ACK マネージドクラスターのネットワークアーキテクチャの計画 - ACK

クラスターを作成する前に、そのサイズ、ネットワーク機能の要件、および Virtual Private Cloud (VPC) 自体と vSwitch を含む VPC 構成を計画します。また、コンテナネットワークインターフェース (CNI) プラグイン、Pod CIDR ブロック、サービス CIDR ブロックなど、クラスター固有のネットワーク設定も計画します。これにより、ネットワークリソースの効率的な使用が保証され、将来のビジネスの成長に対応できます。このトピックでは、Alibaba Cloud VPC 環境における ACK マネージドクラスターのネットワークアーキテクチャを計画する方法について説明します。

ネットワーク規模の計画

リージョンとゾーン

リージョン内では、すべてのゾーンが内部ネットワーク経由で通信します。各ゾーンは、他のゾーンの障害から隔離されています。1 つのゾーンで障害が発生しても、他のゾーンは正常に動作し続けます。同じゾーン内にデプロイされたインスタンスは、ネットワーク遅延が低く、ユーザーアクセスが高速になります。

考慮事項	説明
遅延	エンドユーザーに近いリソースをデプロイすることで、ネットワーク遅延が減少し、アクセス速度が向上します。
サービス可用性	Alibaba Cloud サービスは、リージョンやゾーンによって可用性が異なります。選択したリージョンとゾーンで、必要なクラウドサービスが利用可能であることを確認してください。
コスト	クラウドサービスの料金はリージョンによって異なる場合があります。予算に合ったリージョンを選択することを推奨します。
高可用性とディザスタリカバリ	高いディザスタリカバリ機能を必要とするサービスの場合は、同じリージョン内のゾーンをまたいでデプロイします。また、クロスリージョンディザスタリカバリのために、リージョンをまたいでサービスをデプロイすることもできます。
コンプライアンス	ご利用の国またはリージョンのデータローカライゼーションおよび運用申告ポリシーに準拠したリージョンを選択してください。

VPC はクロスリージョンでデプロイできません。サービスをリージョンをまたいでデプロイするには、各リージョンに VPC を作成し、VPC ピアリング接続または Cloud Enterprise Network (CEN) を使用して接続します。vSwitch はゾーンリソースです。以下の点に注意してください。

クラウドサービスの可用性のために複数のゾーンを使用する場合、十分な CIDR ブロックを確保し、ゾーン間トラフィックによって引き起こされる潜在的な遅延増加を考慮してください。
中国 (南京-ローカルリージョン、閉鎖予定) のように、一部のリージョンでは 1 つのゾーンしか提供されていません。リージョン内ディザスタリカバリが必要な場合は、そのようなリージョンを選択するかどうかを慎重に検討してください。

説明

ACK が利用可能なリージョンについては、「利用可能なリージョン」をご参照ください。

VPC 数

VPC は、安全で柔軟なネットワーク環境を提供します。異なる VPC は相互に完全に隔離されていますが、同じ VPC 内のリソースはプライベートネットワーク経由で通信できます。ニーズに合った VPC の数を計画してください。

	ユースケース
単一 VPC	ビジネス規模が小さく、ネットワーク隔離の必要がなく、1 つのリージョンにデプロイされている場合。 VPC を初めて利用し、その機能を学びたい場合。コストを意識しており、クロス VPC 接続の複雑さと潜在的なコストを回避したい場合。
複数 VPC	ビジネス規模が大きく、異なるリージョンにデプロイされている場合。サービスが 1 つのリージョンにあるが、隔離する必要がある場合。ビジネスアーキテクチャが複雑で、各ユニットがリソースを独立して管理する必要がある場合。

説明

デフォルトでは、リージョンごとに最大 10 個の VPC を作成できます。このクォータを増やすには、クォータ管理ページまたはクォータセンターにアクセスしてください。

vSwitch 数

vSwitch はゾーンリソースです。VPC 内のすべてのクラウドリソースは vSwitch 内にデプロイされます。vSwitch を作成することで、IP アドレスを適切に計画できます。VPC 内のすべての vSwitch は、デフォルトで相互に通信できます。

考慮事項	説明
遅延	同じリージョン内のゾーン間の遅延は低いです。ただし、複雑なシステムコールやゾーン間呼び出しにより、遅延が増加する可能性があります。
高可用性とディザスタリカバリ	VPC を使用する場合、ディザスタリカバリのために少なくとも 2 つの vSwitch を作成し、ゾーンをまたいでデプロイします。セキュリティルールを一元的に構成および管理することで、高可用性とディザスタリカバリが大幅に向上します。
ビジネス規模と分割	ビジネスモジュールごとに vSwitch を作成します。たとえば、標準的な Web アプリケーションアーキテクチャの場合、Web、ロジック、データ層をホストするために複数の vSwitch を作成します。

