Configurar la compatibilidad con varias redes para pods

En esta página se explica cómo habilitar varias interfaces en nodos y pods de un clúster de Google Kubernetes Engine (GKE) mediante la compatibilidad con varias redes para pods.

Antes de leer esta página, asegúrate de que conoces los conceptos generales de redes, la terminología y los conceptos específicos de esta función, así como los requisitos y las limitaciones del servicio de asistencia para varias redes de los pods.

Para obtener más información, consulta Información sobre la compatibilidad con varias redes para pods.

Requisitos y limitaciones

La compatibilidad con varias redes para pods tiene los siguientes requisitos y limitaciones:

Requisitos

• GKE Standard 1.28 o una versión posterior.
• GKE Autopilot versión 1.29.5-gke.1091000 y posteriores o versión 1.30.1-gke.1280000 y posteriores.
• La compatibilidad con varias redes para pods usa las mismas especificaciones a nivel de VM que la compatibilidad con varias NICs en Compute Engine.
• Para usar varias redes en los pods, se necesita GKE Dataplane V2.
• La compatibilidad con varias redes para pods está disponible en Container-Optimized OS. La asistencia para Ubuntu está disponible en los nodos que ejecutan la versión 1.32.3-gke.1785000 de GKE o una posterior.

Limitaciones generales

• La compatibilidad con varias redes para pods no funciona en clústeres en los que se haya habilitado la red de pila dual.
• La VPC compartida solo se admite en GKE 1.28 o versiones posteriores.
• CIDR de varios pods solo se admite en GKE 1.29 o versiones posteriores, y solo para la red de pods predeterminada.
• Las redes de pods de un mismo clúster de GKE no pueden tener intervalos CIDR superpuestos.
• Cuando habilitas la compatibilidad con varias redes para pods, no puedes añadir ni quitar interfaces de red de nodos ni redes de pods después de crear un grupo de nodos. Para cambiar estos ajustes, debes volver a crear el grupo de nodos.
• De forma predeterminada, no se puede acceder a Internet desde las interfaces adicionales de las redes de pods dentro del pod. Sin embargo, puedes habilitarlo manualmente con Cloud NAT.
• No puedes cambiar la pasarela predeterminada de un pod con varias interfaces a través de la API. La pasarela predeterminada debe estar conectada a la red de pods predeterminada.
• La red de pods predeterminada siempre debe incluirse en los pods, aunque crees redes o interfaces de pods adicionales.
• No puedes configurar la función de varias redes cuando se ha configurado Managed Hubble.
• Para usar una VPC compartida, asegúrate de que tu clúster de GKE tenga la versión 1.28.4 o una posterior.
• En las implementaciones de VPC compartida, todas las interfaces de red (NICs) conectadas a los nodos deben pertenecer al mismo proyecto que el proyecto host.
• El nombre de los objetos de red de tipo de dispositivo no puede tener más de 41 caracteres. Se compone la ruta completa de cada socket de dominio UNIX, incluido el nombre de red correspondiente. Linux tiene una limitación en la longitud de las rutas de sockets (menos de 107 bytes). Teniendo en cuenta el directorio, el prefijo del nombre de archivo y la extensión .sock, el nombre de la red puede tener un máximo de 41 caracteres.
• No puedes mutar objetos Network y GKENetworkParamSet. Para actualizar estos objetos, elimínelos y vuelva a crearlos.

Limitaciones del kit de desarrollo de planos de datos y dispositivos (DPDK)

• Una NIC de VM transferida a un pod como una NIC de tipo Device no está disponible para otros pods del mismo nodo.
• Los pods que usan el modo DPDK deben ejecutarse en modo con privilegios para acceder a los dispositivos VFIO.
• El modo Autopilot no admite DPDK.
• En el modo DPDK, un dispositivo se trata como un recurso de nodo y solo se adjunta al primer contenedor (no init) del pod. Si quieres dividir varios dispositivos DPDK entre contenedores del mismo pod, debes ejecutar esos contenedores en pods independientes.
• En los nodos de Ubuntu, las redes DPDK-VFIO solo se admiten en GKE 1.33.1-gke.1959000 y versiones posteriores.

