SAG vCPEを使用してACKクラスターをオンプレミスKubernetesクラスターに接続する -

Smart Access Gateway (SAG) vCPEは、ホストに展開できるイメージを提供します。 SAG vCPEイメージをホストにデプロイした後、ホストは、プライベートネットワークをAlibaba Cloudに接続できる仮想CPEデバイスとして使用できます。このトピックでは、SAG vCPEを使用してオンプレミスKubernetesクラスターをContainer Service for Kubernetes (ACK) クラスターに接続する方法について説明します。これにより、オンプレミスKubernetesクラスター内のリソースは、ACKクラスター内のリソースと通信できます。

前提条件

データセンターのネットワークを管理および構成する権限があること。必要な権限を取得するには、データセンター管理者に相談してください。
仮想プライベートクラウド (VPC) が作成され、クラウドサービスがVPCにデプロイされます。詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。
Alibaba Cloud VPCに適用されるセキュリティグループルールを理解しています。セキュリティグループルールにより、オンプレミスのリソースがVPC内のリソースにアクセスできるようにします。詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
ACKクラスターを作成する手順と、ACKクラスターのネットワークを計画する方法を理解しています。 ACKクラスターのCIDRブロックがオンプレミスKubernetesクラスターのCIDRブロックと重複しないようにします。詳細については、「ACK管理クラスターの作成」および「ACKクラスターのCIDRブロックの計画」をご参照ください。

シナリオ

企業は、データセンターにKubernetesクラスターをデプロイし、Alibaba CloudリージョンにACKクラスターを作成します。 SAG vCPEを使用して、オンプレミスKubernetesクラスターをACKクラスターに接続します。このようにして、オンプレミスクラスタ内のリソースは、ACKクラスタ内のリソースと通信することができる。

データセンターのインスタンスにSAG vCPEイメージをデプロイできます。インスタンスは、物理サーバーまたはVMです。これにより、インスタンスをvCPEデバイスとして使用して、プライベートネットワークをAlibaba Cloudに接続できます。 SAG vCPEデバイスをAlibaba Cloudに接続した後、Cloud connect Network (CCN) とCloud Enterprise Network (CEN) を使用して、データセンターとAlibaba Cloud VPCのリソースが相互に通信できるようにします。次の図のシナリオを例として使用します。

Enterprise scenario.png

上の図は、オンプレミスクラスターとACKクラスターのCIDRブロックを示しています。

タイプ	プライベートCIDRブロック (VPC CIDRブロック)	ポッドCIDRブロック
ACKクラスター	172.16.0.0/12	10.77.0.0/16
オンプレミスKubernetesクラスター	192.168.0.0/16	10.18.0.0/16

フローチャート

SAGコンソールでSAG vCPEインスタンスを作成します。次に、インスタンスを使用してSAG vCPEデバイスを管理できます。
データセンターでホストを選択し、SAG vCPEイメージをホストにデプロイします。ホストは、プライベートネットワークをAlibaba Cloudに接続できるSAG vCPEデバイスとして使用できます。
SAGコンソールでSAG vCPEデバイスのCIDRブロックを計画します。これにより、デバイスはAlibaba Cloudに接続できます。
データセンターのCIDRブロックを計画します。このようにして、データセンターとACKクラスターのリソースは互いに通信できます。
Alibaba Cloud上のホストとデータセンター間の接続、およびACKクラスターとオンプレミスKubernetesクラスターのポッド間の接続を確認します。

