Configurar o suporte a várias redes para pods

Nesta página, mostramos como ativar várias interfaces em nós e pods em um cluster do Google Kubernetes Engine (GKE) usando o suporte a várias redes para pods. O suporte a várias redes está disponível apenas para projetos ativados com o GKE Enterprise.

Partimos do pressuposto de que você conhece os conceitos gerais de rede, a terminologia e os conceitos específicos desse recurso e os requisitos e limitações para compatibilidade com várias redes nos pods.

Para mais informações, consulte Sobre o suporte a várias redes para pods.

Requisitos e limitações

O suporte a várias redes para pods tem os seguintes requisitos e limitações:

Requisitos

• GKE versão 1.28 ou posterior.
• Ative o Google Kubernetes Engine (GKE) Enterprise Edition.
• O suporte a várias redes para pods usa as mesmas especificações de VM que o multi-NIC para o Compute Engine.
• O suporte a várias redes para pods exige o GKE Dataplane V2.
• O suporte a várias redes para pods está disponível apenas para nós do Container-Optimized OS que executam a versão m101 ou posterior.

Limitações gerais

• O suporte a várias redes para pods não funciona para clusters ativados para rede de pilha dupla.
• A VPC compartilhada é compatível apenas com a versão 1.28 ou mais recente do GKE.
• O CIDR de vários pods não está disponível para clusters com várias redes ativadas.
• As redes de pod em um único cluster do GKE não podem ter intervalos CIDR sobrepostos.
• Ao ativar o suporte a várias redes para pods, não é possível adicionar ou remover interfaces de redes de nós ou redes de pods depois de criar um pool de nós. Para alterar essas configurações, recrie o pool de nós.
• Por padrão, o acesso à Internet não está disponível em interfaces adicionais de redes de pod dentro do pod. No entanto, é possível ativá-lo manualmente usando o Cloud NAT.
• Não é possível alterar o gateway padrão dentro de um pod com várias interfaces por meio da API. O gateway padrão precisa estar conectado à rede do pod padrão.
• A rede de pod padrão precisa sempre ser incluída em pods, mesmo que você crie redes ou interfaces de pods adicionais.
• Não é possível configurar o recurso de várias redes quando o Managed Hubble estiver configurado.
• Para usar a VPC compartilhada, verifique se o cluster do GKE está executando a versão 1.28.4 ou mais recente.
• Para implantações de VPC compartilhada, todas as interfaces de rede (NICs) anexadas aos nós precisam pertencer ao mesmo projeto que o projeto host.

Limitações do kit de desenvolvimento de plano de dados e dispositivos (DPDK)

• Uma NIC de VM transmitida para um pod como uma NIC do tipo Device não está disponível para outros pods no mesmo nó.
• Os pods que usam o modo DPDK precisam ser executados no modo privilegiado para acessar dispositivos VFIO.
• No modo DPDK, um dispositivo é tratado como um recurso de nó e só é anexado ao primeiro contêiner (não init) no pod. Se você quiser dividir vários dispositivos DPDK entre contêineres no mesmo pod, execute esses contêineres em pods separados.

Limitações de escalonamento

O GKE fornece uma arquitetura de rede flexível que permite escalonar o cluster. É possível adicionar outras redes de nós e pods ao cluster. É possível escalonar o cluster da seguinte maneira:

• É possível adicionar até sete redes de nó extras a cada pool de nós do GKE. Esse é o mesmo limite de escala para VMs do Compute Engine.
• Cada pod precisa ter menos de sete redes adicionais anexadas.
• É possível configurar até 35 redes de pod nas oito redes de nós em um único pool de nós. É possível dividi-la em diferentes combinações, como:
  • 7 redes de nós com 5 redes de pod cada
  • 5 redes de nós com 7 redes de pod cada
  • 1 rede de nó com 30 redes de pod. O limite para intervalos secundários por sub-rede é 30.
• É possível configurar até 50 redes de pod por cluster.
• É possível configurar até 32 pods de várias redes por nó.
• É possível ter até 3.000 nós com várias interfaces.
• É possível ter até 100.000 interfaces adicionais em todos os pods.
• É possível configurar até 1.000 nós com redes do tipo Device.
• É possível configurar até quatro redes Device por nó.

