Pod dalam kluster ACS dapat mengakses resource di Virtual Private Cloud (VPC)—termasuk Instance ECS, Instance ApsaraDB RDS, Bucket OSS, dan Instance SLB—serta Internet. Konektivitas outbound bergantung pada dua sisi: pod (sumber) dan tujuan. Konfigurasikan kedua sisi agar pod dapat mengakses jaringan eksternal.
Konfigurasi sisi sumber (pod)
Saat pod mengirim traffic ke alamat eksternal, permintaan tersebut melewati resolver DNS kluster, tunduk pada kebijakan jaringan yang berlaku di namespace pod, dan diperiksa terhadap security group yang terpasang pada pod dan kluster. Verifikasi ketiganya sebelum menyelidiki sisi tujuan.
Resolusi DNS
Pod menggunakan resolver Domain Name System (DNS) bawaan kluster untuk menerjemahkan hostname tujuan menjadi alamat IP. Jika resolusi DNS gagal, lakukan troubleshooting terhadap error tersebut.
Kebijakan jaringan
Periksa apakah kebijakan jaringan diterapkan pada namespace tempat pod berjalan dan apakah kebijakan tersebut memblokir traffic outbound ke alamat IP tujuan. Jika ada kebijakan yang memblokir, ubah agar mengizinkan traffic yang diperlukan. Untuk informasi selengkapnya, lihat Use network policies in ACS clusters.
Kelompok Keamanan
Periksa security group yang terpasang pada kluster maupun pod. Agar traffic outbound berhasil, aturan security group harus memenuhi kedua kondisi berikut:
-
Aturan keluar mengizinkan pod mengakses alamat IP dan Port tujuan.
-
Tidak ada aturan keluar yang secara eksplisit menolak akses ke alamat IP dan Port tujuan.
Konfigurasi tujuan
Konfigurasi yang diperlukan di sisi tujuan bervariasi tergantung pada resource yang ingin diakses oleh pod.
Akses Internet
Tersedia dua metode untuk akses Internet dari pod.
| Metode | Kapan digunakan | Alamat IP publik | Referensi |
|---|---|---|---|
| Gunakan Gateway NAT Internet | Beberapa pod | Elastic IP Address (EIP) yang dikaitkan dengan Gateway NAT Internet | Enable Internet access for an ACS cluster |
| Kaitkan EIP dengan pod | Satu pod | EIP yang dikaitkan dengan pod | Mount an independent EIP for pods |
Akses resource cloud dalam VPC yang sama
Resource tujuan seperti Instance ECS, Instance ApsaraDB RDS, dan Bucket OSS mungkin memiliki aturan kontrol akses—security group, Access Control List (ACL) jaringan, atau daftar putih—yang memblokir traffic dari alamat IP pod. Jika pod tidak dapat mengakses resource dalam VPC kluster, periksa konfigurasi kontrol akses pada resource tujuan dan tambahkan aturan untuk mengizinkan traffic inbound dari alamat IP pod.
Akses Layanan LoadBalancer
Traffic yang berasal dari dalam kluster tidak dapat mencapai Layanan LoadBalancer milik kluster itu sendiri, baik Layanan tersebut menggunakan alamat publik maupun privat. Untuk mengatasi hal ini, ubah kebijakan traffic eksternal dari Layanan target. Untuk informasi selengkapnya, lihat What can I do if the cluster cannot access the IP address of the SLB instance exposed by the LoadBalancer Service.