ステップ1: SAG vCPEインスタンスの作成

SAGコンソールでSAG vCPEインスタンスを作成する必要があります。次に、SAG vCPEインスタンスを使用してSAG vCPEデバイスを管理できます。

SAGコンソールにログインします。
[Smart Access Gateway] ページで、[SAGの購入] > [SAG (vCPE)] を選択します。

購入ページで、次のパラメータを設定し、[今すぐ購入] をクリックして支払いを完了します。

パラメーター	説明	例
地域	SAG vCPEインスタンスをデプロイするリージョンを選択します。	中国本土
[インスタンス名]	SAG vCPEインスタンスの名前を入力します。このパラメーターは空のままにできます。名前は2 ~ 128文字で、数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。先頭は文字である必要があります。	デモ
[インスタンスタイプ]	インスタンスタイプを選択します。	SAG-vCPE
エディション	SAG vCPEインスタンスのエディションを選択します。	Basic Edition
デプロイ方法	SAG vCPEインスタンスをデプロイする方法を選択します。既定では、アダプティブオリエンテーションが設定されています。 Active-Activeが選択されています。このモードでは、1つのSAG vCPEインスタンスを2つのSAG vCPEデバイスに関連付けることができます。 2つのSAG vCPEデバイスをアクティブ /アクティブモードでデプロイし、オンプレミスネットワークをAlibaba Cloudに接続できます。これにより、ネットワークの可用性が向上します。この例では、1つのデバイスのみが使用される。	アクティブ-アクティブ
ピーク帯域幅	ネットワーク通信の帯域制限を指定します。単位は、Mbit/s です。	50 Mbps
数量	作成するSAG vCPEインスタンスの数を指定します。	1
サブスクリプション期間	サブスクリプション期間を選択します。有効期限が切れたときに自動更新を有効にするには、自動更新を選択します。	1 ヶ月
リソースグループ	SAG vCPEインスタンスが属するリソースグループを選択します。	非該当

SAGコンソールに戻ります。上部のナビゲーションバーで、SAG vCPEインスタンスを作成したリージョンを選択します。
左側のナビゲーションウィンドウで、[Smart Access Gateway] をクリックします。
[Smart Access Gateway] ページで、SAG vCPEインスタンスのIDをクリックします。
インスタンスの詳細ページで、[デバイス管理] タブをクリックし、アクティブなSAG vCPEデバイスのシリアル番号とキーを表示して記録します。シリアル番号およびキーは、SAG vCPEインスタンスをSAG vCPEデバイスに関連付けるために使用されます。

ステップ2: SAG vCPEイメージのデプロイ

オンプレミスKubernetesクラスターをACKクラスターに接続するには、SAG vCPEイメージのデプロイに使用されるデータセンターのホストを選択する必要があります。 SAG vCPEイメージをデプロイした後、ホストはSAG vCPEデバイスとして使用でき、データセンターのリソースをAlibaba Cloudリソースに接続できます。

データセンターのホストを選択します。
SAG vCPEイメージが期待どおりに実行されるようにするには、選択するホストが次の要件を満たす必要があります。
- ホストは、次のバージョンのオペレーティングシステムをサポートしています。
  - (推奨) CentOS 7.6 64ビット以降。
  - Ubuntu 18.04 64ビット以降。
- ホストはカーネルバージョン3.10.0-957.21.3.el7.x86_64以降をサポートしています。
- ホストには、ホストをインターネットに接続するために使用される独立したネットワークインターフェースコントローラ (NIC) があります。
- リモートでホストにログオンできます。
- ホスト上でサービスシステムが実行されていません。
ホストにログオンし、次のコマンドを実行します。このコマンドは、ホストの /rootディレクトリにスクリプトをダウンロードするために使用されます。
説明
- カスタムパスを指定して、対応するディレクトリにスクリプトをダウンロードすることもできます。この場合、スクリプトの実行時に必ずカスタムパスを選択してください。
- スクリプトをダウンロードした後、その内容や名前を変更しないでください。
コマンドは、ホストが中国本土内にデプロイされているかどうかによって異なります。スクリプトをダウンロードするには、適切なコマンドを実行する必要があります。
- ホストは中国本土内にデプロイされています。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-cn-shanghai.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
- ホストは中国本土の外にデプロイされています。
```
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh
```
次のコマンドを実行して、スクリプトを実行可能にします。
```
chmod + x /root/sag_vcpe_v2.3.0_deployment.sh
```

