创建VPC-ENI模式集群
更新时间:2025-05-29
VPC-ENI 模式说明
VPC-ENI 模式是容器引擎 CCE 支持的扩展网络模式,基于百度云的弹性网卡产品,能够为集群内的 Pod 分配 VPC 内的 IP 地址。 由私有网络 VPC 产品负责路由,打通容器网络的连通性,可实现 Pod 和 Node 的控制面和数据面完全在同一网络层面,该模式下的 Pod 能够复用百度云 VPC 所有产品特性。
VPC-ENI 模式的集群一经创建,无法修改,请提前做好网络规划。
由于 VPC-ENI 模式存在使用限制,建议您提前考虑是否适配您的业务场景。
VPC-ENI 模式应用场景
采用 VPC-ENI 模式的集群,具有如下优势:
- 原生的私有网络 VPC 网络性能;
- 整合私有网络 VPC 的产品特性,例如您能够给 Pod 绑定单独安全组实现数据包过滤;
VPC-ENI 模式使用说明
- VPC-ENI 模式支持 Node 分布在在不同可用区、不同子网;
- VPC-ENI 模式支持弹性网卡分布在不同可用区、不同子网,但弹性网卡只能绑定在同可用区的 Node 上;
- VPC-ENI 模式要求弹性网卡与 Node 分布在不同子网;
- VPC-ENI 模式为每个 Node 动态绑定多个弹性网卡;
VPC-ENI 容器规模限制
VPC-ENI 模式下,每个 Node 上可分配给容器的 IP 数量上限由 Node 规格(CPU 核数与内存)决定。 Node 可挂载弹性网卡数量=min(主机核数,8),内存与单个弹性网卡网卡辅助 IP 数量对应关系见下表。
| Node 内存 | 单个弹性网卡辅助 IP 数量上限 |
|---|---|
| 1G | 1 |
| (1-8]G | 7 |
| (8-32]G | 15 |
| (32-64]G | 29 |
| 大于64G | 39 |
单个 Node 上可分配给容器的 IP 数量 = 可挂载弹性网卡数量 * 单个弹性网卡辅助 IP 数量上限
如果使用 BBC 机器以及不支持弹性网卡的 BBC 机器,在主网卡辅助 IP 模式下,单网卡上IP数量最少1个,最多39个。
举例说明:
- Node1 的规格是 4C8G,那么 Node1 上最多可分配给容器的 IP 数量是 28;
- Node2 的规格是 12C32G,那么 Node2 上最多可分配给容器的 IP 数量是 120;
创建 VPC-ENI 模式集群
- 在容器引擎 CCE 控制台单击创建集群进入集群创建页面;
- 在网络配置选项中将容器网络模式配置选择为 VPC-ENI 如下图所示;
-
配置完相应选项后,点击下一步继续完成集群其他配置。
| 配置项 | 必选/可选 | 配置说明 |
|---|---|---|
| 弹性网卡模式 | 必选 | 支持独占和共享两种模式。独占:多个 Pod 共享一个弹性网卡,系统为弹性网卡申请多个辅助 IP 分配给不同的 Pod。 共享:每个 Pod 将独占一个弹性网卡,系统为弹性网卡申请一个辅助 IP 地址分配给 Pod。独占弹性网卡模式目前为白名单开放,若有需求请提工单。 |
| 容器子网 | 必选 | 指定私有网络 VPC 中的子网作为容器子网,集群创建的 Pod 将从容器子网中分配 IP 地址,请选择与节点同可用区的子网作为容器子网。 |
| ClusterIP 网段 | 必选 | 指定集群中为 Service 分配 IP 地址的专用网络地址范围。此网段不能与 VPC 及 VPC 内已有集群使用的网段重复,且服务地址段也不能和容器地址段重复。 |
| LB Service 子网 | 必选 | 指定创建负载均衡类型 Service 及 Ingress 时默认使用的子网,不能选择 NAT 子网。 |
| 弹性网卡安全组 | 必选 | 指定为弹性网卡绑定的安全组,支持自动创建和选择已有普通安全组及企业安全组,更多信息请见CCE安全组说明。 |
| Kube-proxy模式 | 必选 | 支持IPVS和IPTABLES两种模式。 |
| Nodeport范围 | 必选 | 指定集群中Service的端口,默认为30000~32767。 |
注意事项:
- 当前配额每个 VPC 默认仅支持创建 500 个弹性网卡,如有提升配额需求请提交工单至 CCE;
- 客户在删除 k8s namespace 资源之前,需要先删除完该 namespace 下所有 Pod,否则可能造成辅助 IP 资源泄露;