Limitaciones de escalado

GKE proporciona una arquitectura de red flexible que te permite escalar tu clúster. Puedes añadir redes de nodos y redes de pods adicionales a tu clúster. Puedes escalar tu clúster de la siguiente manera:

• Puedes añadir hasta 8 redes de nodos adicionales a cada grupo de nodos de GKE. Este es el mismo límite de escalado para las máquinas virtuales de Compute Engine.
• Cada pod debe tener menos de 8 redes adicionales asociadas.
• Puedes configurar hasta 35 Pod-networks en las 8 node-networks de un solo grupo de nodos. Puedes desglosarlo en diferentes combinaciones, como las siguientes:
  • 7 redes de nodos con 5 redes de pods cada una
  • 5 redes de nodos con 7 redes de pods cada una
  • 1 red de nodos con 30 redes de pods. El límite de intervalos secundarios por subred es de 30.
• Puedes configurar hasta 50 redes de pods por clúster.
• Puedes configurar hasta un máximo de 32 pods de varias redes por nodo.
• Puedes tener hasta 5000 nodos con varias interfaces.
• Puedes tener hasta 100.000 interfaces adicionales en todos los Pods.

Desplegar pods de varias redes

Para implementar pods de varias redes, haz lo siguiente:

1. Prepara una VPC adicional, una subred (red de nodos) y rangos secundarios (red de pods).
2. Crea un clúster de GKE con varias redes con el comando de la CLI de Google Cloud.
3. Crea un grupo de nodos de GKE que esté conectado a la red de nodos y a la red de pods adicionales mediante el comando de la CLI de Google Cloud.
4. Crea una red de pods y haz referencia a la VPC, la subred y los intervalos secundarios correctos en objetos de varias redes mediante la API de Kubernetes.
5. En la configuración de tu carga de trabajo, hace referencia al objeto de Kubernetes Network preparado mediante la API de Kubernetes.

Antes de empezar

Antes de empezar, asegúrate de que has realizado las siguientes tareas:

• Habilita la API de Google Kubernetes Engine.
Habilitar la API de Google Kubernetes Engine
• Si quieres usar Google Cloud CLI para esta tarea, instálala y, a continuación, inicialízala. Si ya has instalado la gcloud CLI, obtén la versión más reciente ejecutando gcloud components update.

• Consulta los requisitos y las limitaciones.

Preparar una VPC adicional

Google Cloud crea una red de pods predeterminada durante la creación del clúster asociada al grupo de nodos de GKE utilizado durante la creación inicial del clúster de GKE. La red de pods predeterminada está disponible en todos los nodos y pods del clúster. Para facilitar las funciones de varias redes en el pool de nodos, debes preparar las VPCs que ya tengas o crear otras nuevas que admitan redes de tipo Layer 3 y Device.

Para preparar una VPC adicional, ten en cuenta los siguientes requisitos:

• Redes de tipo Layer 3 y Netdevice:

  • Crea un intervalo secundario si usas redes de tipo Layer 3.
  • Asegúrate de que el tamaño de CIDR del intervalo secundario sea lo suficientemente grande como para satisfacer el número de nodos del grupo de nodos y el número de pods por nodo que quieras tener.
  • Al igual que la red de pods predeterminada, las demás redes de pods usan el aprovisionamiento excesivo de direcciones IP. El intervalo de direcciones IP secundario debe tener el doble de direcciones IP por nodo que el número de pods por nodo.

• Requisitos de la red de tipo Device: crea una subred normal en una VPC. No necesitas una subred secundaria.

Para habilitar las funciones de varias redes en el pool de nodos, debes preparar las VPCs a las que quieras establecer conexiones adicionales. Puedes usar una VPC que ya tengas o crear una específicamente para el grupo de nodos.

Crear una red VPC que admita dispositivos de tipo Layer 3

Para crear una red de VPC que admita dispositivos de tipo Layer 3, haz lo siguiente:

• Asegúrate de que el tamaño de CIDR del intervalo secundario sea lo suficientemente grande como para satisfacer el número de nodos del grupo de nodos y el número de pods por nodo que quieras tener.