スクリプトを実行します。

/root/sag_vcpe_v2.3.0_deployment.sh -n sag **** -k X8==**** -t idc -w eth0

次の表に、いくつかのパラメーターを示します。スクリプトパラメーターの詳細については、「スクリプトパラメーターの説明」をご参照ください。

パラメーター	説明
-n	SAG vCPEデバイスのシリアル番号。
-k	SAG vCPEデバイスのキー。
-t	SAG vCPEイメージをインストールするホストのサービスプロバイダー。有効な値： `aliyun` (デフォルト): SAG vCPEイメージをAlibaba Cloud Elastic Compute Service (ECS) インスタンスにデプロイします。 `aws`: SAG vCPEイメージをAmazon Elastic Compute Cloud (EC2) インスタンスにデプロイします。 `ENS`: エッジノードサービス (ENS) インスタンスにSAG vCPEイメージをデプロイします。オンプレミスサーバーにSAG vCPEイメージをデプロイする場合は、値を`aliyun`、`aws`、または`ens`以外の文字列に設定します。
-w	WANポートのNICの名前。 `ifconfig`コマンドを実行すると、ホストのNIC名を表示できます。

スクリプトを実行すると、デプロイ環境が要件を満たしているかどうかが自動的にチェックされます。

特定のコンポーネントがデプロイ環境にインストールされていない場合は、次のプロンプトが表示されます。 はいと入力できます。次に、システムは自動的にコンポーネントをインストールします。コンポーネントのインストール後、システムはSAG vCPEイメージの展開を開始します。
展開環境が要件を満たしている場合、システムは自動的にSAG vCPEイメージの展開を開始します。イメージの展開後、次のプロンプトが表示されます。

SAG vCPEイメージがデプロイされたら、docker psコマンドを実行して、システムに次のコンテナーが含まれているかどうかを確認します。
- システムにvsag-coreコンテナとvsag-manager-baseコンテナが含まれている場合、SAG vCPEイメージがデプロイされます。
- システムにコンテナが含まれていない場合、SAG vCPEイメージの展開に失敗します。この場合、チケットの送信し、Alibaba Cloudテクニカルサポートにお問い合わせください。

ステップ3: Alibaba Cloud側でネットワークを設定する

SAG vCPEイメージをデプロイした後、SAGコンソールでSAG vCPEデバイスのCIDRブロックを計画する必要があります。これにより、SAG vCPEデバイスはAlibaba Cloudに接続できます。

Alibaba Cloudへのルートをアドバタイズする方法を選択します。
1. SAGコンソールにログインします。上部のナビゲーションバーで、リージョンを選択します。
2. [Smart Access Gateway] ページで、SAG vCPEインスタンスを見つけ、[操作] 列の [ネットワーク設定] をクリックします。
3. [ネットワーク構成] タブの [オンプレミスルートと同期する方法] セクションで、[静的ルートの追加] をクリックします。
4. [静的ルートの追加] ダイアログボックスで、データセンターのCIDRブロックを入力し、[OK] をクリックします。
5. [静的ルートの追加] を再度クリックします。 [静的ルートの追加] ダイアログボックスで、オンプレミスKubernetesクラスターのポッドCIDRブロックを入力し、[OK] をクリックします。
  次の図は、CIDRブロックを指定した後に表示されるページを示しています。
SAG vCPEインスタンスをCCNインスタンスに関連付けます。
CCNはSAGの重要なコンポーネントです。 SAGは、CCNを介してプライベートネットワークをAlibaba Cloudに接続します。
1. CCNインスタンスを作成します。詳細については、「CCNインスタンスの作成」をご参照ください。
  説明
  SAG vCPEインスタンスとCCNインスタンスは、同じリージョンにデプロイする必要があります。
2. SAGコンソールの左側のナビゲーションウィンドウで、[Smart Access Gateway] をクリックします。
3. [Smart Access Gateway] ページで、SAG vCPEインスタンスを見つけ、[操作] 列の [ネットワーク設定] をクリックします。
4. [ネットワーク設定] タブで、[ネットワークインスタンスの詳細] をクリックします。
5. [現在のアカウントの関連インスタンス] セクションで、[ネットワークの接続] をクリックします。表示されるダイアログボックスで、CCNインスタンスを選択し、[OK] をクリックします。
6. [デバイス管理] タブをクリックして、SAG vCPEデバイスのVPNステータスとコントローラステータスを表示します。
  SAG vCPEインスタンスをCCNインスタンスに関連付けた後、SAG vCPEデバイスのVPNステータスとコントローラーステータスが正常である場合、SAG vCPEデバイスはAlibaba Cloudに接続されています。
CENインスタンスの設定
SAG vCPEインスタンスをCENに接続し、Alibaba Cloud VPCをCENインスタンスにアタッチするには、次の操作を実行する必要があります。その後、SAG vCPEインスタンスとAlibaba Cloud VPCは相互にルートを学習できます。これにより、SAG vCPEデバイスはAlibaba Cloud VPC内のリソースと通信できます。
1. SAGコンソールの左側のナビゲーションウィンドウで、[CCN] をクリックします。
2. CCNページで、CCNインスタンスを見つけ、[操作] 列の [CENインスタンスのバインド] をクリックします。
3. [CENインスタンスのバインド] パネルで、関連付けるCENインスタンスを選択し、[OK] をクリックします。
  次のいずれかの方法を使用して、CENインスタンスを選択できます。この例では、[Create CEN] が選択されています。
  - 既存のCEN: CENインスタンスを既に作成している場合は、ドロップダウンリストから既存のCENインスタンスを選択できます。
  - CENの作成: 使用可能なCENインスタンスがない場合は、インスタンス名を入力します。次に、システムはCENインスタンスを作成し、CCNインスタンスをCENインスタンスに自動的にアタッチします。
    説明
    インスタンス名は2 ~ 100文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。先頭は文字である必要があります。
4. Alibaba Cloud VPCをCENインスタンスにアタッチします。詳細については、「ネットワークインスタンスのアタッチ」をご参照ください。

