Rete a doppio stack IPv4/IPv6

Google Distributed Cloud supporta Doppio stack IPv4/IPv6 networking. Ciò significa che un cluster può accettare il traffico da dispositivi esterni che utilizzano Internet Protocol versione 4 (IPv4) o Internet Protocol versione 6 (IPv6).

Il networking a doppio stack assegna indirizzi IPv4 e IPv6 a pod e nodi. Un servizio Kubernetes può avere un indirizzo IPv4, un indirizzo IPv6 o entrambi.

Tutti i cluster a doppio stack utilizzano la modalità flat per IPv6. Per impostazione predefinita, un cluster a doppio stack utilizza la modalità isola per IPv4, ma puoi configurarlo in modo da utilizzare la modalità flat per IPv4.

Per creare un cluster a doppio stack, la rete sottostante deve essere abilitata a doppio stack. Se la rete sottostante è una rete IPv4 o IPv6 a stack singolo, non puoi avviare un cluster a doppio stack.

Prima di iniziare

Se i nodi del cluster eseguono RedHat Enterprise Linux e hanno SELinux attivo, su ogni nodo:

• In /etc/firewalld/firewalld.conf, imposta IPv6_rpfilter=no.

• Esegui systemctl restart firewalld.

Panoramica della creazione di un cluster a stack doppio

Puoi abilitare il networking a doppio stack quando crei un nuovo cluster, impossibile abilitare il networking a doppio stack per un cluster esistente.

Segui le istruzioni riportate in uno dei documenti sulla creazione dei cluster.

Nel file di configurazione, includi i manifest per:

• Una risorsa Spazio dei nomi
• Una risorsa cluster
• Una o più risorse NodePool
• Una o più risorse ClusterCIDRConfig

Compila i manifest dello spazio dei nomi e dei pool di nodi come faresti per un cluster a un solo livello.

Nel manifest del cluster, in clusterNetwork.services.cidrBlocks, specifica entrambi un intervallo CIDR IPv4 e un intervallo CIDR IPv6. Questo è il criterio di attivazione per un cluster dual-stack. In altre parole, se fornisci intervalli CIDR dei servizi sia per IPv4 che per IPv6, il tuo cluster avrà una rete a doppio stack.

Nel file manifest del cluster, in clusterNetwork.pods.cidrBlocks, specifica un intervallo IPv4 CIDR, ma non specificare un intervallo IPv6 CIDR. Gli intervalli CIDR IPv6 per i pod sono specificati nei manifest ClusterCIDRConfig.

Se utilizzi il bilanciamento del carico in bundle, fornisci indirizzi sia IPv4 che IPv6 nella sezione loadBalancer.addressPools del manifest del cluster.

Le risorse ClusterCIDRConfig sono destinate a specificare intervalli CIDR IPv4 e IPv6 per i pod. Puoi utilizzare una singola risorsa ClusterCIDRConfig per specificare gli intervalli CIDR a livello di cluster. In altre parole, gli indirizzi IPv4 dei pod per tutti i nodi provengono da un singolo intervallo CIDR e gli indirizzi IPv6 dei pod per tutti i nodi provengono da un singolo intervallo CIDR. In alternativa, puoi utilizzare diverse risorse ClusterCIDRConfig per specificare gli intervalli CIDR applicabili a un determinato pool di nodi o a un determinato nodo.

Connettività per gli indirizzi IP dei pod

Un cluster a doppio stack utilizza la modalità flat per il networking IPv6. L'esempio riportato in questo documento riguarda un cluster che utilizza la modalità flat statica per IPv6. Questo significa che il cluster non è configurato per l'utilizzo del BGP (Border Gateway Protocol).

Per un cluster che utilizza la rete in modalità flat statica, devi specificare gli indirizzi IP dei nodi e dei pod che fanno tutti parte della stessa subnet. Questa configurazione rende possibile per i client esterni al cluster, ma nello stesso Dominio di livello 2 come nodi del cluster, per inviare pacchetti direttamente agli indirizzi IP dei pod.

Ad esempio, supponiamo che i nodi del cluster e alcune altre macchine si trovino tutti nello stesso dominio di Livello 2. Ecco un modo per specificare gli intervalli di indirizzi:

Nell'esempio precedente, ecco i punti chiave da comprendere:

• Tutti gli indirizzi di nodi, pod e macchine rientrano nell'intervallo ampio: fd12::/108.

