在創(chuàng)建集群時(shí)安裝Terway網(wǎng)絡(luò)插件

1. 登錄容器服務(wù)管理控制臺(tái)，在左側(cè)導(dǎo)航欄選擇集群。

2. 在集群列表頁面，單擊頁面右上角的創(chuàng)建集群。

3. 單擊ACK Edge 集群頁簽，為Terway網(wǎng)絡(luò)插件配置集群網(wǎng)絡(luò)的關(guān)鍵參數(shù)。

   配置項(xiàng)	說明
   專有網(wǎng)絡(luò)	集群使用的VPC。
   網(wǎng)絡(luò)插件	選擇Terway Edge。
   交換機(jī)	集群中節(jié)點(diǎn)所使用的虛擬交換機(jī)網(wǎng)段。建議選擇來自3個(gè)及以上不同可用區(qū)的交換機(jī)，以達(dá)到更高集群可用性等級(jí)。
   Pod 交換機(jī)	云端Pod所使用的虛擬交換機(jī)網(wǎng)段，可以與節(jié)點(diǎn)虛擬交換機(jī)網(wǎng)段重合。
   Service CIDR	Service所使用的網(wǎng)段，不能與節(jié)點(diǎn)及Pod的網(wǎng)段重合。
   Pod網(wǎng)絡(luò)CIDR	邊緣側(cè)可供分配的容器網(wǎng)絡(luò)IP段，請參見Kubernetes集群網(wǎng)絡(luò)規(guī)劃。
   節(jié)點(diǎn) Pod 數(shù)量	邊緣節(jié)點(diǎn)上最大可支持創(chuàng)建的Pod數(shù)量。

專線模式下的網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理

如果您希望將IDC以專線的方式接入到ACK Edge集群中，在本地IDC和阿里云專有網(wǎng)絡(luò)VPC之間構(gòu)建安全、穩(wěn)定、高速的私網(wǎng)通信，以阿里云高速通道為例，您需要進(jìn)行以下網(wǎng)絡(luò)配置：

1. 以下圖為例，本地IDC主機(jī)網(wǎng)段為172.16.0.0/16，云端VPC網(wǎng)段為192.168.0.0/16，邊緣Pod網(wǎng)絡(luò)CIDR為10.0.0.0/8，由邊緣/本地IDC訪問中心云的路由稱為上行路由、由中心云訪問本地IDC/邊緣設(shè)備被稱之為下行路由。

2. 分別在本地IDC內(nèi)交換機(jī)、網(wǎng)關(guān)設(shè)備、邊界路由器以及專線網(wǎng)關(guān)或云企業(yè)網(wǎng)配置訪問阿里云VPC（192.168.0.0/16）的上行路由，上行請求可以到達(dá)位于VPC的ACK Edge管控面、ECS等產(chǎn)品。

3. 對(duì)應(yīng)也需配置下行路由，確保云端ACK Edge管控面、ECS、容器訪問IDC主機(jī)網(wǎng)段（172.16.0.0/16）和容器網(wǎng)段（10.0.0.0/8）的請求能夠到達(dá)本地IDC。

4. 專線配置需要根據(jù)具體場景進(jìn)行自定義，詳細(xì)描述及配置方式請參見高速通道。

云端使用Terway組件

Terway Edge網(wǎng)絡(luò)插件在云端節(jié)點(diǎn)池與ACK集群Pro版的Terway組件的工作模式一致，使用方法請參見Terway網(wǎng)絡(luò)插件。

邊緣使用Flannel組件

Terway Edge網(wǎng)絡(luò)插件在邊緣側(cè)采用Flannel網(wǎng)絡(luò)插件自研的Route模式。節(jié)點(diǎn)接入之后，ACK Edge集群控制面會(huì)自動(dòng)為節(jié)點(diǎn)分配一個(gè)Pod CIDR網(wǎng)段，這個(gè)節(jié)點(diǎn)上的Pod IP地址會(huì)從這個(gè)網(wǎng)段中分配，并且在宿主機(jī)路由表中配置好容器路由。

使用BGP宣告容器路由

當(dāng)兩臺(tái)節(jié)點(diǎn)上的容器進(jìn)行跨節(jié)點(diǎn)通信時(shí)，容器網(wǎng)絡(luò)數(shù)據(jù)包需要通過主機(jī)的網(wǎng)絡(luò)棧進(jìn)行轉(zhuǎn)發(fā)。