以下の原則を参照して vSwitch を計画してください。

フェールオーバーのために、少なくとも 2 つの vSwitch を作成し、ゾーンをまたいでデプロイします。1 つの vSwitch が停止した場合、もう一方が引き継ぎ、ディザスタリカバリを提供します。
複雑なネットワークトポロジーとゾーン間呼び出しにより、ネットワーク遅延が増加する可能性があることに注意してください。高可用性と低遅延の両方をバランスさせるために、アーキテクチャを強化することを推奨します。
vSwitch の数は、システム規模とアーキテクチャによって異なります。通常、vSwitch はビジネスモジュールごとに作成されます。たとえば、インターネットに面したサービスはパブリック vSwitch にデプロイし、他のサービスはタイプ別に異なる vSwitch にグループ化します。これにより、構成が簡素化され、セキュリティルールを一元的に管理できます。

説明

デフォルトでは、VPC ごとに最大 150 個の vSwitch を作成できます。このクォータを増やすには、クォータ管理ページまたはクォータセンターにアクセスしてください。

クラスターサイズ

ノード数	ユースケース	VPC 計画	ゾーン計画
100 ノード未満	非コアビジネス	単一 VPC	1 (2 以上を推奨)
100 ノード以上	複数のゾーンを必要とする一般的なワークロード	単一 VPC	2 つ以上
100 ノード以上	高信頼性と複数のリージョンを必要とするコアワークロード	複数 VPC	2 つ以上

ネットワーク接続計画

単一 VPC 内の単一クラスター

VPC を作成すると、その CIDR ブロックは固定されます。クラスターを作成する際、Pod とサービス用に新しい CIDR ブロックを割り当てます。このブロックは、クラスターと VPC のネットワークトラフィック間の競合を回避するために、VPC の CIDR ブロックと重複してはなりません。

単一 VPC 内の複数クラスター

1 つの VPC 内に複数のクラスターを作成できます。

VPC CIDR ブロックは作成時に固定されます。各クラスターは、VPC、サービス、および Pod 用に重複しない CIDR ブロックを使用する必要があります。
クラスター間の Pod CIDR ブロックは重複してはなりません。サービス CIDR ブロック (仮想ネットワーク) は重複する場合があります。
デフォルトの Flannel モードでは、Pod パケットが VPC を経由してルーティングされます。ACK マネージドクラスターは、VPC ルートテーブルに各 Pod CIDR ブロックへのルートを自動的に追加します。

説明

この設定では、クラスターは部分的な接続性を持っています。あるクラスターの Pod は、別のクラスターの Pod および ECS インスタンスに直接アクセスできます。ただし、ClusterIP サービスなど、自身のクラスター内でのみアクセス可能な内部サービスにはアクセスできません。サービスを公開するには、LoadBalancer サービスまたは Ingress を使用します。

複数クラスター間の VPC 接続

以下のシナリオでクラスターの VPC 間接続を計画します。

マルチリージョンデプロイメント

VPC はリージョナルリソースであり、クロスリージョンデプロイメントをサポートしていません。マルチリージョンシステムの場合、複数の VPC とクラスターを使用します。VPC ピアリング接続、VPN Gateway、または Cloud Enterprise Network を使用して、リージョン間で VPC を接続します。

複数業務システムの隔離

同一リージョン内に複数の業務システムがあり、VPC を介した厳格な隔離が必要な場合（例：セキュリティおよびデプロイメント要件が異なる本番環境およびステージング環境）は、本番クラスターおよびステージングクラスターを個別の VPC にデプロイします。これにより、より優れた論理的隔離およびセキュリティが実現されます。同一リージョン内の VPC は、VPC ピアリング接続、VPN Gateway、または Cloud Enterprise Network (CEN) を使用して接続します。

大規模業務システムの構築

アーキテクチャが複雑で、多くのサービスとチームが自身のクラスターとリソースを管理するために独立した VPC を必要とする場合、複数の VPC とクラスターを計画します。これにより、柔軟性と管理性が向上します。

重要

複数クラスター間の VPC 設定で IP 競合によるルーティングエラーを回避するには、新しいクラスターに対して以下のネットワーク計画ルールに従ってください。

どの VPC CIDR ブロックとも重複しない。
他のクラスターの CIDR ブロックとも重複しない。
他のクラスターの Pod CIDR ブロックとも重複しない。
他のクラスターのサービス CIDR ブロックとも重複しない。

クラウドクラスターとオンプレミスデータセンターの接続

複数クラスター間の VPC 接続と同様に、一部の VPC CIDR ブロックはオンプレミスデータセンター (IDC) にルーティングされる場合があります。Pod アドレスは、ルーティングされた CIDR ブロックと重複してはなりません。IDC が Pod アドレスにアクセスする必要がある場合、IDC 側の仮想ボーダールーター (VBR) でルートを構成します。