• Al igual que la red de pods predeterminada, las demás redes de pods usan el aprovisionamiento excesivo de direcciones IP. El intervalo de direcciones IP secundarias debe tener el doble de direcciones IP por nodo que el número de pods por nodo.

gcloud compute networks subnets create SUBNET_NAME \
    --project=PROJECT_ID \
    --range=SUBNET_RANGE \
    --network=NETWORK_NAME \
    --region=REGION \
    --secondary-range=SECONDARY_RANGE_NAME=<SECONDARY_RANGE_RANGE>

Crear una red de VPC que admita dispositivos de tipo Netdevice o DPDK

gcloud compute networks subnets create SUBNET_NAME \
    --project=PROJECT_ID \
    --range=SUBNET_RANGE \
    --network=NETWORK_NAME \
    --region=REGION \
    --secondary-range=SECONDARY_RANGE_NAME=<SECONDARY_RANGE_RANGE>

Crear un clúster de GKE con funciones de varias redes

Al habilitar la función de multirred en un clúster, se añaden las CustomResourceDefinitions (CRDs) necesarias al servidor de la API de ese clúster. También implementa un gestor de controladores de red, que se encarga de conciliar y gestionar objetos de varias redes. No puedes modificar la configuración del clúster después de crearlo.

Crear un clúster de Autopilot de GKE con funciones de varias redes

Crea un clúster de Autopilot de GKE con funciones de varias redes:

gcloud container clusters create-auto CLUSTER_NAME \
    --cluster-version=CLUSTER_VERSION \
    --enable-multi-networking

Haz los cambios siguientes:

• CLUSTER_NAME: el nombre del clúster.
• CLUSTER_VERSION: la versión del clúster.

La marca --enable-multi-networking habilita las definiciones de recursos personalizados (CRDs) de varias redes en el servidor de la API de este clúster e implementa un network-controller-manager que contiene la reconciliación y la gestión del ciclo de vida de los objetos de varias redes.

Crear un clúster estándar de GKE con funciones de varias redes

gcloud container clusters create CLUSTER_NAME \
    --cluster-version=CLUSTER_VERSION \
    --enable-dataplane-v2 \
    --enable-ip-alias \
    --enable-multi-networking

Crear un grupo de nodos de GKE Standard conectado a VPCs adicionales

Crea un grupo de nodos que incluya nodos conectados a la red de nodos (VPC y subred) y a la red de pods (intervalo secundario) creadas en Crear red de pods.

Para crear el nuevo grupo de nodos y asociarlo a las redes adicionales del clúster de GKE, sigue estos pasos:

gcloud container node-pools create POOL_NAME \
  --cluster=CLUSTER_NAME \
  --additional-node-network network=NETWORK_NAME,subnetwork=SUBNET_NAME \
  --additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=POD_IP_RANGE,max-pods-per-node=NUMBER_OF_PODS \
  --additional-node-network network=highperformance,subnetwork=subnet-highperf

Notas:

• Si se especifican varias redes de pods adicionales en la misma red de nodos, deben estar en la misma subred.
• No puedes hacer referencia a la misma subred secundaria varias veces.

Ejemplo En el siguiente ejemplo se crea un grupo de nodos llamado pool-multi-net que adjunta dos redes adicionales a los nodos: datapalane (red de tipo Layer 3) y highperformance (red de tipo netdevice). En este ejemplo se da por hecho que ya has creado un clúster de GKE llamado cluster-1:

gcloud container node-pools create pool-multi-net \
  --project my-project \
  --cluster cluster-1 \
  --location us-central1-c \
  --additional-node-network network=dataplane,subnetwork=subnet-dp \
  --additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=sec-range-blue,max-pods-per-node=8 \
  --additional-node-network network=highperformance,subnetwork=subnet-highperf

Para especificar interfaces de red de nodos y de pods adicionales, define los parámetros --additional-node-network y --additional-pod-network varias veces, como se muestra en el siguiente ejemplo:

