概述

本文主要介紹在Kubernetes集群內(nèi)，如何確認應(yīng)用的出網(wǎng)地址。

詳細信息

應(yīng)用需要訪問其他云服務(wù)或第三方服務(wù)，但相關(guān)服務(wù)存在安全策略，需要添加應(yīng)用的出網(wǎng)地址到白名單。請根據(jù)當前環(huán)境是否使用Terway網(wǎng)絡(luò)插件，選擇對應(yīng)的解決方案。

網(wǎng)絡(luò)組件為Terway

使用Terway網(wǎng)絡(luò)組件的集群，其Pod的IP地址屬于對應(yīng)VPC下交換機的網(wǎng)段。在該環(huán)境中，Pod的IP地址跟ECS的IP地址是在同個VPC網(wǎng)段下，但不在同一個交換機下。Pod與ECS通過VPC互通，并且可使用ENI（彈性網(wǎng)卡）。

訪問云服務(wù)

集群中的應(yīng)用訪問同個VPC內(nèi)的云服務(wù)，例如訪問同個VPC內(nèi)的RDS的私網(wǎng)域名，Pod的出網(wǎng)地址就是Pod的IP地址，不會做SNAT。故RDS白名單配置為Pod的網(wǎng)段，即創(chuàng)建集群時選擇的Pod的交換機網(wǎng)段，而不是ECS的網(wǎng)段。

注：若使用彈性網(wǎng)卡，彈性網(wǎng)卡的IP地址也是出網(wǎng)地址。

訪問第三方服務(wù)

Pod的公網(wǎng)訪問依賴于Pod所在交換機是否開啟SNAT，該交換機需要開啟SNAT才能保證Pod的公網(wǎng)訪問能力，且出網(wǎng)地址為SNAT的EIP地址。

注：集群節(jié)點所在的交換機開啟SNAT只代表集群節(jié)點有公網(wǎng)訪問能力，不代表Pod有公網(wǎng)訪問能力。

網(wǎng)絡(luò)組件非Terway

訪問云服務(wù)

集群中的應(yīng)用訪問同個VPC內(nèi)的云服務(wù)，例如訪問同個VPC內(nèi)的RDS的私網(wǎng)域名，Pod的出網(wǎng)地址就是Pod所在ECS的內(nèi)網(wǎng)IP地址。Pod內(nèi)發(fā)起的網(wǎng)絡(luò)請求在通過ECS時會被SNAT（源地址轉(zhuǎn)換）成ECS的內(nèi)網(wǎng)IP，故RDS白名單配置為ECS的網(wǎng)段，而不是Pod的網(wǎng)段。

訪問第三方服務(wù)

集群中的應(yīng)用需要發(fā)起公網(wǎng)訪問，默認集群的公網(wǎng)能力是通過NAT網(wǎng)關(guān)的SNAT保證的，NAT網(wǎng)關(guān)保證了集群Pod所在ECS的出網(wǎng)能力。故Pod內(nèi)發(fā)起的公網(wǎng)訪問，最后出網(wǎng)默認是SNAT的EIP地址。

注：如果集群節(jié)點上有綁定公網(wǎng)IP地址，那么該節(jié)點上的Pod發(fā)起公網(wǎng)訪問，出網(wǎng)地址是節(jié)點的公網(wǎng)IP地址。原因是節(jié)點的公網(wǎng)IP的路由優(yōu)先級高于SNAT的路由優(yōu)先級，其他沒有公網(wǎng)地址的節(jié)點上的Pod出網(wǎng)還是SNAT的EIP地址。Pod的公網(wǎng)訪問能力依賴于Pod所在的ECS能否訪問公網(wǎng)。

適用于

?容器服務(wù) Kubernetes 專有版

?容器服務(wù) Kubernetes 托管版

阿里云服務(wù)器   阿里云代理商