Preços

Os recursos do Otimizador de funções de rede (NFO, na sigla em inglês), incluindo suporte a várias redes e de alto desempenho para pods, são compatíveis apenas com clusters que estão em projetos ativados com o GKE Enterprise. Para entender as cobranças aplicáveis à ativação do Google Kubernetes Engine (GKE) Enterprise, consulte Preços do GKE Enterprise.

Implantar pods de várias redes

Para implantar pods de várias redes, faça o seguinte:

1. Prepare uma VPC adicional, uma sub-rede (rede de nó) e intervalos secundários (rede de pods).
2. Crie um cluster do GKE em várias redes usando o comando da CLI do Google Cloud.
3. Crie um novo pool de nós do GKE conectado à rede de nós e à rede de pods adicionais usando o comando da CLI do Google Cloud.
4. Crie a rede do pod e faça referência aos intervalos secundários, de VPC e sub-rede corretos em objetos de várias redes usando a API Kubernetes.
5. Na configuração da carga de trabalho, faça referência ao objeto Network preparado do Kubernetes usando a API Kubernetes.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

• Ativar a API Google Kubernetes Engine.
Ativar a API Google Kubernetes Engine
• Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando gcloud components update.

• Ativar GKE Enterprise.

• Analise os requisitos e as limitações.

Preparar uma VPC adicional

O Google Cloud cria uma rede de pods padrão durante a criação do cluster associado ao pool de nós do GKE usado durante a criação inicial do cluster do GKE. A rede de pods padrão está disponível em todos os nós e pods do cluster. Para facilitar os recursos de várias redes no pool de nós, você precisa preparar VPCs atuais ou novas que ofereçam suporte a redes dos tipos Layer 3 e Device.

Para preparar outra VPC, considere os seguintes requisitos:

• Rede dos tipos Layer 3 e Netdevice:

  • Crie um intervalo secundário se você estiver usando redes do tipo Layer 3.
  • Verifique se o tamanho do CIDR para o intervalo secundário é grande o suficiente para atender ao número de nós no pool de nós e o número de pods por nó que você quer ter.
  • Semelhante à rede de pods padrão, as outras redes de pods usam superprovisionamento de endereço IP. O intervalo de IP secundário precisa ter o dobro de endereços IP por nó que o número de pods por nó.

• Requisitos de rede do tipo Device: crie uma sub-rede normal em uma VPC. Você não precisa de uma sub-rede secundária.

Para ativar os recursos de várias redes no pool de nós, prepare as VPCs com as quais você quer estabelecer conexões adicionais. É possível usar uma VPC atual ou Criar uma nova VPC especificamente para o pool de nós.

Crie uma rede VPC que ofereça suporte a um dispositivo do tipo Layer 3

Para criar uma rede VPC compatível com um dispositivo do tipo Layer 3, faça o seguinte:

• Verifique se o tamanho do CIDR para o intervalo secundário é grande o suficiente para atender ao número de nós no pool de nós e o número de pods por nó que você quer ter.

• Semelhante à rede de pods padrão, as outras redes de pods usam superprovisionamento de endereço IP. O intervalo de endereço IP secundário precisa ter o dobro de endereços IP por nó que o número de pods por nó.

gcloud compute networks subnets create SUBNET_NAME \
    --project=PROJECT_ID \
    --range=SUBNET_RANGE \
    --network=NETWORK_NAME \
    --region=REGION \
    --secondary-range=SECONDARY_RANGE_NAME=<SECONDARY_RANGE_RANGE>