手順4: データセンターのネットワークの設定

データセンターのリソースをAlibaba Cloudのリソースに接続するには、データセンターのCIDRブロックを計画する必要があります。 CIDRブロックの計画に使用されるコマンドの詳細については、データセンターのネットワーク管理者に相談してください。

データセンターに静的ルートを追加する方法の例をします。
データセンターのルートを追加します。 SAG vCPEデバイスのIPアドレスにアクセスするACKクラスターのCIDRブロックのネクストホップを設定する必要があります。ポッドにアクセスする場合は、ポッドCIDRブロックも追加する必要があります。 SAG vCPEデバイスは、オンプレミスネットワークをAlibaba Cloudに接続するために使用されます。
```
ipルート192.168.11.210経由で10.77.0.0/16を追加
```
説明
この例のルートは参考のためだけに提供されています。ルート構成は、デバイスの製造元によって異なる場合があります。
データセンターのセキュリティグループルールを設定します。
ACKクラスターとデータセンターのCIDRブロックが相互に通信できるように、セキュリティグループルールを設定します。

ステップ5: 接続性を確認する

ホスト間の接続を確認します。
1. VPCのECSインスタンスにログインします。詳細については、「概要」をご参照ください。
2. pingコマンドを実行して、ECSインスタンスとデータセンターのホスト間の接続を確認します。
  次の図の出力は、VPCのリソースがデータセンターのリソースと通信できることを示しています。

ポッド間の接続を確認します。

テストコンテナーをACKクラスターとオンプレミスKubernetesクラスターにデプロイします。例として、次のYAMLテンプレートを提供します。

apiVersion: apps/v1 #1.8.0以前のバージョンではapps/v1beta1を使用
kind: 配置
メタデータ:
  name: nginx-deployment-basic
  ラベル：
    アプリ: nginx
spec:
  レプリカ：2
  セレクタ：
    matchLabels:
      アプリ：nginx
  template:
    metadata:
      labels:
        アプリ：nginx
    仕様：
    # nodeSelector:
    # env: テストチーム
      コンテナ：
      - name: nginx
        image: nginx:1.7.9# このフィールドを使用する <image_name:tags> に置き換えます。 
        ポート：
        - containerPort: 80
        resources:
          limits:
            cpu: "500m"

ACKクラスターにコンテナーを入力し、Pingコマンドを実行して、オンプレミスKubernetesクラスターのポッドへの接続を確認します。
次の図の出力は、ACKクラスターのポッドがオンプレミスKubernetesクラスターのポッドと通信できることを示しています。

概要

CCNおよびCENとともにSAG vCPEを使用して、オンプレミスのネットワークをAlibaba Cloudに接続できます。潜在的なリスクを減らすために、事前にCIDRブロックを計画することを推奨します。そうしないと、実稼働環境のネットワーク競合によってワークロードが影響を受ける可能性があります。