VLAN

创建集群时，集群的工作程序节点会自动连接到 VLAN。 VLAN 会将一组工作程序节点和 pod 视为连接到同一物理连线那样进行配置，并为工作程序和 pod 之间的连接提供通道。

标准集群的 VLAN

在标准集群中，首次在某个专区中创建集群时，会自动在 IBM Cloud 基础架构帐户中供应该专区中的公用 VLAN 和专用 VLAN。 对于在该专区中创建的每个后续集群，必须指定要在该专区中使用的 VLAN 对。 可以复用为您创建的相同公用和专用 VLAN，因为多个集群可以共享 VLAN。 可以将工作程序节点连接到公用 VLAN 和专用 VLAN，也可以仅连接到专用 VLAN。 如果要将工作程序节点仅连接到专用 VLAN，那么可以在集群创建期间使用现有专用 VLAN 的标识，或者 创建专用 VLAN 并使用其标识。

要查看在帐户的每个专区中供应的 VLAN，请运行 ibmcloud ks vlan ls --zone <zone>. 要查看供应了一个集群的 VLAN，请运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources 并查找 子网 VLAN 部分。

IBM Cloud 基础架构管理在专区中创建第一个集群时自动供应的 VLAN。 如果使 VLAN 变为未使用（例如，从 VLAN 中除去所有工作程序节点），那么 IBM Cloud 基础架构将回收此 VLAN。 此后，如果需要新 VLAN，请联系 IBM Cloud 支持。

我日后可以更改 VLAN 决策吗？

您可以通过修改集群中的工作程序池来更改 VLAN 设置。 有关更多信息，请参阅更改工作程序节点 VLAN 连接。

子网和 IP 地址

除了工作程序节点和 pod 外，还会将子网自动供应到 VLAN。 子网通过为集群组件分配 IP 地址来提供与这些组件的网络连接。

以下子网在默认的公共和专用虚拟局域网中自动配置。

查找帐户中供应的子网

要查看在帐户的所有资源组中供应的所有子网，请运行 ibmcloud ks subnets --provider classic。 要查看绑定到一个集群的便携式公共子网和便携式专用子网，您可以运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources 并查看子网VLAN部分。

在 IBM Cloud Kubernetes Service 中，VLAN 限制为 40 个子网。 如果达到此限制，请首先检查以了解是否可以在 VLAN 中复用子网以创建新集群。 如果需要新的 VLAN，请通过联系 IBM Cloud 支持进行订购。 然后，创建集群以使用这一新的 VLAN。

我的工作节点的IP地址会改变吗？

工作程序节点分配有集群使用的公用或专用 VLAN 上的 IP 地址。 供应工作程序节点后，工作程序节点 IP 地址会在 reboot 和 update 操作中持续使用，但会在 replace 操作后更改。 此外，工作程序节点的专用 IP 地址在大多数 kubectl 命令中用于表示工作程序节点身份。 如果更改了工作程序池使用的 VLAN，那么该池中供应的新工作程序节点会将新的 VLAN 用于其 IP 地址。 现有工作节点IP地址不会改变，但您可以选择删除使用旧VLAN的工作节点。

能否为集群中的 pod 和服务指定子网?

如果计划通过 IBM Cloud Direct Link 或 VPN 服务将集群连接到本地网络，那么可以通过指定用于为 pod 提供专用 IP 地址的定制子网 CIDR 以及用于为服务提供专用 IP 地址的定制子网 CIDR 来避免子网冲突。

要在集群创建期间指定定制 pod 和服务子网，请使用 ibmcloud ks cluster create CLI 命令中的 --pod-subnet 和 --service-subnet 选项。

网络分段

网络分段描述了用于将网络划分为多个子网的方法。 在一个子网络中运行的应用程序无法查看或访问另一个子网络中的应用程序。 有关网络分段选项及其如何与 VLAN 相关的更多信息，请参阅此集群安全性主题。

但是，在多种情况下，必须允许集群中的组件在多个专用 VLAN 中进行通信。 例如，如果您想创建一个多区域集群，或者您有多个VLAN用于一个集群，或者您有多个子网位于同一个VLAN上，那么同一VLAN或不同VLAN上不同子网的工作节点将无法自动通信。 您必须为 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF) 或 VLAN 生成。

虚拟路由和转发 (VRF)

VRF使您的基础设施帐户中的所有VLAN和子网能够相互通信。 此外，您的员工和师傅需要通过VRF的私有云服务终端进行沟通。 要启用 VRF，请参阅 启用 VRF。 要检查是否已启用 VRF，请使用 ibmcloud account show 命令。 请注意，VRF 会使帐户的 VLAN 生成选项失效，因为所有 VLAN 都能够进行通信，除非您配置网关设备来管理流量。

VLAN 生成

如果无法或不想启用 VRF，请 启用 VLAN 生成。 要执行此操作，您需要有网络 > 管理网络 VLAN 生成基础架构许可权，也可以请求帐户所有者来启用 VLAN 生成。 要检查VLAN跨越是否已启用，请使用 ibmcloud ks vlan spanning get --region <region> 命令。 请注意，如果您选择启用VLAN跨越而不是VRF，则无法启用私有云服务终端节点。