Crie uma rede VPC compatível com dispositivos do tipo Netdevice ou DPDK

gcloud compute networks subnets create SUBNET_NAME \
    --project=PROJECT_ID \
    --range=SUBNET_RANGE \
    --network=NETWORK_NAME \
    --region=REGION \
    --secondary-range=SECONDARY_RANGE_NAME=<SECONDARY_RANGE_RANGE>

Criar um cluster do GKE com recursos de várias redes

gcloud container clusters create CLUSTER_NAME \
    --cluster-version=CLUSTER_VERSION \
    --enable-dataplane-v2 \
    --enable-ip-alias \
    --enable-multi-networking

A ativação de várias redes para um cluster adiciona as CustomResourceDefinitions (CRDs) necessárias ao servidor de API para esse cluster. Ele também implanta um controlador de rede, que é responsável por reconciliar e gerenciar objetos de várias redes. Não é possível modificar a configuração do cluster depois que ele é criado.

Criar um pool de nós do GKE conectado a outras VPCs

Crie um pool de nós que inclua nós conectados à rede de nós (VPC e sub-rede) e à rede de pods (intervalo secundário) criados em Criar rede de pods.

Para criar o novo pool de nós e associá-lo às redes adicionais no cluster do GKE:

gcloud container node-pools create POOL_NAME \
  --cluster=CLUSTER_NAME \
  --additional-node-network network=NETWORK_NAME,subnetwork=SUBNET_NAME \
  --additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=POD_IP_RANGE,max-pods-per-node=NUMBER_OF_PODS \
  --additional-node-network network=highperformance,subnetwork=subnet-highperf

Observações:

• Se várias redes de pods adicionais forem especificadas na mesma rede de nós, elas precisarão estar na mesma sub-rede.
• Não é possível referenciar o mesmo intervalo secundário de uma sub-rede várias vezes.

Exemplo O exemplo a seguir cria um pool de nós chamado pool-multi-net que anexa duas outras redes aos nós: datapalane (rede do tipo Layer 3) e alto desempenho (tipo de dispositivo de rede). Este exemplo pressupõe que você já criou um cluster do GKE chamado cluster-1:

gcloud container node-pools create pool-multi-net \
  --project my-project \
  --cluster cluster-1 \
  --zone us-central1-c \
  --additional-node-network network=dataplane,subnetwork=subnet-dp \
  --additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=sec-range-blue,max-pods-per-node=8 \
  --additional-node-network network=highperformance,subnetwork=subnet-highperf

Para especificar outras interfaces de rede de nós e pods, defina os parâmetros --additional-node-network e --additional-pod-network várias vezes, conforme mostrado no exemplo a seguir:

--additional-node-network network=dataplane,subnetwork=subnet-dp \
--additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=sec-range-blue,max-pods-per-node=8 \
--additional-pod-network subnetwork=subnet-dp,pod-ipv4-range=sec-range-green,max-pods-per-node=8 \
--additional-node-network network=managementdataplane,subnetwork=subnet-mp \
--additional-pod-network subnetwork=subnet-mp,pod-ipv4-range=sec-range-red,max-pods-per-node=4

Para especificar outras redes de pods diretamente na interface da VPC principal do pool de nós, conforme mostrado no exemplo a seguir:

--additional-pod-network subnetwork=subnet-def,pod-ipv4-range=sec-range-multinet,max-pods-per-node=8

Criar rede do pod

Defina as redes de pods que os pods acessarão definindo objetos do Kubernetes e vinculando-os aos recursos correspondentes do Compute Engine, como VPCs, sub-redes e intervalos secundários.

Para criar uma rede de pods, defina os objetos de CRD de rede no cluster.

Configurar a rede VPC Layer 3

Configurar rede DPDK

Configurar rede netdevice

Para a VPC netdevice, crie objetos Network e GKENetworkParamSet.

Como configurar rotas de rede

A configuração da rota de rede permite definir rotas personalizadas para uma rede específica, que são configuradas nos pods para direcionar o tráfego para a interface correspondente dentro do pod.

