在这个关于Antrea容器网络的博客中,我们将着重介绍Egress功能,并展示如何在vSphere with Tanzu 中使用它。
根据官方Antrea文档,Egress是一种Kubernetes自定义资源定义(CRD),它允许您为特定的Pod指定访问外部网络时使用的出口(SNAT)IP。当所选的Pod访问外部网络时,Egress流量将通过隧道传输到托管Egress IP的节点(如果它与Pod所在的节点不同),并在离开该节点时被SNAT到Egress IP。您可以在以下图片中看到流量的流向。
![]()
当Egress IP从externalIPPool中分配时,Antrea还自动提供了高可用性;即如果托管Egress IP的节点故障,将有另一个节点从externalIPPool的nodeSelector选择的其余节点中被选举出来。
注意:备用节点不仅会接管IP,还会通过二层广播(例如IPv4的Gratuitous ARP)来通知网络上的其他主机和路由器该IP关联的MAC地址已更改。
如果以下任何一项符合您的需求,您可能会想要使用Egress功能:
- 当一些特定Pod连接到集群外的服务时,您希望它们使用一个一致的IP地址,便于审计日志溯源或在外部防火墙中按源IP进行过滤等。
- 您想要强制外部连接通过特定节点离开集群,以进行安全控制或克服网络拓扑限制。
您也可以使用可路由的Pod来实现相同的效果。但是,使用Egress功能,您可以精确控制哪些Pod具有此功能(而不是一刀切)。
TKG的特性开关和配置变量
开源Antrea 1.6版(及以上)默认启用了Egress特性开关。由于 VMware Antrea 企业版具有不同的发布计划,因此我们需要检查是否已启用 vSphere with Tanzu 或 TKG 的Egress功能,如果未启用,则需要了解如何启用它。
TKG 1.6 引入了可在集群定义中使用的 Antrea 配置变量,而不再需要给 TKG打补丁 或暂停会覆盖手动更改的 Kubernetes 控制器。
![]()
正如您所看到的,使用 TKG 1.6,出口功能已默认启用。所有其他可用的 Antrea 功能(例如 NODEPORTLOCAL、FLOWEXPORTER、MULITCAST 等)可以使用相应的变量进行配置。
vSphere 8 with Tanzu 的自定义资源定义(Custom Resource Definitions)
那么 vSphere 8 with Tanzu 呢?它有一个 Kubernetes CRD AntreaConfig 为您提供了配置 Antrea 所需的所有灵活性。在我们深入探讨此主题之前,让我们创建一个 supervisor 命名空间 tkg,覆盖默认设置并禁用 NAT 模式。这意味着工作节点 IP 是可路由的(否则 Egress 将没有太多意义),但 Pod IP 仍然是 NAT 的。在本次Egress演示中,我们使用的环境是 vSphere 8 with NSX 4.0.1.1 ,并选择了一个小型可路由命名空间网络段和一个 /28 子网前缀。
![]()
成功创建命名空间后,让我们检查一下NSX的配置:
![]()
如果您查看有关可路由 Pod 的 vSphere 8 文档,您可以看到对 antrea-nsx-routed CNI 的引用。
![]()
对于我们的演示,我们将使用基于 Cluster-API 的 ClusterClass 方法创建 TKG 集群。要启用 Egress(以及未来演示的其他一些功能),我们需要使用 AntreaConfig CRD 创建自己的 Antrea 配置。然而,将此配置关联到特定集群的方法有些特殊,我们需要使用特殊的命名约定。
下面的命令显示,在我们的 tkg 命名空间中已经有两个预定义的 AntreaConfig 对象可用。它们都将 Egress 设置为 false:
![]()
我们的集群名为 cluster-3,因此我们需要将 AntreaConfig 命名为 cluster-3-antrea-package(即必须将-antrea-package 添加到集群名称后面)。然后该 AntreaConfig 将自动被该集群使用。
![]()
注意:您应该使用单独的 YAML 文件存放 Antrea 配置!删除集群将自动删除相应的 AntreaConfig 资源。如果您将两个定义放在同一文件中,集群删除将会挂起!
Clusters, ClusterClass 和 Egress
现在是时候使用 Cluster资源创建我们的集群(而不再是 TanzuKubernetesCluster 资源类型),并配置 Egress。
![]()
该集群使用 Ubuntu 作为基本操作系统,并使用默认的 vSAN 存储策略。由于 ClusterClass 中尚未提供 NetworkClass,因此我们必须使用 AntreaConfig 命名约定。
注意:虽然集群节点是可路由的(而不是 NAT),但您不能直接 SSH 到它们,因为系统创建了分布式防火墙(DFW)规则来拒绝访问。
![]()
如果您需要直接访问集群节点,您需要创建一条特定的防火墙规则。或者,您可以按照官方vSphere 8文档使用某一台 supervisor VM 或 jumbox 容器登录到 worker 节点。
现在,其余的 Egress 配置就非常标准了。在切换到 cluster-3 上下文之后,我们首先定义一个 ExternalIPPool。由于 nodeSelector 为空,Antrea 将随机选择一个活动节点并指定一个备用节点。如果需要,您也可以配置专用的 Egress 节点。
![]()
如何选择配置中使用的CIDR和IP范围呢?由于我们的环境设置中自动为集群VM创建的NSX段使用的范围为10.221.193.49/28,我们将ExternalIPPool配置为使用该范围中的最后两个(未使用的)IP地址。
重要提示:这个标准方法使用了与集群VM在同一范围的IP地址作为Egress IP。由于这些Egress IP地址不受vSphere 8 with Tanzu管理,因此您必须小心,不要将集群规模扩展到使用此范围内的IP,以避免出现重复的IP地址。从技术上讲,您可以在ExternalIPPool中使用其他IP地址范围,并让Antrea通过BGP宣布这些设置和更改。但这是另一次讨论的话题。
让我们继续我们的配置。我们为prod命名空间中标记为web的Pod创建一个Egress资源,为staging命名空间中标记为web的Pod创建另一个Egress资源。
![]()
让我们按照 vSphere 8 的文档创建一个 jumpbox,以便访问上述的 cluster node cluster-3-node-pool-01-hgxk2-768974f9bc-l4fdq,该节点的 IP 地址为 10.221.193.52,这样我们就可以看到由 Antrea 创建的新接口 antrea-egress0,它有两个 IP 地址(10.221.193.61/32 和 10.221.193.62/32)。
![]()
接下来,我们创建两个命名空间 prod 和 staging,并在它们各自部署一个简单的 web 应用程序。
![]()
为了测试每个命名空间中的 Web Pod 是否使用不同的出口地址,让我们在 NSX 外部的 VM showip.tanzu.lab 上创建一个简单的 Web 应用程序,返回访问它的客户端的 IP 地址。
![]()
现在进行最后一项测试,展示不同命名空间中的 Pod 使用不同的出口地址访问我们的 Web 应用程序。
![]()
到这里,我们成功在 vSphere 8 with Tanzu上使用 AntreaConfig CRD 配置了 Antrea Egress。
内容来源|公众号:VMware 中国研发中心