--additional-node-network network=dataplane,subnetwork=subnet-dp \
--additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=sec-range-blue,max-pods-per-node=8 \
--additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=sec-range-green,max-pods-per-node=8 \
--additional-node-network network=managementdataplane,subnetwork=subnet-mp \
--additional-pod-network subnetwork=subnet-mp,pod-ipv4-range=sec-range-red,max-pods-per-node=4

Para especificar redes de pods adicionales directamente en la interfaz de VPC principal del grupo de nodos, como se muestra en el siguiente ejemplo:

--additional-pod-network subnetwork=subnet-def,pod-ipv4-range=sec-range-multinet,max-pods-per-node=8

Crear red de Pod

Define las redes de pods a las que accederán los pods definiendo objetos de Kubernetes y vinculándolos a los recursos de Compute Engine correspondientes, como VPCs, subredes y rangos secundarios.

Para crear una red de pods, debes definir los objetos CRD de Network en el clúster.

Configurar una red de VPC de Layer 3

Configurar la red DPDK

Configurar la red de dispositivos de red

En la VPC netdevice, crea objetos Network y GKENetworkParamSet.

Configurar rutas de red

Configurar una ruta de red te permite definir rutas personalizadas para una red específica, que se configuran en los pods para dirigir el tráfico a la interfaz correspondiente del pod.

Consulta el Networkpreparado

En la configuración de tu carga de trabajo, haz referencia al objeto de Network Kubernetes preparado mediante la API de Kubernetes.

Conectar un Pod a redes específicas

Para conectar pods a las redes especificadas, debe incluir los nombres de los objetos Network como anotaciones en la configuración del pod. Asegúrate de incluir tanto default Network como las redes adicionales seleccionadas en las anotaciones para establecer las conexiones.

1. Guarda el siguiente archivo de manifiesto de ejemplo como sample-l3-pod.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     name: sample-l3-pod
     annotations:
       networking.gke.io/default-interface: 'eth0'
       networking.gke.io/interfaces: |
         [
           {"interfaceName":"eth0","network":"default"},
           {"interfaceName":"eth1","network":"blue-network"}
         ]
   spec:
     containers:
     - name: sample-l3-pod
       image: busybox
       command: ["sleep", "10m"]
       ports:
       - containerPort: 80
     restartPolicy: Always
   

   Este manifiesto crea un pod llamado sample-l3-pod con dos interfaces de red, eth0 y eth1, asociadas a las redes default y blue-network, respectivamente.

2. Aplica el manifiesto al clúster:

   kubectl apply -f sample-l3-pod.yaml
   

Conectar un Pod a varias redes

1. Guarda el siguiente archivo de manifiesto de ejemplo como sample-l3-netdevice-pod.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     name: sample-l3-netdevice-pod
     annotations:
       networking.gke.io/default-interface: 'eth0'
       networking.gke.io/interfaces: |
         [
           {"interfaceName":"eth0","network":"default"},
           {"interfaceName":"eth1","network":"blue-network"},
           {"interfaceName":"eth2","network":"netdevice-network"}
         ]
   spec:
     containers:
     - name: sample-l3-netdevice-pod
       image: busybox
       command: ["sleep", "10m"]
       ports:
       - containerPort: 80
     restartPolicy: Always
   

   Este manifiesto crea un pod llamado sample-l3-netdevice-pod con tres interfaces de red, eth0, eth1 y eth2, asociadas a las redes default, blue-network y netdevice, respectivamente.

2. Aplica el manifiesto al clúster:

   kubectl apply -f sample-l3-netdevice-pod.yaml
   

Puedes usar la misma anotación en cualquier ReplicaSet (Deployment o DaemonSet) en la sección de anotaciones de la plantilla.