• Gli indirizzi IP dei pod si trovano in un sottoinsieme dell'intervallo più ampio.

• Gli indirizzi IP dei nodi si trovano in un sottoinsieme diverso dell'intervallo ampio.

• Gli indirizzi IP delle altre macchine si trovano in un sottoinsieme diverso dell'intervallo grande.

• Tutti gli intervalli di sottoinsiemi sono distinti tra loro.

Nell'esempio precedente, ogni macchina nel dominio di Livello 2, inclusi i nodi del cluster, deve avere una regola di inoltro per l'intervallo ampio. Ad esempio:

inet fd12::/108 scope global eth0

Esempio: crea un cluster a stack doppio

Quando crei un cluster a doppio stack, hai a disposizione varie opzioni. Ad esempio, potresti avere intervalli CIDR a livello di cluster o intervalli CIDR che si applicano a pool di nodi specifici. Puoi combinare una rete IPv6 flat con una rete IPv4 in modalità isolata. In alternativa, entrambe le reti IPv4 e IPv6 potrebbero essere piatte. Tu puoi utilizzare il bilanciamento del carico in bundle o manuale.

Questa sezione fornisce un esempio di come creare un cluster dual-stack. Il cluster in questo esempio ha le seguenti caratteristiche:

• Una rete IPv4 in modalità isola
• Una rete IPv6 in modalità flat
• Un intervallo CIDR IPv4 a livello di cluster per i pod
• Un intervallo CIDR IPv6 a livello di cluster per i pod
• Un intervallo CIDR IPv4 a livello di cluster per i servizi
• Un intervallo CIDR IPv6 a livello di cluster per i servizi
• Un pool di indirizzi IPv4 da utilizzare per i servizi di tipo LoadBalancer
• Un pool di indirizzi IPv6 da utilizzare per i servizi di tipo LoadBalancer
• Bilanciamento del carico in bundle

Per altri esempi di configurazione, consulta Variazioni sull'utilizzo di ClusterCIDRConfig.

Compilare un file di configurazione

Segui le istruzioni riportate in uno dei documenti sulla creazione dei cluster.

Nel file di configurazione, nel manifest Cluster:

• Per clusterNetwork.pods.cidrBlocks, fornisci un singolo intervallo CIDR IPv4.

• Per clusterNetwork.services.cidrBlocks, fornisci due intervalli CIDR: uno per IPv4 e uno per IPv6.

• Per loadBalancer.addressPools, fornisci due intervalli di indirizzi: uno per IPv4 e uno per IPv6. Quando crei un Servizio di tipo LoadBalancer, gli indirizzi IP esterni per il servizio vengono scelti da questi intervalli.

Ecco un esempio che mostra le parti pertinenti del manifest di un cluster:

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: "dual-stack"
  namespace: "cluster-dual-stack"

spec:
  clusterNetwork:
    pods:
      cidrBlocks:
      - "192.168.0.0/16"
    services
      cidrBlocks:
       - "172.16.0.0/20"
       - "fd12::5:0/116"
...
  loadBalancer:
    mode: "bundled"
    ...
    addressPools:
    - name: "pool-1"
      addresses:
       - "10.2.0.212-10.2.0.221"
       - "fd12::4:101-fd12::4:110"

Nello stesso file di configurazione, includi un manifest per un ClusterCIDRConfig.

• Imposta ipv4.cidr sullo stesso intervallo CIDR specificato nel manifest Cluster. Questo è un requisito se IPv4 è in modalità isola.

• Imposta namespace sullo stesso valore specificato nel manifest Cluster.

• Imposta ipv6.cidr su un intervallo CIDR IPv6 per i pod.

