設定檔適用性:等級 1
為節點網路 CIDR 範圍創建別名 IP,以便隨後為 Pod 配置基於 IP 的策略和防火牆。使用別名 IP 的叢集稱為 VPC 原生叢集。
使用別名 IP 有幾個好處:
- Pod IP 已提前在網路中保留,這可防止與其他計算資源發生衝突。
- 網路層可以執行反偽造檢查,以確保外發流量不會使用任意的來源 IP 發送。
- 防火牆控制可以獨立於其節點應用於 Pods。
- 別名 IP 允許 Pods 直接存取託管服務,而不需使用 NAT 閘道。
 |
注意預設情況下,當您在 Google 雲端主控台中建立新叢集時,VPC 原生(使用別名 IP)已啟動,但在使用 gcloud CLI 建立新叢集時則會停用,除非指定
--enable-ip-alias 參數。 |
影響
您目前無法將使用路由進行 Pod 路由的現有叢集遷移到使用別名 IP 的叢集。
內部服務的叢集 IP 僅能從叢集內部存取。如果您想從 VPC 內部但在叢集外部存取 Kubernetes 服務,請使用內部負載平衡器。
稽核
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 從群集列表中,點擊所需的群集以打開詳細資訊頁面。
- 在網路設定部分,請確保 VPC 原生流量路由設定為
Enabled。
使用命令列:
要檢查現有叢集的別名 IP 是否已啟動,請執行以下命令:
gcloud container clusters describe <cluster_name> --zone <compute_zone> --format json | jq '.ipAllocationPolicy.useIpAliases'
如果啟用了 VPC 原生(使用別名 IP),則上述命令的輸出應返回
true。如果 VPC 原生(使用別名 IP)已停用,則上述命令將返回 null ({ })。補救
無法在現有叢集上啟用別名 IP。若要使用別名 IP 創建新叢集,請按照以下說明進行。
使用 Google 雲端主控台:
如果使用標準配置模式:
- 前往 Kubernetes Engine 網站。
- 點擊「CREATE CLUSTER」,然後選擇標準配置模式。
- 根據需要配置您的叢集,然後在導航窗格中的叢集下點擊「Networking」。
- 在 VPC 原生區段中,保持選擇啟用 VPC 原生(使用別名 IP)。
- 點擊「CREATE」。
如果使用自動駕駛儀配置模式:
|
注意這僅適用於 VPC 原生,且無法停用。
|
- 前往 Kubernetes Engine 網站。
- 點擊「CREATE CLUSTER」,然後選擇自動駕駛配置模式。
- 請視需要進行您的叢集設定。
- 點擊「CREATE」。
使用命令列 若要在新叢集上啟用別名 IP,請執行以下命令:
gcloud container clusters create <cluster_name> --zone <compute_zone> --enable-ip-alias
如果使用自動駕駛儀配置模式:
gcloud container clusters create-auto <cluster_name> --zone <compute_zone>