Consulte a Network preparada

Na configuração da carga de trabalho, faça referência ao objeto Network do Kubernetes preparado usando a API Kubernetes.

Conectar o pod a redes específicas

Para conectar pods às redes especificadas, inclua os nomes dos objetos Network como anotações dentro da configuração do pod. Certifique-se de incluir o default Network e as redes adicionais selecionadas nas anotações para estabelecer as conexões.

1. Salve o seguinte manifesto de amostra como sample-l3-pod.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     name: sample-l3-pod
     annotations:
       networking.gke.io/default-interface: 'eth0'
       networking.gke.io/interfaces: |
         [
           {"interfaceName":"eth0","network":"default"},
           {"interfaceName":"eth1","network":"l3-network"}
         ]
   spec:
     containers:
     - name: sample-l3-pod
       image: busybox
       command: ["sleep", "10m"]
       ports:
       - containerPort: 80
     restartPolicy: Always
   

   Esse manifesto cria um pod chamado sample-l3-pod com duas interfaces de rede, eth0 e eth1, associadas às redes default e blue-network, respectivamente.

2. Aplique o manifesto ao cluster:

   kubectl apply -f sample-l3-pod.yaml
   

Conectar o pod com várias redes

1. Salve o seguinte manifesto de amostra como sample-l3-netdevice-pod.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     name: sample-l3-netdevice-pod
     annotations:
       networking.gke.io/default-interface: 'eth0'
       networking.gke.io/interfaces: |
         [
           {"interfaceName":"eth0","network":"default"},
           {"interfaceName":"eth1","network":"l3-network"},
           {"interfaceName":"eth2","network":"netdevice-network"}
         ]
   spec:
     containers:
     - name: sample-l3-netdevice-pod
       image: busybox
       command: ["sleep", "10m"]
       ports:
       - containerPort: 80
     restartPolicy: Always
   

   Esse manifesto cria um pod chamado sample-l3-netdevice-pod com três interfaces de rede, eth0 e eth1 e eth2 associadas às redes default, l3-network e netdevice respectivamente.

2. Aplique o manifesto ao cluster:

   kubectl apply -f sample-l3-netdevice-pod.yaml
   

É possível usar a mesma anotação em qualquer ReplicaSet (Implantação ou DaemonSet) na seção de anotação do modelo.

Quando você cria um pod com uma especificação de várias redes, os componentes do plano de dados geram automaticamente a configuração de interfaces do pod e as salvam nas respostas automáticas NetworkInterface. Crie uma resposta automática NetworkInterface para cada Network não padrão especificado na especificação do pod.

Por exemplo, o manifesto a seguir mostra detalhes de um manifesto NetworkInterface:

apiVersion: v1
items:
-   apiVersion: networking.gke.io/v1
  kind: NetworkInterface
  metadata:
    labels:
      podName: samplepod
    name: "samplepod-c0b60cbe"
    namespace: default
  spec:
    networkName: "blue-network"
  status:
    gateway4: 172.16.1.1
    ipAddresses:
    -   172.16.1.2/32
    macAddress: 82:89:96:0b:92:54
    podName: samplepod

Esse manifesto inclui o nome da rede, o endereço do gateway, os endereços IP atribuídos, o endereço MAC e o nome do pod.

Exemplo de configuração de um pod com várias interfaces:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
      valid_lft forever preferred_lft forever
2: eth0@if9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc noqueue state UP group default
    link/ether 2a:92:4a:e5:da:35 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.60.45.4/24 brd 10.60.45.255 scope global eth0
      valid_lft forever preferred_lft forever
10: eth1@if11: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc noqueue state UP group default qlen 1000
    link/ether ba:f0:4d:eb:e8:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.16.1.2/32 scope global eth1
      valid_lft forever preferred_lft forever