• Per ogni intervallo CIDR, fornisci un valore per perNodeMaskSize per specificare il numero Gli indirizzi dei pod verranno assegnati a ciascun nodo. Il numero di indirizzi IPv4 assegnati a ogni nodo deve essere uguale al numero di indirizzi IPv6 assegnati a ogni nodo. Devi impostare i valori per perNodeMaskSize di conseguenza. Ad esempio, se vuoi 2⁸ indirizzi per nodo, imposta i valori perNodeMaskSize come segue:

  • ipv4.perNodeMaskSize: 24 # (32 - 8 = 24)
  • ipv6.perNodeMaskSize: 120 # (128 - 8 = 120)

Ecco un esempio di manifest ClusterCIDRConfig:

apiVersion: baremetal.cluster.gke.io/v1alpha1
kind: ClusterCIDRConfig
metadata:
  name: "cluster-wide-ranges"
  namespace: "cluster-dual-stack"  # Must be the same as the Cluster namespace.
spec:
  ipv4:
    cidr: "192.168.0.0/16"  #  For island mode, must be the same as the Cluster CIDR.
    perNodeMaskSize: 24
  ipv6:
    cidr: "fd12::1:0/112"
    perNodeMaskSize: 120

Nell'esempio precedente:

• L'intervallo CIDR del pod IPv4 ha 2^(32-16) = 2¹⁶ indirizzi. La dimensione della maschera per nodo è 24, quindi il numero di indirizzi assegnati a ciascun nodo è 2^(32-24) = 2⁸.

• L'intervallo CIDR del pod IPv6 ha 2^(128-112) = 2¹⁶ indirizzi. La dimensione della maschera per nodo è 120, quindi il numero di indirizzi assegnato a ciascun nodo è 2^(128-120) = 2⁸.

File di configurazione di esempio

gcrKeyPath: "bmctl-workspace/.sa-keys/gcr.json"
sshPrivateKeyPath: "/home/me/.ssh/id_rsa"
gkeConnectAgentServiceAccountKeyPath: "bmctl-workspace/.sa-keys/bm-connect.json"
gkeConnectRegisterServiceAccountKeyPath: "bmctl-workspace/.sa-keys/bm-register.json"
cloudOperationsServiceAccountKeyPath: "bmctl-workspace/.sa-keys/bm-cloud-ops.json"
---
apiVersion: v1
kind: Namespace
metadata:
  name: "cluster-dual-stack"
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: "dual-stack"
  namespace: "cluster-dual-stack"
spec:
  type: "user"
  anthosBareMetalVersion: "1.14.0"
  gkeConnect:
    projectID: "my-project"
  controlPlane:
    nodePoolSpec:
      nodes:
      - address: "10.2.0.4"
  clusterNetwork:
    pods:
      cidrBlocks:
      - "192.168.0.0/16"
    services:
      cidrBlocks:
       - "172.16.0.0/20"
       - "fd12::5:0/116"
  loadBalancer:
    mode: "bundled"
    ports:
      controlPlaneLBPort: 443
    vips:
      controlPlaneVIP: "10.2.0.211
      ingressVIP: "10.2.0.212"
    addressPools:
    - name: "pool-1"
      addresses:
      - "10.2.0.212-10.2.0.221"
      - "fd12::4:101-fd12::4:110
  clusterOperations:
    projectID: "my-project"
    location: "us-central1"
  storage:
    lvpNodeMounts:
      path: "/mnt/localpv-disk"
      storageClassName: "node-disk"
    lvpShare:
      numPVUnderSharedPath: 5
      path: "/mnt/localpv-share"
      storageClassName: "local-shared"
  nodeConfig:
    podDensity:
      maxPodsPerNode: 110
---
apiVersion: baremetal.cluster.gke.io/v1
kind: NodePool
metadata:
  name: "pool-1"
  namespace: "cluster-dual-stack"
spec:
  clusterName: "dual-stack"
  nodes:
  - address: "10.2.0.5"
---
apiVersion: baremetal.cluster.gke.io/v1alpha1
kind: ClusterCIDRConfig
metadata:
  name: "cluster-wide-ranges"
  namespace: "cluster-dual-stack"
spec:
  ipv4:
    cidr: "192.168.0.0/16"
    perNodeMaskSize: 24
  ipv6:
    cidr: "fd12::1:0/112"
    perNodeMaskSize: 120

Completa la creazione del cluster

Completa la creazione del cluster come descritto nel documento sulla creazione del cluster.

Visualizzare i nodi e i pod del cluster

Elenca i nodi del cluster:

kubectl --kubeconfig CLUSTER_KUBECONFIG get nodes --output yaml

Sostituisci CLUSTER_KUBECONFIG con il percorso kubeconfig del cluster .