Configuración de ejemplo de un pod con varias interfaces:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
      valid_lft forever preferred_lft forever
2: eth0@if9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc noqueue state UP group default
    link/ether 2a:92:4a:e5:da:35 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.60.45.4/24 brd 10.60.45.255 scope global eth0
      valid_lft forever preferred_lft forever
10: eth1@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc noqueue state UP group default qlen 1000
    link/ether ba:f0:4d:eb:e8:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.16.1.2/32 scope global eth1
      valid_lft forever preferred_lft forever

Verificación

• Asegúrate de crear clústeres con --enable-multi-networking solo si --enable-dataplane-v2 está habilitado.
• Verifica que todos los grupos de nodos del clúster ejecuten imágenes de Container-Optimized OS en el momento de la creación del clúster y del grupo de nodos.
• Verifica que los grupos de nodos se creen con --additional-node-network o --additional-pod-network solo si la función de multiconexión está habilitada en el clúster.
• Asegúrate de que no se especifica dos veces la misma subred como argumento --additional-node-network de un grupo de nodos.
• Verifica que el mismo intervalo secundario no se haya especificado como argumento --additional-pod-network de un pool de nodos.
• Sigue los límites de escalado especificados para los objetos de red, teniendo en cuenta el número máximo de nodos, pods y direcciones IP permitidos.
• Verifica que solo haya un objeto GKENetworkParamSet que haga referencia a una subred y a un intervalo secundario concretos.
• Verifica que cada objeto de red haga referencia a un objeto GKENetworkParamSet diferente.
• Verifica que el objeto de red, si se crea con una subred específica con la red Device, no se esté usando en el mismo nodo con otra red con un intervalo secundario. Solo puedes validar esto en el tiempo de ejecución.
• Verifica que los distintos intervalos secundarios asignados a los grupos de nodos no tengan direcciones IP superpuestas.

Solucionar problemas con los parámetros de multirred en GKE

Cuando creas un clúster y un grupo de nodos,se Google Cloud implementan determinadas comprobaciones para asegurarse de que solo se permiten parámetros de multirred válidos. De esta forma, te aseguras de que la red esté configurada correctamente para el clúster.

A partir de la versión 1.32 de GKE, el campo high-perf-config-daemon solo es obligatorio cuando hay una red DPDK-VFIO en el nodo. Para comprobar el high-perf-config-daemon, verifica que esté presente la etiqueta del nodo cloud.google.com/run-high-perf-config-daemons: "true". La ausencia de los complementos o las etiquetas de nodo necesarios para el tipo de red específico puede indicar que la configuración está incompleta o es incorrecta.

Si no puedes crear cargas de trabajo de varias redes, puedes consultar el estado del pod y los eventos para obtener más información:

kubectl describe pods samplepod

El resultado debería ser similar al siguiente:

Name:         samplepod
Namespace:    default
Status:       Running
IP:           192.168.6.130
IPs:
  IP:  192.168.6.130
...
Events:
  Type     Reason                  Age   From               Message
  ----     ------                  ----  ----               -------
  Normal   NotTriggerScaleUp  9s               cluster-autoscaler  pod didn't trigger scale-up:
  Warning  FailedScheduling   8s (x2 over 9s)  default-scheduler   0/1 nodes are available: 1 Insufficient networking.gke.io.networks/my-net.IP. preemption: 0/1 nodes are available: 1 No preemption victims found for incoming pod

A continuación, se indican los motivos generales por los que no se puede crear un pod:

• No se ha podido programar el pod porque no se cumplen los requisitos de recursos de la multiconexión de red
• No se han podido identificar las redes especificadas

Solucionar problemas de creación de redes de Kubernetes

Una vez que hayas creado una red correctamente, los nodos que deban tener acceso a la red configurada se anotarán con una anotación de estado de la red.

Para ver las anotaciones, ejecuta el siguiente comando:

kubectl describe node NODE_NAME

Sustituye NODE_NAME por el nombre del nodo.

El resultado debería ser similar al siguiente:

networking.gke.io/network-status: [{"name":"default"},{"name":"dp-network"}]

El resultado muestra cada red disponible en el nodo. Si el estado de la red esperado no se muestra en el nodo, haga lo siguiente:

Comprueba si el nodo puede acceder a la red

Si la red no aparece en la anotación de estado de la red del nodo:

1. Verifica que el nodo forme parte de un pool configurado para la función de multirred.
2. Comprueba las interfaces del nodo para ver si tiene una interfaz para la red que estás configurando.
3. Si a un nodo le falta el estado de la red y solo tiene una interfaz de red, debes crear un pool de nodos con la función de multirred habilitada.
4. Si tu nodo contiene la interfaz de la red que estás configurando, pero no se ve en la anotación de estado de la red, comprueba los recursos Network y GKENetworkParamSet (GNP).

