Alibaba Cloud Service Mesh (ASM) は、フルマネージド型のService Meshプラットフォームであり、オープンソースのIstioと互換性があります。 Service Meshは、サービスガバナンスの簡素化に役立ちます。 たとえば、ASMを使用して、サービス間トラフィックのルーティングと分割、サービス間通信の認証、およびメッシュ内のサービスの動作の観察を行うことができます。 これにより、開発とO&Mのワークロードが大幅に削減されます。このトピックでは、Service Meshが有効になっているAlibaba Cloud Distributed Cloud Container Platform (ACK One) のネットワークアーキテクチャとネットワーク要件について説明します。
Service Meshの詳細については、「ASMの概要」をご参照ください。
ネットワークアーキテクチャ
次の図は、Service Meshが有効になっているACK Oneのネットワークアーキテクチャを示しています。 ACKクラスター1とACKクラスター2は、リージョン1のVPC 1にデプロイされています。 ACKクラスター3は、リージョン2のVPC 2にデプロイされています。 管理者は、フリートインスタンスのAPIサーバーのエンドポイントにアクセスして、フリートインスタンスに関連付けられたクラスターを管理し、ネットワークトラフィックを制御できます。 これにより、管理者は、ACK one FleetインスタンスとService Meshインスタンスのkubeconfigファイルを頻繁に切り替えるのではなく、1つのkubeconfigファイルのみを使用して複数のクラスターのアプリケーションとトラフィックを管理できます。
次の図の丸付き番号1でマークされた接続は、フリートインスタンスのVPCが関連するクラスターのAPIサーバーのエンドポイントにアクセスできることを示しています。
次の図の丸で囲まれた番号2でマークされた接続は、関連付けられているクラスターのVPCがフリートインスタンスのAPIサーバーのエンドポイントにアクセスできることを示しています。
次の図の丸付き番号3でマークされた接続は、Service MeshインスタンスのVPCが関連付けられたクラスターのAPIサーバーのエンドポイントにアクセスできることを示しています。
次の図の丸付き番号4でマークされた接続は、ACK Oneフリートインスタンスのkubeconfigファイルを変更してService Meshインスタンスにアクセスし、ASMインスタンスからのトラフィックを制御できることを示しています。
ネットワーク要件
フリートインスタンスと関連するクラスターが異なるリージョンまたは異なる仮想プライベートクラウド (VPC) にデプロイされている場合、VPCを接続するためにCloud Enterprise Network (CEN) インスタンスを作成する必要があります。 このようにして、フリートインスタンスのAPIサーバーと関連するクラスターは互いにアクセスできます。 フリートインスタンスと関連するクラスターのパブリックエンドポイントを有効にして、インターネット経由で相互にアクセスできるようにすることもできます。 詳細については、次をご参照ください: CEN
ASMを使用して関連するクラスターのアプリケーションとネットワークトラフィックを管理するには、関連するクラスターのネットワークが次の要件を満たしていることを確認します。
同じVPC内の関連付けられているクラスターのポッドCIDRブロックは、互いに重複していないか、またはクラスターが同じVPCにデプロイされている場合はVPC CIDRブロックと重複している必要があります。
関連付けられたクラスターのvSwitch CIDRブロックは、互いに重複してはなりません。 さらに、関連するクラスターのvSwitch CIDRブロックは、ポッドCIDRブロックまたはService CIDRブロックと重複してはなりません。
関連付けられたクラスターが異なるVPCにデプロイされている場合、VPC CIDRブロックは互いに重複してはならず、最初のネットワーク要件も満たす必要があります。
関連付けられているクラスターのService CIDRブロックは、互いに重複しないか、VPC CIDRブロックと重複しないようにしてください。