Nell'output puoi vedere gli indirizzi IPv4 e IPv6 di ogni nodo. Puoi anche vedere gli intervalli di indirizzi IPv4 e IPv6 per i pod sul nodo. Ad esempio:

- apiVersion: v1
  kind: Node
  ...
  spec:
    podCIDR: 192.168.1.0/24
    podCIDRs:
    - 192.168.1.0/24
    - fd12::1:100/120
    providerID: baremetal://10.2.0.5
  status:
    addresses:
    - address: 10.2.0.5
      type: InternalIP
    - address: fd12::2:5
      type: InternalIP

Elenca i pod presenti nel cluster:

kubectl --kubeconfig CLUSTER_KUBECONFIG get pods --all-namespaces

Scegli un pod ed elenca i dettagli. Ad esempio:

kubectl --kubeconfig CLUSTER_KUBECONFIG get pod gke-metrics-agent-b9qrv \
  --namespace kube-system \
  -- output yaml

Nell'output puoi vedere gli indirizzi IPv4 e IPv6 del pod. Ad esempio:

apiVersion: v1
kind: Pod
metadata:
  ...
  name: gke-metrics-agent-b9qrv
  namespace: kube-system
...
status:
  ...
  podIPs:
  - ip: 192.168.1.146
  - ip: fd12::1:11a

Varianti sull'utilizzo di ClusterCIDRConfig

L'esempio precedente utilizzava un oggetto ClusterCIDRConfig per specificare gli intervalli CIDR dei pod per l'intero cluster. Vale a dire che viene utilizzato un singolo intervallo CIDR IPv4 per tutti i pod in un cluster Kubernetes. Inoltre, viene utilizzato un singolo intervallo CIDR IPv6 per tutti i pod del cluster.

In alcune situazioni potresti non voler utilizzare un singolo intervallo CIDR per tutte di pod in un cluster. Ad esempio, puoi specificare un intervallo CIDR distinto per ogni pool di nodi o per ogni nodo. Per ulteriori informazioni su ClusterCIDRConfig ed esempi di utilizzo, consulta Informazioni sulla risorsa personalizzata ClusterCIDRConfig.

Ad esempio, il seguente ClusterCIDRConfig specifica un intervallo CIDR per un pool di nodi denominato "workers".

apiVersion: baremetal.cluster.gke.io/v1alpha1
kind: ClusterCIDRConfig
metadata:
  name: "worker-pool-ccc"
  namespace: "cluster-dual-stack"
spec:
  ipv4:
    cidr: "192.168.0.0/16"
    perNodeMaskSize: 24
  ipv6:
    cidr: "fd12::1:0/112"
    perNodeMaskSize: 120
  nodeSelector:
    matchLabels:
      baremetal.cluster.gke.io/node-pool: "workers"

Il seguente ClusterCIDRConfig specifica un intervallo CIDR per un singolo nodo con indirizzo IP 10.2.0.5:

apiVersion: baremetal.cluster.gke.io/v1alpha1
kind: ClusterCIDRConfig
metadata:
  name: "range-node1"
  namespace: "cluster-dual-stack"
spec:
  ipv4:
    cidr: "192.168.1.0/24"
    perNodeMaskSize: 24
  ipv6:
    cidr: "fd12::1:0/120"
    perNodeMaskSize: 120
  nodeSelector:
    matchLabels:
      baremetal.cluster.gke.io/k8s-ip: "10.2.0.5"

Crea un servizio a doppio stack di tipo ClusterIP

Ecco un manifest per un deployment:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: "my-deployment"
spec:
  selector:
    matchLabels:
      app: "try-dual-stack"
  replicas: 3
  template:
    metadata:
      labels:
        app: "try-dual-stack"
    spec:
      containers:
      - name: "hello"
        image: "us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0"

Salva il manifest in un file denominato my-deployment.yaml e crea il deployment:

kubectl --kubeconfig CLUSTER_KUBECONFIG apply -f my-deployment.yaml

Sostituisci CLUSTER_KUBECONFIG con il percorso kubeconfig del cluster .

Ecco un manifest per un servizio di tipo ClusterIP:

apiVersion: v1
kind: Service
metadata:
  name: "my-service"
spec:
  selector:
    app: "try-dual-stack"
  type: "ClusterIP"
  ipFamilyPolicy: "RequireDualStack"
  ipFamilies:
  - "IPv6"
  - "IPv4"
  ports:
  - port: 80
    targetPort: 8080

Nel contesto di questo esercizio, di seguito sono riportati i punti chiave da comprendere sul manifest del servizio precedente:

• Il campo ipFamilyPolicy è impostato su RequireDualStack, il che significa che per il servizio vengono allocati sia gli indirizzi IPv6 sia quelli IPv4 ClusterIP.