Consulta los recursos Network y GKENetworkParamSet.

El estado de los recursos Network y GKENetworkParamSet (GNP) incluye un campo de condiciones para informar de los errores de configuración. Le recomendamos que compruebe primero el GNP, ya que no depende de otro recurso para ser válido.

Para inspeccionar el campo conditions, ejecuta el siguiente comando:

kubectl get gkenetworkparamsets GNP_NAME -o yaml

Sustituye GNP_NAME por el nombre del recurso GKENetworkParamSet.

Cuando la condición Ready es igual a true, la configuración es válida y el resultado es similar al siguiente:

apiVersion: networking.gke.io/v1
kind: GKENetworkParamSet
...
spec:
  podIPv4Ranges:
    rangeNames:
    -   sec-range-blue
  vpc: dataplane
  vpcSubnet: subnet-dp
status:
  conditions:
  -   lastTransitionTime: "2023-06-26T17:38:04Z"
    message: ""
    reason: GNPReady
    status: "True"
    type: Ready
  networkName: dp-network
  podCIDRs:
    cidrBlocks:
    -   172.16.1.0/24

Cuando la condición Ready es igual a false, el resultado muestra el motivo y es similar al siguiente:

apiVersion: networking.gke.io/v1
kind: GKENetworkParamSet
...
spec:
  podIPv4Ranges:
    rangeNames:
    -   sec-range-blue
  vpc: dataplane
  vpcSubnet: subnet-nonexist
status:
  conditions:
  -   lastTransitionTime: "2023-06-26T17:37:57Z"
    message: 'subnet: subnet-nonexist not found in VPC: dataplane'
    reason: SubnetNotFound
    status: "False"
    type: Ready
  networkName: ""

Si aparece un mensaje similar, compruebe que el GNP se haya configurado correctamente. Si ya lo está, asegúrate de que la Google Cloud configuración de red sea correcta. Después de actualizar la configuración de la red, puede que tengas que volver a crear el recurso de GNP para activar manualmente una resincronización. Google Cloud De esta forma, se evita el sondeo infinito de la Google Cloud API.

Cuando el GNP esté listo, consulta el recurso Network.

kubectl get networks NETWORK_NAME -o yaml

Sustituye NETWORK_NAME por el nombre del recurso Network.

La salida de una configuración válida es similar a la siguiente:

apiVersion: networking.gke.io/v1
kind: Network
...
spec:
  parametersRef:
    group: networking.gke.io
    kind: GKENetworkParamSet
    name: dp-gnp
  type: L3
status:
  conditions:
  -   lastTransitionTime: "2023-06-07T19:31:42Z"
    message: ""
    reason: GNPParamsReady
    status: "True"
    type: ParamsReady
  -   lastTransitionTime: "2023-06-07T19:31:51Z"
    message: ""
    reason: NetworkReady
    status: "True"
    type: Ready

• reason: NetworkReady indica que el recurso de red está configurado correctamente. reason: NetworkReady no implica que el recurso de red esté necesariamente disponible en un nodo específico o que se esté usando de forma activa.
• Si hay un error o un problema de configuración, el campo reason de la condición especifica el motivo exacto del problema. En estos casos, ajuste la configuración en consecuencia.
• GKE rellena el campo ParamsReady si el campo parametersRef se ha definido en un recurso GKENetworkParamSet que existe en el clúster. Si has especificado un GKENetworkParamSet type parametersRef y no aparece la condición, asegúrate de que el nombre, el tipo y el grupo coincidan con el recurso GNP que hay en tu clúster.

Siguientes pasos

• Consulta cómo crear clústeres nativos de VPC.
• Codelabs
• Vídeo de demostración