增强型云边网络的功能基于ACK@Edge的SDN解决方案实现,它通过阿里云全球的接入点网格就近接入阿里云内网(CCN),同时通过CEN与云端VPC绑定,形成边缘和云端内网的通路。本文主要介绍增强型网络边缘节点池的实现原理和创建方法。

前提条件

  • 有可用的云企业网实例和云连接网实例。具体操作,请参见创建CEN实例创建云连接网
  • 规划网络,保证边缘节点的网段与云端VPC网段不发生冲突。

背景信息

边缘节点池支持普通型增强型两种云边协同网络类型:

  • 普通型云边协同网络的边缘和云端通过公网互通,边缘节点池应用不能直接访问云端VPC内网。
  • 增强型基于ACK@Edge的SDN解决方案,提供安全、快速的云边协同网络,边缘节点池应用可直接通过VPC内网访问云端,并且相比于普通型网络,具有更好的云边网络质量和安全性保障。
描述 普通型 增强型
云边网络方案 公网 阿里云连接网。
是否能访问云端VPC内网 是。
云边网络质量 就近接入,网络质量高。
安全性 加密,安全性高。
成本 高。
适用场景 边缘业务对云端依赖不高 适用场景:
  • 业务对边缘、云端互相访问有强烈的需求。
  • 对云边网络时延敏感,且要求保证网络质量。
  • 对云边网络安全性有要求。

使用限制

  • 目前增强型网络提供边缘Pod和云上Pod互通、边缘Pod和云上VPC互通、边缘节点单向访问云上VPC、边缘节点单向访问云上Pod的能力。暂不提供云上VPC、云上Pod访问边缘节点的能力,VPC内访问边缘节点仍需要通过EIP。
  • 增强型网络节点池内需要保证至少接入2个以上AMD64架构的节点。
  • 增强型网络节点池的网关组件以Pod部署在边缘节点上,目前只支持Flannel容器网络,不支持宿主机网络。
  • 创建普通型或增强型网络边缘非默认节点池时,需指定节点池内最大接入节点数量,该值将被记录在NodePool资源对象的Annotation上,且不能修改,请做好节点池规模规划。
  • 增强型网络节点池相关元信息会记录在K8s NodePool资源对象的Annotation上,您无需关注这些Annotation的管理,但请务必不能修改或删除这些Annotation,否则可能导致增强型网络不工作。更多关于Annotation的详细信息,请参见边缘节点池Annotation说明
  • 节点通过标签openyurt.io/desired-nodepool标识该节点归属的节点池,增强型网络节点池不支持通过修改节点标签完成在节点池之间迁移。如您需要迁移节点,请先下线节点再重新接入,并指定新的节点池,否则该节点将无法使用增强型网络模式。具体操作,请参见移除边缘节点

增强型云边网络节点池实现原理

增强型云边网络基于ACK@Edge的SDN解决方案实现,依托于阿里云的全球网络基础设施,提供可靠、安全的云边通信能力。当您创建增强型网络边缘节点池,并完成节点接入后,您的边缘节点上将会自动部署增强型网关Pod。增强型网关通过阿里云全球的接入点网格就近接入阿里云内网(CCN),同时通过CEN与云端VPC绑定,形成边缘和云端内网的通路。该模式下,云边网络流量会经过加密,并且几乎全程在阿里云内网传输,能保证通信的质量和安全性。同时,边缘网络和云端VPC内网直接打通,可直接访问VPC内网服务。

当您创建增强型网络边缘节点池时,管控组件会在您边缘节点池上部署edge-gateway-core(egw-core)edge-gateway-helper(egw-helper)组件。其中,edge-gateway-core为增强型网关核心组件,以Deployment方式部署,每个节点池有主、从两个实例,分布在不同节点上以保证高可用。edge-gateway-helper为节点路由同步组件,以Daemonset方式部署在节点池内的每个节点上,用来配置节点上的路由信息。

G-5

创建增强型网络边缘节点池

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏中,单击集群
  3. 集群列表页面中,单击目标集群名称或者目标集群右侧操作列下的详情
  4. 在集群管理页左侧导航栏中,选择节点管理 > 节点池
  5. 节点池页面中,单击页面右上角的创建边缘节点池(Beta)
  6. 创建边缘节点池(Beta)页面,完成创建节点池剩余配置项。更多信息,请参见创建边缘节点池
    • 云边协同网络选择为增强型
    • 云企业网
      • 如果使用您账号下的云企业网,请先选中使用此账号云企业网,然后选择您账号下相应的云企业网实例。
      • 如果使用其他账号下的云企业网,请先将当前集群的VPC和云连接网实例,跨账号授权并绑定到其他账号的云企业网实例下。具体操作,请参见跨账号网络实例授权加载网络实例。然后选中使用其他账号云企业网,填写相应账号UID及云企业网实例ID。
    • 云连接网选择为您账号下已创建的云连接网实例。
  7. 单击提交
  8. 节点池创建完成后,需要向该节点池内至少添加2个节点。具体操作,请参见向边缘节点池添加节点

名词解释

  • 云企业网CEN(Cloud Enterprise Network),支持不同地域VPC间、VPC与本地数据中心间搭建私网通信通道,实现全网资源的互通。
  • 云连接网CCN(Cloud Connect Network),分布式接入网关组成的设备接入矩阵,可以将云连接网绑定到云企业网,实现云下和云上全连接。

边缘节点池注解说明

Annotation 说明
nodepool.openyurt.io/max-nodes 指定NodePool内最大接入Node数,只在边缘非默认节点池上存在。
nodepool.openyurt.io/pod-cidrs 预分配给NodePool的PodCIDR集合,只在边缘非默认节点池上存在。
nodepool.openyurt.io/cen-id 使用增强型网络NodePool的CEN ID。
nodepool.openyurt.io/ccn-id 使用增强型网络NodePool的CCN ID。
nodepool.openyurt.io/ccn-region 使用增强型网络NodePool的CCN Region,国内为cn-shanghai。
nodepool.openyurt.io/is-default 表示NodePool是否为边缘默认节点池。