• Il campo ipFamilies specifica prima la famiglia IPv6 e poi la famiglia IPv4. Ciò significa che spec.ClusterIP per il servizio sarà un indirizzo IPv6 scelto da clusterNetwork.services.cidrBlocks nel manifest del cluster.

Salva il manifest in un file denominato my-cip-service.yaml e crea il servizio:

kubectl --kubeconfig CLUSTER_KUBECONFIG apply -f my-cip-service.yaml

Elenca i dettagli sul servizio:

kubectl --kubeconfig CLUSTER_KUBECONFIG get service my-service --output yaml

Nell'output puoi vedere gli indirizzi IP del cluster per il servizio. Per esempio:

apiVersion: v1
kind: Service
metadata:
  name: my-service
  …
spec:
  clusterIP: fd12::5:9af
  clusterIPs:
  - fd12::5:9af
  - 172.16.12.197

Su un nodo del cluster, chiama il servizio:

curl IPV4_CLUSTER_IP
curl IPV6_CLUSTER_IP

L'output visualizza "Hello World" messaggio:

Hello, world!
Version: 2.0.0
Hostname: my-deployment-xxx

Crea un servizio a doppio stack di tipo LoadBalancer

Ecco un manifest per un servizio di tipo LoadBalancer:

apiVersion: v1
kind: Service
metadata:
  name: "my-lb-service"
spec:
  selector:
    app: "try-dual-stack"
  type: "LoadBalancer"
  ipFamilyPolicy: "RequireDualStack"
  ipFamilies:
  - "IPv6"
  - "IPv4"
  ports:
  - port: 80
    targetPort: 8080

Salva il manifest in un file denominato my-lb-service.yaml e crea il servizio:

kubectl --kubeconfig CLUSTER_KUBECONFIG apply -f my-lb-service.yaml

Ricorda che nel manifest del tuo cluster hai specificato un intervallo di indirizzi IPv6. e un intervallo di indirizzi IPv4 da utilizzare per i servizi di tipo LoadBalancer:

  loadBalancer:
    mode: "bundled"
    ...
    addressPools:
    - name: "pool-1"
      addresses:
      - "10.2.0.112-10.2.0.221"
      - "fd12::4:101-fd12::4:110"

Al servizio verrà assegnato un indirizzo IPv4 esterno scelto dalla piattaforma e un indirizzo IPv6 esterno scelto dall'intervallo IPv6.

Elenca i dettagli del servizio:

kubectl --kubeconfig CLUSTER_KUBECONFIG get service my-lb-service --output yaml

Nell'output puoi vedere gli indirizzi esterni del servizio. Ad esempio:

apiVersion: v1
kind: Service
metadata:
  name: my-lb-service
...
status:
  loadBalancer:
    ingress:
    - ip: 10.2.0.213
    - ip: fd12::4:101

Valori possibili per ipFamilyPolicy

Quando crei un servizio dual-stack, puoi impostare ipFamilyPolicy su uno di questi valori:

• SingleStack: il controller alloca un indirizzo IP cluster per il servizio, scelto dal primo intervallo specificato nel manifest del cluster in clusterNetwork.services.cidrBlocks.

• PreferDualStack: il controller alloca indirizzi IP del cluster IPv4 e IPv6 per il servizio, scelto tra gli intervalli specificati nel manifest del cluster sotto clusterNetwork.services.cidrBlocks. Se il cluster non è un cluster dual-stack, il comportamento è lo stesso di SingleStack.

• RequireDualStack: il controller alloca gli indirizzi IP IPv4 e IPv6 del cluster per il servizio, scelti dagli intervalli specificati nel manifest del cluster in clusterNetwork.services.cidrBlocks. Imposta il valore di spec.clusterIP in base alla prima famiglia di indirizzi specificata nel manifest del servizio in ipFamilies.

Ulteriori informazioni

Per ulteriori informazioni su come creare servizi dual-stack, vedi Opzioni a doppio stack nei nuovi servizi.