VRF或VLAN跨越如何影响网络分段？

启用 VRF 或 VLAN 生成后，任何连接到同一 IBM Cloud 帐户中的任何专用 VLAN 的系统都可以与工作程序进行通信。 您可以通过应用 Calico 专用网络策略 来将集群与专用网络上的其他系统隔离。IBM Cloud Kubernetes Service 还与所有 IBM Cloud 基础架构防火墙产品兼容。 可以使用定制网络策略来设置防火墙（例如，Virtual Router Appliance），以便为标准集群提供专用网络安全性，检测网络侵入并进行补救。

查看可用的可移植公用 IP 地址

要列出集群中所有可用的IP地址，包括已使用的和可用的，可以运行以下命令。

kubectl get cm ibm-cloud-provider-vlan-ip-config -n kube-system -o yaml

要仅列出可用于创建公共 NLB 或更多公共 ALB 的可移植公共 IP 地址，可以使用以下步骤：

准备工作

• 确保您拥有 default 命名空间 中的Writer 或 Manager IBM Cloud IAM服务访问角色。
• 登录您的账户。 如果适用，请将相应的资源组设定为目标。 设置集群的上下文。

列出可用的便携式公共IP地址，

1. 创建名为 myservice.yaml 的 Kubernetes 服务配置文件，并使用哑元 NLB IP 地址定义类型为 LoadBalancer 的服务。 以下示例使用 IP 地址 1.1.1.1 作为 NLB IP 地址。 将 <zone> 替换为您要检查可用IP的区域。

   apiVersion: v1
   kind: Service
   metadata:
     labels:
       run: myservice
     name: myservice
     namespace: default
     annotations:
       service.kubernetes.io/ibm-load-balancer-cloud-provider-zone: "<zone>"
   spec:
     ports:
     - port: 80
       protocol: TCP
       targetPort: 80
     selector:
       run: myservice
     sessionAffinity: None
     type: LoadBalancer
     loadBalancerIP: 1.1.1.1
   

2. 在集群中创建服务。

   kubectl apply -f myservice.yaml
   

3. 检查服务。

   kubectl describe service myservice
   

   创建此服务失败，因为 Kubernetes 主服务器在 Kubernetes ConfigMap 中找不到指定的NLB IP地址。 运行此命令时，可能会看到错误消息以及该集群的可用公共 IP 地址列表。

   Error on cloud load balancer a8bfa26552e8511e7bee4324285f6a4a for service default/myservice with UID 8bfa2655-2e85-11e7-bee4-324285f6a4af: Requested cloud provider IP 1.1.1.1 is not available. The following cloud provider IP addresses are available: <list_of_IP_addresses>
   

释放使用的 IP 地址

可以通过删除正在使用可移植 IP 地址的网络负载均衡器 (NLB) 服务或禁用正在使用可移植 IP 地址的 Ingress 应用程序负载均衡器 (ALB)，释放已用可移植 IP 地址。

准备工作

• 确保您拥有 default 命名空间 中的Writer 或 Manager IBM Cloud IAM服务访问角色。
• 登录您的账户。 如果适用，请将相应的资源组设定为目标。 设置集群的上下文。

要删除NLB或禁用ALB，

1. 列出集群中的可用服务。

   kubectl get services | grep LoadBalancer
   

2. 除去使用公共或专用 IP 地址的 LoadBalancer 服务或禁用使用该 IP 地址的 ALB。
   • 删除 NLB：

     kubectl delete service <service_name>
     

   • 禁用 ALB：

     ibmcloud ks ingress alb disable --alb <ALB_ID> -c <cluster_name_or_ID>
     

通过订购更多子网来添加可移植 IP

通过在 IBM Cloud 基础架构帐户中创建新子网，并使其可用于指定的集群，可以获取用于 NLB 服务的更多可移植 IP。

可移植公共 IP 地址按月收费。 如果在供应子网后除去可移植公共 IP 地址，那么即使只使用了很短的时间，您也仍然必须支付一个月的费用。

准备工作

• 确保您拥有集群的 “操作员” 或 “管理员” IAM平台访问权限。
• 登录您的账户。 如果适用，请将相应的资源组设定为目标。 设置集群的上下文。

要订购子网，

1. 供应新子网。

   ibmcloud ks cluster subnet create --cluster <cluster_name_or_id> --size <subnet_size> --vlan <VLAN_ID>
   

   子网参数

   参数	描述
   <cluster_name_or_id>	将 <cluster_name_or_id> 替换为集群的名称或ID。
   <subnet_size>	请将 <subnet_size> 替换为您要在便携式子网中创建的IP地址数量。 接受的值为 8、16、32 或 64。 请注意，当您为子网添加可移动 IP 地址时，三个 IP 地址用于建立集群内部网络。 您不能将这三个IP地址用于Ingress应用程序负载均衡器（ALB）或创建网络负载均衡器（NLB）服务。 例如，如果请求 8 个可移植公共 IP 地址，那么可以使用其中 5 个地址向公众公开应用程序。
   <VLAN_ID>	将 <VLAN_ID> 替换为您要为其分配可移动公共或专用IP地址的公共或专用VLAN的ID。 必须选择现有工作程序节点连接到的公用或专用 VLAN。 要查看您的工作节点所连接的公共或专用虚拟局域网，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources，并在输出中查找子网虚拟局域网部分。 子网会在 VLAN 所在的区域中进行供应。

