ACS叢集網路規劃 - Container Compute Service

在建立ACS叢集前，建議您提前規劃Virtual Private Cloud、虛擬交換器和Service CIDR（位址區段），確保網路資源的高效利用，為後續業務擴充預留充足空間。本文介紹如何在阿里雲Virtual Private Cloud環境中規劃符合業務需求的ACS叢集網路結構。

網路規模規劃

地區和可用性區域

在同一地區內，各可用性區域之間內網互連。各可用性區域之間可以實現故障隔離，即一個可用性區域出現故障時，不會影響其他可用性區域的正常運行。同一可用性區域內執行個體之間的網路延時更小，其使用者訪問速度更快。您可以綜合考慮以下因素來進行地區和可用性區域規劃。

考慮因素	選擇說明
業務情境對時延的要求	業務最終服務的使用者和資源部署地區的距離越近，網路時延越低，訪問速度越快。
服務支援的地區和可用性區域	不同的阿里雲雲端服務在每個地區/可用性區域的服務支援情況不同，庫存售賣存在差異，建議您在選擇地區/可用性區域時，確保雲端服務可用。
成本	不同地區的雲端服務價格可能會有所不同，建議您根據預算選擇合適的地區。
高可用容災	如果您的應用需要較高的容災能力，您可選擇在同一地區的不同可用性區域內進行部署以實現同城容災。您也可選擇在多地區部署以實現跨城容災，滿足更高的容災能力需求。
合規性	您需要根據所在國家或地區的資料本地化要求與經營性備案政策選擇符合合規要求的地區。

VPC是地區層級的資源，不支援跨地區部署。當您有多地區部署需求時，必須使用多個VPC。您可以使用VPC對等串連、雲企業網等產品實現跨地區VPC間互連。VPC中的交換器是可用性區域層級的資源，有以下事項您需要注意：

當您因為雲端服務庫存因素選擇多個可用性區域時，您需要提前預留足夠的位址區段，並考慮到可用性區域繞行可能造成延時增加；
部分地區僅提供1個可用性區域，例如華東5（南京-本地地區），若您有同城容災需求，建議您謹慎考慮選擇該地區。

說明

關於ACS產品開服地區的資訊，請參見開服地區。

VPC數量

VPC為您提供安全靈活的網路環境，不同VPC之間完全隔離，同一VPC內私網互連。您可以按需規劃您的VPC數量。

	適合情境
單VPC	業務規模較小，僅部署在一個地區且不同業務之間沒有網路隔離需求；初次使用VPC，推薦使用單個VPC用於快速上手以瞭解產品功能；關注成本，不希望管理跨VPC通訊的複雜配置與潛在費用。
多VPC	業務規模較大，需要部署在不同地區；單地區的多個業務系統存在網路隔離需求；業務架構複雜，涉及的眾多服務與團隊需要獨立VPC管理各自資源。

說明

每個使用者在單個地區內可建立的VPC數量預設為10個。您可以前往配額管理頁面或配額中心提升配額。

交換器數量

交換器是可用性區域層級的資源，VPC中的所有雲端服務都部署在交換器中。交換器劃分有助您合理規劃IP地址資源，同一VPC內的交換器預設私網互連。

考慮因素	選擇說明
基於業務情境對時延的要求	同一地區不同可用性區域之間的網路通訊延遲很小，但系統調用複雜、跨可用性區域調用等原因可能會增加系統的網路延遲。
高可用和容災	使用一個VPC時，建議您盡量使用至少兩個交換器，並且將兩個交換器部署在不同可用性區域以實現跨可用性區域容災。使用多個可用性區域部署不同業務，統一配置並管理安全管控規則，能夠顯著提升系統的高可用性和容災能力。
業務規模與業務劃分	通常情況下，您可以根據業務模組進行交換器規劃，將不同業務模組部署在不同交換器。例如，您可建立多個交換器將Web層、邏輯層和資料層服務部署在不同交換器以實現標準Web應用架構的託管。

您可以根據以下原則規劃交換器：

使用一個VPC時，也請盡量使用至少兩個交換器，並且將兩個交換器分布在不同可用性區域，這樣當其中一個可用性區域的交換器發生故障時，可以切換到另一個可用性區域的交換器，從而實現跨可用性區域容災。
同一地區內不同可用性區域之間的網路通訊延遲很小，但也需要經過業務系統的適配和驗證。由於系統調用複雜、跨可用性區域調用等原因可能會增加系統的網路延遲。建議您對系統進行最佳化及適配，以滿足您對高可用和低延遲的實際需求。
具體使用多少個交換器還和系統規模、系統規劃有關。通常情況下，您可以根據業務屬性在VPC內進行交換器規劃。例如，對於直接存取公網的業務部署在一個公有交換器中，其他業務可以根據業務類型進行劃分。使用多個可用性區域部署不同業務有利於安全管控規則的配置與統一管理。