Verificação

• Crie clusters com --enable-multi-networking somente se --enable-dataplane-v2 estiver ativado.
• Verifique se todos os pools de nós no cluster estão executando imagens do Container-Optimized OS no momento da criação do cluster e do pool de nós.
• Verifique se os pools de nós serão criados com --additional-node-network ou --additional-pod-network somente se a rede estiver ativada no cluster.
• Verifique se a mesma sub-rede não é especificada duas vezes como argumento --additional-node-network para um pool de nós.
• Verifique se o mesmo intervalo secundário não está especificado como o argumento --additional-pod-network para um pool de nós.
• Siga os limites de escala especificados para objetos de rede, considerando o número máximo de nós, pods e endereços IP permitidos.
• Verifique se há apenas um objeto GKENetworkParamSet que se refira a uma sub-rede e um intervalo secundários específicos.
• Verifique se cada objeto de rede se refere a um objeto GKENetworkParamSet diferente.
• Verifique se o objeto de rede, se for criado com uma sub-rede específica com a rede Device, não está sendo usado no mesmo nó com outra rede com um intervalo secundário. Só é possível validar isso no tempo de execução.
• Verifique se os vários intervalos secundários atribuídos aos pools de nós não têm endereços IP sobrepostos.

Resolver problemas de parâmetros de várias redes no GKE

Quando você cria um cluster e um pool de nós, o Google Cloud implementa determinadas verificações para garantir que apenas parâmetros válidos de várias redes sejam permitidos. Isso garante que a rede esteja configurada corretamente para o cluster.

Se você não conseguir criar cargas de trabalho de várias redes, verifique o status e os eventos do pod para mais informações:

kubectl describe pods samplepod

O resultado será assim:

Name:         samplepod
Namespace:    default
Status:       Running
IP:           192.168.6.130
IPs:
  IP:  192.168.6.130
...
Events:
  Type     Reason                  Age   From               Message
  ----     ------                  ----  ----               -------
  Normal   Scheduled               26m   default-scheduler  Successfully assigned default/samplepod to node-n1-04
  Warning  FailedCreatePodSandBox  26m   kubelet            Failed to create pod sandbox: rpc error: code = Unknown desc = failed to setup network for sandbox "e16c58a443ab70d671159509e36894b57493300ea21b6c24c14bdc412b0fdbe6": Unable to create endpoint: [PUT /endpoint/{id}][400] putEndpointIdInvalid  failed getting interface and network CR for pod "default/samplepod": failed creating interface CR default/samplepod-c0b60cbe: admission webhook "vnetworkinterface.networking.gke.io" denied the request: NetworkInterface.networking.gke.io "samplepod-c0b60cbe" is invalid: Spec.NetworkName: Internal error: failed to get the referenced network "sample-network": Network.networking.gke.io "sample-network" not found
...

Veja a seguir motivos gerais para a falha na criação de pods:

• Falha ao programar pod porque os requisitos de recursos de várias redes não foram atendidos
• Falha ao identificar redes especificadas
• Falha ao configurar e criar o objeto de interface de rede para o pod

Para inspecionar se o Google Cloud criou os objetos NetworkInterface no servidor de API, execute o seguinte comando:

kubectl get networkinterfaces.networking.gke.io -l podName=samplepod

Resolver problemas na criação de redes do Kubernetes

Depois de criar uma rede, os nós que precisam ter acesso à rede configurada são anotados com uma anotação de status de rede.

Para observar as anotações, execute o seguinte comando:

kubectl describe node NODE_NAME

Substitua NODE_NAME pelo nome do nó.

O resultado será assim:

networking.gke.io/network-status: [{"name":"default"},{"name":"dp-network"}]

A saída lista cada rede disponível no nó. Se o status da rede esperado não for visto no nó, faça o seguinte:

Verificar se o nó pode acessar a rede

Se a rede não estiver aparecendo na anotação de status da rede do nó:

1. Verifique se o nó faz parte de um pool configurado para várias redes.
2. Verifique as interfaces do nó para ver se ele tem uma interface para a rede que você está configurando.
3. Se um nó não tiver status de rede e tiver apenas uma interface de rede, ainda será necessário criar um pool de nós com várias redes ativadas.
4. Se o nó contiver a interface da rede que você está configurando, mas não for visto na anotação de status da rede, verifique os recursos Network e GKENetworkParamSet (GNP).