2. 验证子网已成功创建并添加到集群。 子网 CIDR 在 Subnet VLANs 部分中列出。

   ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources
   

   在此示例输出中，第二个子网被添加到 2234945 公共VLAN中。

   Subnet VLANs
   VLAN ID   Subnet CIDR          Public   User-managed
   2234947   10.xxx.xx.xxx/29     false    false
   2234945   169.xx.xxx.xxx/29    true     false
   2234945   169.xx.xxx.xxx/29    true     false
   

3. 重要信息：要启用同一 VLAN 的不同子网上的工作程序之间的通信，必须启用同一 VLAN 上子网之间的路由。

通过向集群添加现有子网来添加可移植 IP

通过使 IBM Cloud 基础架构帐户中的现有子网可用于集群，可以获取用于 NLB 服务的更多可移植 IP。

准备工作

• 确保您拥有集群的 “操作员” 或 “管理员” IAM平台访问权限。
• 登录您的账户。 如果适用，请将相应的资源组设定为目标。 设置集群的上下文。

为了使子网对您的集群可用，

1. 查看要分配可移植公共或专用 IP 地址的公用或专用 VLAN 的标识。 必须选择现有工作程序节点连接到的公用或专用 VLAN。

   ibmcloud ks cluster get --cluster <cluster_name_or_id> --show-resources
   

   在输出的 Subnet VLANs 部分中，查找 VLAN ID。

   Subnet VLANs
   VLAN ID   Subnet CIDR          Public   User-managed
   2234947   10.xxx.xx.xxx/29     false    false
   2234945   169.xx.xxx.xxx/29    true     false
   

2. 获取要使用的子网的标识。 确保子网位于上一步中找到的其中一个 VLAN 标识上，并且该子网尚未绑定到其他集群。

   ibmcloud ks subnets --provider classic
   

   在此示例输出中，子网ID为 1602829，位于VLAN ID 2234945 上。

   GETting subnet list...
   OK
   ID        Network             Gateway          VLAN ID   Type      Bound Cluster
   1550165   10.xxx.xx.xxx/26    10.xxx.xx.xxx    2234947   private
   1602829   169.xx.xxx.xxx/28   169.xx.xxx.xxx   2234945   public
   

3. 使子网可用于集群。

   ibmcloud ks cluster subnet add --cluster <cluster_name_or_id> --subnet-id <subnet_ID>
   

4. 验证子网已成功创建并添加到集群。 子网 CIDR 在 Subnet VLANs 部分中列出。

   ibmcloud ks cluster get --cluster <cluster_name> --show-resources
   

   在此示例输出中，第二个子网被添加到 2234945 公共VLAN中。

   Subnet VLANs
   VLAN ID   Subnet CIDR          Public   User-managed
   2234947   10.xxx.xx.xxx/29     false    false
   2234945   169.xx.xxx.xxx/29    true     false
   2234945   169.xx.xxx.xxx/29    true     false
   

5. 重要信息：要启用同一 VLAN 的不同子网上的工作程序之间的通信，必须启用同一 VLAN 上子网之间的路由。

启用同一 VLAN 上主子网之间的路由

创建集群时，会在公用和专用 VLAN 上供应主公用和专用子网。 主公用子网以 /28 结尾，提供 14 个公共 IP 用于工作程序节点。 主专用子网以 /26 结尾，提供的专用 IP 最多可用于 62 个工作程序节点。

如果在同一 VLAN 上的同一位置中具有一个大型集群或具有多个较小的集群，那么用于工作程序节点的 IP 可能会超过初始 14 个公共 IP 和 62 个专用 IP。 公用或专用子网达到工作程序节点的限制时，系统将订购同一 VLAN 中的另一个主子网。

要确保同一 VLAN 上的这些主子网中的工作程序可以进行通信，必须开启 VLAN 生成。 有关指示信息，请参阅启用或禁用 VLAN 生成。

要检查VLAN跨越是否已启用，请使用 ibmcloud ks vlan spanning get --region <region> 命令。

管理网关设备的子网路由

创建集群时，会在集群连接到的 VLAN 上订购可移植公用子网和可移植专用子网。 这些子网提供用于 Ingress 应用程序负载均衡器 (ALB) 和网络负载均衡器 (NLB) 服务的 IP 地址。

但是，如果您有现有路由器设备（例如，Virtual Router Appliance (VRA)），那么不会在路由器上配置集群连接到的这些 VLAN 中新添加的可移植子网。 要使用 NLB 或 Ingress ALB，必须通过对 IBM Cloud 基础架构帐户启用 虚拟路由器功能(VRF)，确保网络设备可以在同一 VLAN 上的不同子网之间进行路由。 要启用 VRF，请参阅 启用 VRF。 如果无法或不想启用 VRF，请启用 VLAN 生成。