阿里云服务网格(Alibaba Cloud Service Mesh,简称ASM)提供一个全托管式的服务网格平台,兼容于社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力,极大地减轻开发与运维的工作负担。本文介绍ACK One开启服务网格的网络架构和网络约束条件。
关于服务网格的更多信息,请参见什么是服务网格ASM?。
网络架构
ACK One开启服务网格后的网络架构如下图所示。其中ACK Cluster 1、ACK Cluster 2和ACK Cluster 3三个集群分布在两个地域和两个VPC下。系统管理员通过访问舰队Fleet实例的API Server端点,实现对多个集群的管理以及流量治理的能力,无需频繁的切换ACK One Fleet实例和服务网格的KubeConfig,真正实现了使用一个KubeConfig完成多个集群的应用管理和流量治理。
图中①表示Fleet实例所在VPC可以访问关联集群的API Server端点。
图中②表示关联集群所在VPC可以访问Fleet实例的API Server端点。
图中③表示服务网格所在的VPC可以访问关联集群的API Server端点。
图中④表示您可以通过ACK One Fleet实例的KubeConfig完成对于服务网格的流量治理相关的操作。
网络约束
对于跨地域或跨VPC的场景,需要使用云企业网CEN(Cloud Enterprise Network)将两个VPC网络打通,保证API Server端点可以互相访问;或者开启Fleet实例和关联集群的公网端点,使用公网互相连接。关于CEN更多信息,请参见云企业网。
为了更好地使用多集群的应用管理以及流量治理,对应关联集群之间的网络规划需满足如下约束条件:
同一个VPC下的关联集群的Pod CIDR不能相互重叠,且不能与VPC CIDR重叠。
关联集群的vSwitch CIDR不能相互重叠,且不能与Pod CIDR、Service CIDR重叠。
多VPC场景下,VPC CIDR不能相互重叠,且需要同时满足约束条件1。
关联集群Service CIDR不能相互重叠,且不能与VPC CIDR重叠。