コンテナネットワークプラグインの計画

ACK マネージドクラスターは、Terway と Flannel の 2 つのコンテナネットワークインターフェース (CNI) プラグインをサポートしています。選択によって、サポートされる機能とネットワーク構成が影響を受けます。たとえば、Terway はポリシーベースのネットワーク制御のために NetworkPolicy をサポートしますが、Flannel はサポートしません。Terway は VPC から Pod IP を割り当てますが、Flannel は仮想 CIDR ブロックを使用します。

重要

コンテナネットワークプラグインは、クラスター作成時にインストールします。クラスター作成後に変更することはできません。ネットワーク機能の要件に合ったプラグインを選択してください。

機能計画

機能	Terway	Flannel
NetworkPolicy (ネットワークポリシー)	ACK クラスターのネットワークポリシーをサポートします。	サポートされていません。
IPv4/IPv6 デュアルスタック	Pod のIPv6 パブリック帯域幅をサポートします。	サポートされていません。説明 ACK は、Alibaba Cloud 向けに最適化された Flannel プラグインの修正版を使用しています。アップストリームのオープンソース変更は追跡しません。Flannel の更新履歴については、「Flannel」をご参照ください。
固定 Pod IP	専用 vSwitch とセキュリティグループによる固定 Pod IPをサポートします。	サポートされていません。
Pod への EIP 割り当て	Pod への専用 Elastic IP アドレス (EIP) の割り当てをサポートします。	サポートされていません。
クラスター間アクセス	サポートされています。異なるクラスターの Pod は、セキュリティグループが必要なポートを許可していれば通信できます。	サポートされていません。

Terway と Flannel の機能の詳細な比較については、「Terway と Flannel コンテナネットワークプラグインの比較」をご参照ください。

CIDR ブロック計画

Terway ネットワークモード

terway

[Terway 構成例]

Terway [単一ゾーン構成]

VPC CIDR ブロック

vSwitch CIDR ブロック

Pod vSwitch CIDR ブロック

サービス CIDR ブロック

最大割り当て可能 Pod IP 数

192.168.0.0/16

ゾーン I

192.168.0.0/19

192.168.32.0/19

172.21.0.0/20

8192

[Terway マルチゾーン構成]

VPC CIDR ブロック	vSwitch CIDR ブロック	Pod vSwitch CIDR ブロック	サービス CIDR ブロック	最大割り当て可能 Pod IP 数
192.168.0.0/16	ゾーン I 192.168.0.0/19	192.168.32.0/19	172.21.0.0/20	8192
192.168.0.0/16	ゾーン J 192.168.64.0/19	192.168.96.0/19	172.21.0.0/20	8192

Terway を構成する際、以下のパラメーターを設定し、これらの注意事項を遵守してください。

仮想プライベートクラウド
- VPC のプライマリ IPv4 CIDR ブロックとして、RFC 標準のプライベート CIDR ブロック (192.168.0.0/16、172.16.0.0/12、または 10.0.0.0/8) のいずれか、またはサブネットを使用します。有効なマスク長は /8 から /28 の範囲です (ブロックによって異なります)。例: 192.168.0.0/16。
  説明
  VPC CIDR ブロックにパブリック IP 範囲を使用するには、クォータセンターで ack.white_list/supportVPCWithPublicIPRanges クォータをリクエストしてください。
- 複数 VPC またはハイブリッドクラウドデプロイメント (VPC + オンプレミスデータセンター) の場合、RFC 標準のプライベート CIDR ブロックのサブネットを使用します。マスク長は /16 以下に維持してください。VPC 間または VPC とデータセンターの間で CIDR ブロックが重複しないようにしてください。
- IPv6 を有効にすると、VPC は IPv6 CIDR ブロックを自動的に割り当てます。コンテナに IPv6 を使用するには、Terway プラグインを選択してください。
vSwitch
vSwitch は ECS インスタンスをホストし、ノード間トラフィックを処理します。vSwitch を作成する際、その CIDR ブロックは VPC CIDR ブロックのサブセットである必要があります (同じか小さい、決して大きくない)。構成する際:
- vSwitch 内の ECS インスタンスは、この CIDR ブロックから IP を取得します。十分な IP アドレスを持つ vSwitch を選択してください。
- 1 つの VPC 内に複数の vSwitch を作成できますが、それらの CIDR ブロックは重複してはなりません。
- vSwitch とそれに対応する Pod vSwitch は同じゾーンにある必要があります。
Pod vSwitch
この vSwitch は Pod IP を割り当て、Pod トラフィックを処理します。Pod は Kubernetes の概念です。各 Pod は 1 つの IP を持ちます。vSwitch を作成する際、その CIDR ブロックは VPC CIDR ブロックのサブセットである必要があります。構成する際:
- Terway モードでは、Pod はこの vSwitch CIDR ブロックから IP を取得します。十分な IP アドレスを持つ vSwitch を選択してください。
- この CIDR ブロックはサービス CIDR ブロックと重複してはなりません。
サービス CIDR ブロック
重要
作成後にサービス CIDR ブロックを変更することはできません。
Kubernetes では、ClusterIP タイプの各サービスに一意の IP アドレスが割り当てられます。これらのアドレスの CIDR ブロックを構成する際、以下の点に注意してください。
- サービス IP は Kubernetes クラスター内でのみ機能します。外部からは到達できません。
- サービス CIDR ブロックは、vSwitch CIDR ブロックと重複してはなりません。
- サービス CIDR ブロックは Pod vSwitch CIDR ブロックと重複してはなりません。
サービス IPv6 CIDR ブロック
IPv6 デュアルスタックを有効にした後、サービス用に IPv6 CIDR ブロックを構成します。構成する際:
- fc00::/7 範囲の Unique Local Address (ULA) を使用します。プレフィックス長は /112 から /120 の間である必要があります。
- サービス CIDR ブロックの使用可能なアドレスの数と一致させてください。

