Terway Hybrid ネットワークプラグインを使用する - Container Service for Kubernetes

ハイブリッドクラウドノードプールをオンプレミスのデータセンターに接続すると、複雑なネットワークトポロジーとクロスドメインのルーティング要件が生じます。これらの要件は、多くの場合、標準のコンテナーネットワークプラグインの機能を超えています。Terway Hybrid ネットワークプラグインは、このようなシナリオ向けに特別に設計されており、オンプレミスで実行されているかクラウドで実行されているかに関わらず、クラスター内のすべての Pod 間のシームレスなネットワーク接続を保証します。

仕組み

次の図は、Container Service for Kubernetes (ACK) ハイブリッドクラウドノードプールのネットワークアーキテクチャを示しています。このアーキテクチャは、Alibaba Cloud 中央仮想プライベートクラウド (VPC) とオンプレミスのデータセンター (または他のサードパーティのクラウド環境) という 2 つの主要なネットワークドメインで構成されています。これらのドメインは、専用接続 (Express Connect など) を介して接続され、レイヤー 3 のプライベートネットワーク接続を確立します。中央 VPC 内の ACK クラスターは、Flannel や Terway などの標準ネットワークプラグインを使用できますが、オンプレミスのデータセンター内のノードは Terway Hybrid プラグインを使用する必要があります。

Terway Hybrid モードの選択

Terway Hybrid は、ノードプールレベルで 2 つのモードを提供します。ハイブリッドクラウドノードプールを作成する際にモードを構成します。

比較	アンダーレイモード	オーバーレイモード
利点	高パフォーマンス: VXLAN カプセル化のオーバーヘッドがなく、ネットワーク遅延が低減されます。パフォーマンスはオーバーレイモードより約 20% 高くなります。	シンプルな構成: 基盤となるネットワークに特別な要件がなく、デプロイメントの柔軟性が向上します。
ネットワーク要件	ノード間にレイヤー 2 のネットワーク接続が必要です。ノードが異なるレイヤー 3 ネットワークドメインにある場合は、ボーダーゲートウェイプロトコル (BGP) を構成してコンテナールートをアドバタイズする必要があります。	ノード間のレイヤー 3 プライベートネットワーク接続のみが必要です。
コンテナーネットワークパス	コンテナー通信パケットは、レイヤー 3 でホストのネットワークインターフェイスカード (NIC) を介して直接送信されます。	コンテナーネットワークパケットは VXLAN を使用してカプセル化され、ホストネットワークを介してポート 8472 の UDP で送信されます。

前提条件

ACK マネージドプロフェッショナル版クラスターが Kubernetes 1.33 以降を実行していること。
クラスターが Flannel ネットワークプラグインを使用している場合、そのバージョンは 0.15.1.23 以降である必要があります。
ハイブリッドクラウドノードプール用の ACK 管理コンポーネントをデプロイするために、クラスター内に Elastic Compute Service (ECS) ノードがあること。高可用性 (HA) を確保するには、少なくとも 3 つの ECS ノードを使用してください。

手順

ステップ 1: クロスクラウドネットワーク接続の確立

Terway Hybrid プラグインをインストールする前に、クラウド環境とオンプレミス環境の間のネットワークパスが完全に接続されていることを確認してください。

VPC とオンプレミスのデータセンター間に専用接続を確立し、レイヤー 3 接続を有効にするには、Express Connect を使用することをお勧めします。対応するルートエントリを VPC ルートテーブルと Express Connect Router (ECR) で構成します。
オンプレミスのサービスが Alibaba Cloud サービスにアクセスする必要がある場合は、100.64.0.0/10 の Alibaba Cloud サービス CIDR ブロックのルートをデータセンターのコアスイッチに追加します。詳細については、「Express Connect 回線の PrivateLink を設定する」をご参照ください。
クラウドリソースがデータセンター内の Pod にアクセスする必要がある場合、データセンターのコアスイッチは BGP をサポートする必要があります。構成の詳細については、「ステップ 3: Pod を外部ネットワークに公開する」をご参照ください。

ステップ 2: プラグインのインストール

ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
クラスター ページで、管理するクラスターを見つけてその名前をクリックします。左側のナビゲーションウィンドウで、[アドオン] をクリックします。

terway-hybrid-controlplane コンポーネントをインストールします。

パラメーター	説明
ハイブリッド Pod CIDR ブロック	ハイブリッドクラウドノードプールの Pod CIDR ブロック。既存の Service CIDR、Pod CIDR、クラウドノード CIDR、またはオンプレミスノード CIDR ブロックと重複してはなりません。
ノードごとの Pod CIDR ブロックマスクサイズ	ハイブリッドクラウドノードプールの各ノードに割り当てられる CIDR ブロックのマスクサイズ。たとえば、値が 24 の場合、各ノードに `/24` CIDR ブロック (例: `xxx.xxx.xxx.0/24`) が割り当てられ、256 個の Pod IP が提供されます。
ソース NAT	クラスター外のサービスにアクセスするときに、Pod のソース IP アドレスをノードの IP アドレスに変換するかどうかを指定します。この機能を無効にする場合は、外部ネットワークデバイスが Pod IP にトラフィックをルーティングできることを確認する必要があります。「ステップ 3: Pod を外部ネットワークに公開する」をご参照ください。

terway-hybrid データプレーンコンポーネントをインストールします。パラメーターは不要です。ハイブリッドクラウドノードプールに追加された新しいノードには、Terway Hybrid プラグインが自動的にインストールされます。