Verifique os recursos Network e GKENetworkParamSet

O status dos recursos Network e GKENetworkParamSet (GNP) inclui um campo de condições para relatar erros de configuração. Recomendamos verificar o GNP primeiro, porque ele não depende de outro recurso para ser válido.

Para inspecionar o campo de condições, execute o seguinte comando:

kubectl get gkenetworkparamsets GNP_NAME -o yaml

Substitua GNP_NAME pelo nome do recurso GKENetworkParamSet.

Quando a condição Ready for igual a "true", a configuração será válida e a saída será semelhante a esta:

apiVersion: networking.gke.io/v1
kind: GKENetworkParamSet
...
spec:
  podIPv4Ranges:
    rangeNames:
    -   sec-range-blue
  vpc: dataplane
  vpcSubnet: subnet-dp
status:
  conditions:
  -   lastTransitionTime: "2023-06-26T17:38:04Z"
    message: ""
    reason: GNPReady
    status: "True"
    type: Ready
  networkName: dp-network
  podCIDRs:
    cidrBlocks:
    -   172.16.1.0/24

Quando a condição Ready é igual a falso, a saída exibe o motivo e é semelhante a esta:

apiVersion: networking.gke.io/v1
kind: GKENetworkParamSet
...
spec:
  podIPv4Ranges:
    rangeNames:
    -   sec-range-blue
  vpc: dataplane
  vpcSubnet: subnet-nonexist
status:
  conditions:
  -   lastTransitionTime: "2023-06-26T17:37:57Z"
    message: 'subnet: subnet-nonexist not found in VPC: dataplane'
    reason: SubnetNotFound
    status: "False"
    type: Ready
  networkName: ""

Se você encontrar uma mensagem semelhante, verifique se seu NPS foi configurado corretamente. Se já estiver, verifique se a configuração de rede do Google Cloud está correta. Depois de atualizar a configuração de rede do Google Cloud, talvez seja necessário recriar o recurso GNP para acionar manualmente uma ressincronização. Isso evita a pesquisa infinita da API do Google Cloud.

Quando o PIB estiver pronto, verifique o recurso Network.

kubectl get networks NETWORK_NAME -o yaml

Substitua NETWORK_NAME pelo nome do recurso Network.

A saída de uma configuração válida é semelhante a esta:

apiVersion: networking.gke.io/v1
kind: Network
...
spec:
  parametersRef:
    group: networking.gke.io
    kind: GKENetworkParamSet
    name: dp-gnp
  type: L3
status:
  conditions:
  -   lastTransitionTime: "2023-06-07T19:31:42Z"
    message: ""
    reason: GNPParamsReady
    status: "True"
    type: ParamsReady
  -   lastTransitionTime: "2023-06-07T19:31:51Z"
    message: ""
    reason: NetworkReady
    status: "True"
    type: Ready

• reason: NetworkReady indica que o recurso de rede está configurado corretamente. reason: NetworkReady não implica que o recurso de rede está necessariamente disponível em um nó específico ou está sendo usado ativamente.
• Se houver um erro de configuração ou erro, o campo reason na condição especificará o motivo exato do problema. Nesses casos, ajuste a configuração de acordo.
• O GKE preencherá o campo ParamsReady se o campo parametersRef for definido como um recurso GKENetworkParamSet existente no cluster. Se você especificou um GKENetworkParamSet typeRef e a condição não estiver aparecendo, verifique se o nome, o tipo e o grupo correspondem ao recurso GNP existente no cluster.

A seguir

• Aprenda a criar clusters nativos de VPC.
• Codelabs
• Vídeo de demonstração