Flannel ネットワークモード

Flannel示意图

[Flannel CIDR ブロック構成例]

VPC CIDR ブロック	vSwitch CIDR ブロック	コンテナ CIDR ブロック	サービス CIDR ブロック	最大割り当て可能 Pod IP 数
192.168.0.0/16	192.168.0.0/24	172.20.0.0/16	172.21.0.0/20	65536

Flannel を構成する際、以下のパラメーターを設定し、これらの注意事項を遵守してください。

VPC
- VPC のプライマリ IPv4 CIDR ブロックとして、RFC 標準のプライベート CIDR ブロック (192.168.0.0/16、172.16.0.0/12、または 10.0.0.0/8) のいずれか、またはサブネットを使用します。有効なマスク長は /8 から /28 の範囲です (ブロックによって異なります)。例: 192.168.0.0/16。
  説明
  VPC CIDR ブロックにパブリック IP 範囲を使用するには、クォータセンターで ack.white_list/supportVPCWithPublicIPRanges クォータをリクエストしてください。
- 複数 VPC またはハイブリッドクラウドデプロイメント (VPC + オンプレミスデータセンター) の場合、RFC 標準のプライベート CIDR ブロックのサブネットを使用します。マスク長は /16 以下に維持してください。VPC 間または VPC とデータセンターの間で CIDR ブロックが重複しないようにしてください。
- IPv6 を有効にすると、VPC は IPv6 CIDR ブロックを自動的に割り当てます。コンテナに IPv6 を使用するには、Terway プラグインを選択してください。
vSwitch
vSwitch は ECS インスタンスをホストし、ノード間トラフィックを処理します。vSwitch を作成する際、その CIDR ブロックは VPC CIDR ブロックのサブセットである必要があります (同じか小さい、決して大きくない)。構成する際:
- vSwitch 内の ECS インスタンスは、この CIDR ブロックから IP を取得します。
- 1 つの VPC 内に複数の vSwitch を作成できますが、それらの CIDR ブロックは重複してはなりません。
コンテナ CIDR ブロック
重要
作成後にコンテナ CIDR ブロックを変更することはできません。
この CIDR ブロックは Pod IP を割り当て、Pod トラフィックを処理します。Pod は Kubernetes の概念です。各 Pod は 1 つの IP を持ちます。構成する際:
- これは仮想 CIDR ブロックであり、vSwitch には関連付けられていません。
- この CIDR ブロックは vSwitch CIDR ブロックと重複してはなりません。
- この CIDR ブロックはサービス CIDR ブロックと重複してはなりません。
たとえば、VPC CIDR ブロックが 172.16.0.0/12 の場合、コンテナ CIDR ブロックに 172.16.0.0/16 または 172.17.0.0/16 を使用しないでください。これらは 172.16.0.0/12 の範囲内です。
サービス CIDR ブロック
重要
作成後にサービス CIDR ブロックを変更することはできません。
サービスは Kubernetes の概念です。サービス CIDR ブロックは、ClusterIP タイプのサービスの IP 範囲を定義します。各サービスは 1 つの IP を取得します。構成する際:
- サービス IP は Kubernetes クラスター内でのみ機能します。外部からは到達できません。
- サービス CIDR ブロックは vSwitch CIDR ブロックと重複してはなりません。
- サービス CIDR ブロックはコンテナ CIDR ブロックと重複してはなりません。