ステップ 3: Pod を外部ネットワークに公開する

ネットワークデバイス (中央 VPC 内やクラスター外など) がオンプレミスのデータセンター内の Pod と通信する必要がある場合は、BGP を構成して Pod ルートをネットワークスイッチに動的にアドバタイズします。

クラスターでの BGP の構成

Terway Hybrid は、BGPClusterConfig という名前のカスタムリソース定義 (CRD) を使用して BGP 設定を保存し、nodeSelector を使用して特定のハイブリッドクラウドノードプールに関連付けます。

デフォルトでは、Terway Hybrid はこのリソースを作成しません。BGP を必要とする各ハイブリッドクラウドノードプールに対して BGPClusterConfig を作成します。

bgpclusterconfig.yaml という名前の YAML ファイルを次の内容で作成します。

apiVersion: network.alibabacloud.com/v1beta1
kind: BGPClusterConfig
metadata:
  name: bgp
spec:
  localASN: 65010
  nodeSelector:
    matchLabels:
      alibabacloud.com/nodepool-id: "np-xxx"
  bgpSpeakers:
  - name: hybrid-node-1
    peers:
    - name: switch-1
      peerASN: 65001
      peerAddress: "10.10.0.1"
  - name: hybrid-node-2
    peers:
    - name: switch-1
      peerASN: 65001
      peerAddress: "10.10.0.1"
      # オプション: BGP セッション認証
      authPassword:
        secretKeyRef:
          name: bgp-secret
          key: password
   
---
# オプション: BGP 認証パスワード用の Secret
apiVersion: v1
kind: Secret
metadata:
  name: bgp-secret
  namespace: kube-system
type: Opaque
data:
  password: bXxXXXxXXXXXx==  # Base64 でエンコードされたパスワード。

パラメーター	必須	説明
`metadata.name`	はい	クラスター内の `BGPClusterConfig` リソースの名前。
`spec.localASN`	はい	BGP スピーカーが配置されているネットワークを識別する自律システム番号 (ASN)。64512 から 65535 の範囲のプライベート ASN を使用することをお勧めします。
`spec.nodeSelector`	はい	この BGP 構成が適用されるノードを指定します。ラベルを使用して、ハイブリッドクラウドノードプール内のすべてのノードを選択することをお勧めします。
`spec.bgpSpeakers`	はい	`nodeSelector` で定義されたプールから選択された、BGP スピーカーとして機能するノードのリスト。これらのノードは、Pod ルートのアドバタイズを担当します。単一障害点 (SPOF) を回避するために、少なくとも 2 つのノードを選択してください。
`spec.bgpSpeakers.name`	はい	BGP スピーカーノードの名前。この名前は、`spec.nodeSelector` で選択されたノードと同じでなければなりません。
`spec.bgpSpeakers.peers`	はい	この BGP スピーカーと BGP ピアリングセッションを確立するデバイスのリスト。これらは通常、アクセスレイヤースイッチです。
`spec.bgpSpeakers.peers.name`	はい	BGP ピアデバイスの名前。
`spec.bgpSpeakers.peers.peerASN`	はい	BGP ピアデバイスの ASN。
`spec.bgpSpeakers.peers.peerAddress`	はい	BGP ピアデバイスの IP アドレス。
`spec.bgpSpeakers.peers.authPassword`	いいえ	Kubernetes Secret を参照して、BGP セッション認証用のパスワードを構成します。Secret は `kube-system` 名前空間に存在する必要があります。

BGPClusterConfig リソースを作成します。
```
kubectl apply -f bgpclusterconfig.yaml
```

外部ネットワークデバイスの構成

オンプレミスのネットワークデバイスで BGP サービスを有効にし、「クラスターでの BGP の構成」ステップで BGP スピーカーとして選択したノードを BGP ピアとして構成します。次に、中央 VPC ルートテーブル、専用接続ゲートウェイ、およびデータセンターコアスイッチに、オンプレミスの Pod CIDR ブロックを指すルートを追加します。

構成が完了したら、クラスター内の Pod との BGP ピアリングセッションが正常に確立されていることを確認します。

Terway Hybrid は、デフォルト期間 600 秒の BGP グレースフルリスタートを有効にします。スイッチで BGP グレースフルリスタートを適宜構成してください。