前提條件

• 已創建ACK Edge集群，且集群版本為v1.26.3及以上。具體操作，請參見通過控制臺創建集群。

• 如開啟代理模式，邊緣側安全策略請勿阻擋TCP[10280,10285)區間的端口。

• 如開啟隧道模式，邊緣側安全策略請勿阻擋UDP 4500，云端安全組放開UDP 8472端口。

• 由于邊緣側需要與云上構建反向通道，因此邊緣側安全策略請勿阻擋Raven組件掛載的EIP地址。

  如何查看Raven掛載的EIP地址，請參見云資源信息。

注意事項

• Raven組件的跨域通信能力依賴彈性公網IP、傳統型負載均衡CLB、訪問控制ACL等云資源。

• 托管組件Edge-Controller-Manager（ECM）會根據您是否開啟Raven的跨域通信能力來購買CLB、EIP、ACL等云產品資源；關閉或卸載Raven跨域能力則會釋放相關云產品資源。您可以根據實際需求變配云產品的資源規格。

  以上云資源的命名方式為k8s/raven-agent-ds/kube-system/{CLUSTER_ID}，請勿修改資源名稱，否則可能導致ECM組件無法識別該資源，進而導致資源泄露問題。

  請勿擅自刪除以上資源導致Raven能力不可用。

• 云資源信息記錄在集群資源configmap kube-system/raven-cfg中，請勿手動刪除。

  展開查看raven-cfg的示例代碼

  apiVersion: v1
  kind: ConfigMap
  metadata:
    name: raven-cfg
    namespace: kube-system
  data:
    acl-id: acl-xxx
    acl-entry: ""
    eip-id: eip-xxx
    eip-ip: 47.XX.XX.47
    enable-l3-tunnel: "false"
    enable-l7-proxy: "true"
    loadbalancer-id: lb-xxx
    loadbalancer-ip: 192.XX.XX.1

基于raven-agent-ds配置通信模式和訪問控制白名單

ACK Edge集群安裝時，會自動安裝raven-agent-ds組件，并默認啟動代理模式。您可以自行同步配置通信模式（代理模式、隧道模式）并設置邊緣網關節點的訪問控制白名單。

1. 登錄容器服務管理控制臺，在左側導航欄選擇集群。

2. 在集群列表頁面，單擊目標集群名稱，然后在左側導航欄，選擇運維管理 > 組件管理。

3. 搜索并定位raven-agent-ds，在目標卡片區域，單擊配置，然后完成相關參數配置。

   配置項	說明
   controller	Raven 組件是否開啟代理模式（推薦配置）：代理模式，構建反向代理通道，實現跨域主機網絡通信。 Raven 組件是否開啟隧道模式：隧道模式僅支持節點間網絡互通的節點池。通過構建VPN隧道，實現跨域容器網絡通信，主要支持云邊容器Metrics監控。 重要 由于跨域通信通過公網傳輸，可能存在數據丟失風險，請勿傳輸重要業務數據。如在使用過程中遇到問題或有相關產品建議，請提交工單聯系容器服務團隊。 關于兩種通信模式的更多信息，請參見跨域運維通信組件Raven。
   accessControlListEntry	訪問控制白名單條目。放行的邊緣網關節點可以與云上構建隧道，增強網絡安全性。 采用CIDR標準格式，固定IP地址以“/32”為掩碼，多個地址之間使用英文半角逗號（,）分隔。不填寫時，表示所有源地址均可被負載均衡放行訪問云上服務。 如果您添加ACL條目，請放行CLB健康檢查IP地址段100.64.0.0/10。

通過Label自定義網關節點

Raven組件會通過在網關節點之間構建通道實現跨域通信的目的，默認會在節點池中隨機選擇一些網關節點，建議您指定一些固定的節點作為網關節點用于構建穩定運維通道，您可以使用以下命令選擇：

kubectl label node node-xxx raven.openyurt.io/gateway-node=true

相關文檔

• 如需了解Raven組件的更多信息，例如組件構成、支持的通信模式等，請參見跨域運維通信組件Raven概述。

• ACK Edge集群會不斷迭代raven-agent-ds組件，詳細的變更記錄請參見raven-agent-ds。