusat data ke VPC, kami menyarankan Anda menggunakan blok CIDR RFC standar sebagai blok CIDR VPC dengan subnet mask tidak lebih dari 16 bit panjangnya. Pastikan bahwa blok CIDR VPC dan pusat data tidak tumpang tindih.

      • Blok CIDR IPv6 dialokasikan oleh VPC setelah Anda mengaktifkan IPv6 untuk VPC. Jika Anda ingin mengaktifkan IPv6 untuk kontainer, pilih Terway untuk parameter Plugin Jaringan.

    • vSwitch

      vSwitch yang terkait dengan instance ECS memungkinkan node berkomunikasi satu sama lain. Blok CIDR vSwitch dalam VPC harus merupakan subset dari blok CIDR VPC. Ini menunjukkan bahwa blok CIDR vSwitch harus sama dengan atau termasuk dalam blok CIDR VPC. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Sistem mengalokasikan alamat IP dari blok CIDR vSwitch ke instance ECS yang terkait dengan vSwitch tersebut.

      • Anda dapat membuat beberapa vSwitch dalam VPC. Namun, blok CIDR vSwitch ini tidak boleh tumpang tindih satu sama lain.

      • vSwitch dan vSwitch pod harus berada di zona yang sama.

    • vSwitch Pod

      Alamat IP pod dialokasikan dari blok CIDR vSwitch pod. Ini memungkinkan pod berkomunikasi satu sama lain. Pod adalah abstraksi dalam ACK. Setiap pod memiliki alamat IP. Blok CIDR yang Anda tentukan saat membuat vSwitch pod dalam VPC harus merupakan subset dari blok CIDR VPC. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Dalam cluster Layanan Kontainer yang memiliki Terway terinstal, alamat IP pod dialokasikan oleh vSwitch pod.

      • Blok CIDR vSwitch pod tidak boleh tumpang tindih dengan Blok CIDR Service.

      • vSwitch dan vSwitch pod harus berada di zona yang sama.

    • Blok CIDR Service

      Penting

      Anda tidak dapat mengubah blok CIDR Service setelah pembuatan.

      Service adalah konsep Kubernetes. Blok CIDR Service menyediakan alamat IP untuk layanan tipe ClusterIP. Setiap Service memiliki alamat IP. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Alamat IP Service hanya berlaku di dalam cluster.

      • Blok CIDR Service tidak boleh tumpang tindih dengan Blok CIDR vSwitch.

      • Blok CIDR Service tidak boleh tumpang tindih dengan Blok CIDR vSwitch pod.

    • Blok CIDR Service IPv6

      Jika Anda mengaktifkan stack dual IPv4/IPv6, Anda harus menentukan blok CIDR IPv6 untuk Service. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Anda harus menentukan ruang Alamat Unicast Lokal Unik (ULA) dalam rentang alamat fc00::/7. Prefix harus memiliki panjang 112 hingga 120 bit.

      • Kami menyarankan Anda menentukan blok CIDR IPv6 yang memiliki jumlah alamat IP yang sama dengan Blok CIDR Service.

    Flannel

    Flannel示意图

    Configuration example

    Blok CIDR VPC

    Blok CIDR vSwitch

    Blok CIDR kontainer

    Blok CIDR Service

    Jumlah maksimum alamat IP pod

    192.168.0.0/16

    192.168.0.0/24

    172.20.0.0/16

    172.21.0.0/20

    65536

    Jika cluster Anda menggunakan plugin jaringan Flannel, Anda harus mengonfigurasi parameter berikut:

    • VPC

      • Anda dapat menentukan salah satu blok CIDR berikut atau subset mereka sebagai blok CIDR IPv4 utama VPC: 192.168.0.0/16, 172.16.0.0/12, dan 10.0.0.0/8. Blok CIDR ini adalah blok CIDR pribadi standar sebagaimana didefinisikan oleh dokumen Request for Comments (RFC). Subnet mask harus memiliki panjang 8 hingga 28 bit. Contoh: 192.168.0.0/16.

      • Anda dapat menggunakan rentang CIDR kustom sebagai blok CIDR IPv4 utama untuk VPC Anda, asalkan tidak tumpang tindih dengan segmen jaringan yang dicadangkan berikut atau subnet mereka: 100.64.0.0/10, 224.0.0.0/4, 127.0.0.0/8, 169.254.0.0/16, dan 7.0.0.0/8.

      • Dalam skenario di mana beberapa VPC digunakan atau dalam skenario cloud hybrid di mana Anda ingin menghubungkan pusat data ke VPC, kami menyarankan Anda menggunakan blok CIDR RFC standar sebagai blok CIDR VPC dengan subnet mask tidak lebih dari 16 bit panjangnya. Pastikan bahwa blok CIDR VPC dan pusat data tidak tumpang tindih.

      • Blok CIDR IPv6 dialokasikan oleh VPC setelah Anda mengaktifkan IPv6 untuk VPC. Jika Anda ingin mengaktifkan IPv6 untuk kontainer, pilih Terway untuk parameter Plugin Jaringan.

    • vSwitch

      vSwitch yang terkait dengan instance ECS memungkinkan node berkomunikasi satu sama lain. Blok CIDR vSwitch dalam VPC harus merupakan subset dari blok CIDR VPC. Ini menunjukkan bahwa blok CIDR vSwitch harus sama dengan atau termasuk dalam blok CIDR VPC. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Sistem mengalokasikan alamat IP dari blok CIDR vSwitch ke instance ECS yang terkait dengan vSwitch tersebut.

      • Anda dapat membuat beberapa vSwitch dalam VPC. Namun, blok CIDR vSwitch ini tidak boleh tumpang tindih satu sama lain.

    • Blok CIDR Kontainer

      Penting

      Anda tidak dapat mengubah blok CIDR kontainer setelah pembuatan.

      Alamat IP pod dialokasikan dari blok CIDR kontainer. Ini memungkinkan pod berkomunikasi satu sama lain. Pod adalah abstraksi dalam ACK. Setiap pod memiliki alamat IP. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Masukkan blok CIDR di bidang Pod CIDR Block.

      • Blok CIDR kontainer pod tidak boleh tumpang tindih dengan Blok CIDR vSwitch.

      • Blok CIDR kontainer pod tidak boleh tumpang tindih dengan Blok CIDR Service.

      Sebagai contoh, jika blok CIDR VPC adalah 172.16.0.0/12, blok CIDR kontainer tidak boleh 172.16.0.0/16 atau 172.17.0.0/16 karena blok CIDR ini adalah subset dari 172.16.0.0/12.

    • Blok CIDR Service

      Penting

      Anda tidak dapat mengubah blok CIDR Service setelah pembuatan.

      Service adalah konsep Kubernetes. Blok CIDR Service menyediakan alamat IP untuk layanan tipe ClusterIP. Setiap Service memiliki alamat IP. Saat Anda menentukan blok CIDR, perhatikan hal-hal berikut:

      • Blok CIDR Service hanya berlaku di dalam cluster.

      • Blok CIDR Service tidak boleh tumpang tindih dengan Blok CIDR vSwitch.

      • Blok CIDR Service tidak boleh tumpang tindih dengan Blok CIDR kontainer.