說明

單個VPC支援建立的交換器的數量預設為150個，您可以前往配額管理頁面或配額中心提升配額。

叢集Pod規模

叢集Pod規模	適用情境	VPC規劃	可用性區域
小於1000個Pod	非核心業務	單VPC	1個（推薦2個及以上）
任意	一般業務，需要多可用性區域	單VPC	2個及以上
任意	核心業務，對可靠性有較高要求、需要多地區	多VPC	2個及以上

網段規劃

Virtual Private Cloud的網段規劃包含VPC自身網段和虛擬交換器網段，ACS叢集網段規劃包含Pod位址區段和Service位址區段。

配置ACS叢集網路時，需要設定的參數及參數網段配置的注意事項如下：

專用網路
- 建議您使用192.168.0.0/16、172.16.0.0/12、10.0.0.0/8三個RFC標準私網網段及其子網作為VPC的主IPv4網段，網段掩碼有效範圍為8~28位。填寫樣本：192.168.0.0/16。
- 您也可以使用除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8或169.254.0.0/16及其子網外的自訂位址區段作為VPC的主IPv4網段。
- 如果有多VPC情境或VPC與本機資料中心構建混合雲情境，建議您使用RFC標準私網網段的子網作為VPC的網段且掩碼不超過16位，且多個VPC間、VPC和本機資料中心的網段不能衝突。
- IPv6網段在VPC開啟IPv6後由VPC為Pod分配IPv6地址。
虛擬交換器
Pod地址從該交換器分配，用於Pod網路通訊。Pod是Kubernetes內的概念，每個Pod具有一個IP地址。在VPC建立交換器時指定的網段必須是當前VPC網段的子集。配置網段時，請注意：
- Pod虛擬交換器是VPC交換器。
- ACS網路模式下，Pod分配的Pod IP就是從這個交換器網段內擷取的。
- 該位址區段不能和Service CIDR網段重疊。
Service CIDR
重要
Service CIDR建立成功後不能修改。
Service位址區段。Service是Kubernetes內的概念，對應的是Service類型為ClusterIP時Service使用的地址，每個Service有自己的地址。配置網段時，請注意：
- Service地址只在Kubernetes叢集內使用，不能在叢集外使用。
- Service位址區段不能和虛擬交換器位址區段重疊。

針對ACS網路情境，規劃容器網路的多可用性區域配置樣本如下：

專用網路網段	虛擬交換器網段	Service CIDR網段	最大可分配Pod地址數
192.168.0.0/16	可用性區域I 192.168.0.0/19	172.21.0.0/20	8192
192.168.0.0/16	可用性區域J 192.168.32.0/19	172.21.0.0/20	8192

網路通訊規劃

單VPC內單叢集

在建立VPC時，VPC的網段就已經確定，建立ACS叢集時要為Service指定一個與這個VPC位址範圍不重疊的新網路段。這樣就能確保叢集內的網路通訊，不會與外部的VPC網路發生衝突。

單VPC內多叢集

一個VPC下建立多個叢集。

VPC地址是在建立VPC時已經確定。建立叢集時，每個叢集內的VPC位址區段、Service位址區段彼此之間不能重疊。
所有叢集之間的Service位址區段可以重疊，Pod的虛擬交換器可以複用。

說明

這種情況下叢集部分互連，一個叢集的Pod可以直接存取另一個叢集的Pod，但不能訪問另一個叢集內部的服務（如ClusterIP類型的服務僅可在叢集內部訪問，如需暴露服務可以使用LoadBalancer類型的服務或Ingress等方式）。

多叢集跨VPC互聯

在如下使用情境中，建議您規劃叢集跨多個VPC互聯。

多地區部署系統

VPC是地區層級的資源，不支援跨地區部署。當您有多地區部署系統的需求時，必須使用多個VPC和多個叢集。您可以通過使用VPC對等串連、VPN網關、雲企業網等產品實現跨地區VPC間互連。

多業務系統隔離

如果在一個地區的多個業務系統需要通過VPC進行嚴格隔離，例如生產環境和測試環境具備不同的安全和業務部署訴求，生產叢集和測試叢集分別部署到不同VPC可以提供更好的邏輯隔離與安全保障。您同樣可以通過使用VPC對等串連、VPN網關、雲企業網等產品實現同地區VPC間互連。

大規模業務系統構建

如果您的業務架構複雜，涉及的眾多服務與團隊需要獨立VPC管理各自叢集和資源，以提高靈活性和可管理性，建議您規劃多個VPC和多個叢集。

重要

為了避免在多叢集跨VPC互聯情境中出現IP衝突導致的路由錯誤等問題，新建立的叢集需遵循以下網路規劃要求：

不能和各個VPC的網段重疊
不能和其他叢集的網段重疊
不能和其他叢集Service的網段重疊

雲上叢集與IDC通訊

與多叢集跨VPC互聯情境類似，同樣存在VPC裡部分位址區段路由到IDC，叢集的Service地址就不能和這部分地址重疊。如果IDC裡需要訪問叢集裡的Pod地址，同樣需要在IDC端配置邊界路由器VBR的路由表。