阿里云容器計算服務ACS集成Kubernetes網絡、阿里云VPC、阿里云SLB,提供穩定高性能的容器網絡。本文介紹ACS集群網絡及阿里云網絡底層基礎設施的重要概念,如容器網絡CNI、Service、Ingress、提供服務發現能力的DNS等。您可以通過了解這些概念,更合理地設計應用部署模型和網絡訪問的方式。
ACS常見網絡能力一覽表
分類 | 常見網絡能力 | 功能支持 | 參考文檔 |
網絡配置管理 | IPv4/IPv6雙棧 | 不支持 | 無 |
Pod維度網絡配置 | 支持 | ||
設置Pod安全組 | 支持 | ||
南北向訪問 | Pod訪問公網 | 支持 | |
從公網直接訪問Pod | 支持 | ||
使用LoadBalancer服務 | 支持 | ||
使用Ingress | 支持 |
Service
由于云原生的應用,通常需要敏捷的迭代和快速的彈性,且單一容器和其相關的網絡資源的生命非常短暫,所以需要固定的訪問地址,以及自動負載均衡實現快速的業務彈性。ACS采用Service方式為一組容器提供固定的訪問入口,并對這一組容器做負載均衡。實現原理如下:
創建Service對象時,ACS會分配一個相對固定的Service IP地址。
通過字段
selector選擇一組容器,以將這個Service IP地址和端口負載均衡到這一組容器的IP和端口上。
Service網絡支持以下多種模式分別對接不同來源和類型的客戶端的訪問:
ClusterIP
ClusterIP類型的Service用于集群內部的應用間訪問,如果您的應用需要暴露到集群內部提供服務,需使用ClusterIP類型的Service來暴露。
說明創建Service時默認的Service類型為ClusterIP。
LoadBalancer
LoadBalancer類型的Service同樣是將集群內部部署的應用向外暴露,不過它是通過阿里云的負載均衡進行暴露的,相對于NodePort方式,有更高的可用性和性能。關于如何通過LoadBalancer類型Service暴露應用,請參見通過使用已有SLB的服務公開應用和通過使用自動創建SLB的服務公開應用。
Headless Service
Headless Service類型的Service是在Service屬性中指定
clusterIP字段為None類型。采用Headless Service類型后,Service將沒有固定的虛擬IP地址,客戶端訪問Service的域名時會通過DNS返回所有的后端Pod實例的IP地址,客戶端需要采用DNS負載均衡來實現對后端的負載均衡。
ExternalName
ExternalName類型的Service將集群外部的域名映射到集群內部的Service上,例如將外部的數據庫域名映射到集群內部的Service名,那么就能在集群內部通過Service名直接訪問。
關于Service的負載均衡配置需要注意內容,請參見Service的負載均衡配置注意事項。
Ingress
在ACS集群中,與Service的4層負載均衡不同,Ingress是集群內Service對外暴露7層的訪問接入點。您可以通過Ingress資源來配置不同的7層轉發規則,例如通過域名或者訪問路徑來路由到不同的Service上,從而達到7層的負載均衡作用。更多信息,請參見ALB Ingress管理。
示例
常見的前后端分離的架構方式中,前后端的訪問地址分別使用不同的訪問路徑。對應這種場景,可以采用Ingress,根據7層的訪問路徑負載到不同的應用實例上。
服務發現DNS
ACS使用DNS來實現應用的服務發現能力,例如客戶端應用可以通過Service的服務名解析出它的ClusterIP訪問、可以通過StatefulSet的Pod名解析出Pod的IP地址。采用DNS服務發現的能力讓集群中應用間的調用與IP地址和部署環境相解耦。
集群的Coredns會將Service名自動轉換成對應的Service的IP地址,來實現不同部署環境中同樣的訪問入口。關于集群DNS組件的使用和調優詳細信息,請參見DNS原理和配置說明。
網絡底層基礎設施
VPC
阿里云專有網絡VPC(Virtual Private Cloud)是基于阿里云創建的自定義私有網絡,不同的專有網絡之間徹底邏輯隔離。您可以在專有網絡內創建和管理云產品實例,例如云服務器、云數據庫RDS版和負載均衡等。
每個VPC都由一個路由器、至少一個私網網段和至少一個交換機組成。
私網網段
在創建專有網絡和交換機時,您需要以CIDR地址塊的形式指定專有網絡使用的私網網段。
您可以使用下表中標準的私網網段及其子網作為VPC的私網網段,也可以使用自定義地址段作為VPC的私網網段。更多信息,請參見網絡規劃。
網段
說明
192.168.0.0/16
可用私網IP數量(不包括系統保留地址):65,532
172.16.0.0/12
可用私網IP數量(不包括系統保留地址):1,048,572
10.0.0.0/8
可用私網IP數量(不包括系統保留地址):16,777,212
自定義地址段
除100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子網外的自定義地址段。
虛擬路由器
虛擬路由器(vRouter)是專有網絡的樞紐。作為專有網絡中重要的功能組件,它可以連接專有網絡內的各個交換機,同時也是連接專有網絡和其他網絡的網關設備。每個專有網絡創建成功后,系統會自動創建一個虛擬路由器。每個虛擬路由器至少關聯一張路由表。
更多信息,請參見路由表概述。
交換機
交換機(vSwitch)是組成專有網絡的基礎網絡設備,用來連接不同的云資源。創建專有網絡后,您可以通過創建交換機為專有網絡劃分一個或多個子網。同一專有網絡內的不同交換機之間內網互通。您可以將應用部署在不同可用區的交換機內,提高應用的可用性。
更多信息,請參見創建和管理交換機。
SLB
阿里云負載均衡SLB(Server Load Balancer)通過設置虛擬服務地址,將添加的ECS實例虛擬成一個高性能、高可用的應用服務池,并根據轉發規則,將來自客戶端的請求分發給云服務器池中的ECS實例。阿里云負載均衡SLB的詳細介紹,請參見負載均衡SLB產品家族介紹。
負載均衡默認檢查云服務器池中的ECS實例的健康狀態,自動隔離異常狀態的ECS實例,消除了單臺ECS實例的單點故障,提高了應用的整體服務能力。此外,負載均衡還具備抗DDoS攻擊的能力,增強了應用服務的防護能力。
負載均衡由以下三個部分組成:
負載均衡實例
一個負載均衡實例是一個運行的負載均衡服務,用來接收流量并將其分配給后端服務器。要使用負載均衡服務,您必須創建一個負載均衡實例,并至少添加一個監聽和兩臺ECS實例。
監聽
監聽用來檢查客戶端請求并將請求轉發給后端服務器。監聽也會對后端服務器進行健康檢查。
后端服務器
一組接收前端請求的ECS實例。您可以單獨添加ECS實例到服務器池,也可以通過虛擬服務器組或主備服務器組來批量添加和管理。