• 當(dāng)兩臺(tái)主機(jī)位于同一個(gè)局域網(wǎng)中，可以通過節(jié)點(diǎn)主機(jī)路由（Flannel會(huì)配置主機(jī)路由）找到目的主機(jī)地址，進(jìn)行容器網(wǎng)絡(luò)數(shù)據(jù)包的傳輸。

• 當(dāng)兩臺(tái)主機(jī)位于不同的局域網(wǎng)中，容器網(wǎng)絡(luò)數(shù)據(jù)包就會(huì)通過主機(jī)轉(zhuǎn)發(fā)到外部的網(wǎng)絡(luò)設(shè)備上，但由于網(wǎng)絡(luò)設(shè)備缺乏容器網(wǎng)段的路由配置，因此無法完成容器網(wǎng)絡(luò)數(shù)據(jù)包的傳輸。

Flannel宣告容器網(wǎng)段路由

為了將容器路由配置到外部的網(wǎng)絡(luò)設(shè)備上，F(xiàn)lannel的Route模式會(huì)啟動(dòng)一個(gè)BGP服務(wù)，與外部網(wǎng)絡(luò)設(shè)備構(gòu)建BGP會(huì)話，動(dòng)態(tài)將本局域網(wǎng)內(nèi)的容器網(wǎng)絡(luò)宣告給網(wǎng)絡(luò)設(shè)備。

如何配置BGP宣告容器路由

步驟1：配置集群內(nèi)BGP客戶端

1. 請將以下內(nèi)容復(fù)制到bgppeer.yaml文件中，并根據(jù)您的需求進(jìn)行自定義配置。

   apiVersion: network.openyurt.io/v1alpha1
   kind: BGPPeer
   metadata:
     name: peer
   spec:
     localSpeakers:
       - node-1
       - node-2
     localAsNumber: 65010
     peerIP: 172.16.0.1
     peerAsNumber: 65001
     nodeSelector: alibabacloud.com/nodepool-id=npxxx
     # 可選項(xiàng)
     authPassword:
       secretKeyRef:
         name: bgp-secret
         key: password
   ---
   #可選項(xiàng)
   apiVersion: v1
   kind: Secret
   metadata:
     name: bgp-secret
     namespace: kube-system
   type: Opaque
   data:
     password: bXlTZWNyZXRWYWx1ZQ==  # base64編碼的值。

   參數(shù)說明：

   參數(shù)	是否必填	說明
   metadata.name	是	BGPPeer的名稱。
   spec.localSpeakers	是	集群內(nèi)的BGP客戶端節(jié)點(diǎn)。會(huì)全量宣告本局域網(wǎng)的所有節(jié)點(diǎn)容器網(wǎng)段，建議選擇2個(gè)及以上節(jié)點(diǎn)。
   spec.localAsNumber	是	本BGPPeer的ASN，也是BGP客戶端所在的自治系統(tǒng)的編號(hào)。ASN在BGP協(xié)議中的自治系統(tǒng)唯一標(biāo)識(shí)符，一般一個(gè)局域網(wǎng)是一個(gè)自治系統(tǒng)，私有ASN的范圍為（64512，65535）。
   spec.peerIP	是	局域網(wǎng)網(wǎng)關(guān)/三層交換機(jī)設(shè)備地址，用于和集群內(nèi)BGP客戶端節(jié)點(diǎn)之間構(gòu)建BGP會(huì)話。
   spec.peerAsNumber	是	局域網(wǎng)網(wǎng)關(guān)/三層交換機(jī)設(shè)備的ASN。
   spec.nodeSelector	是	節(jié)點(diǎn)選擇器。用于選擇屬于本BGPPeer自治系統(tǒng)的節(jié)點(diǎn)。建議用節(jié)點(diǎn)池label選擇一個(gè)節(jié)點(diǎn)池的所有節(jié)點(diǎn)，如果所有邊緣節(jié)點(diǎn)都位于一個(gè)局域網(wǎng)，即一個(gè)自治系統(tǒng)，可以配置為all()。
   spec.authPassword	否	建立BGP會(huì)話的密碼。首先創(chuàng)建一個(gè)K8s資源Secret，要求必須在kube-system命名空間中，將這個(gè)Secret的Key記錄到本字段中，需要標(biāo)注Secret的Name，以及密碼的Key。

2. 執(zhí)行以下命令，創(chuàng)建BGPPeer。

   kubectl apply -f bgppeer.yaml

3. 執(zhí)行以下命令，查看BGPPeer應(yīng)用狀態(tài)。

   kubectl get bgppeer peer

   預(yù)期輸出：

   NAME   LOCALSPEAKERS         LOCALASNUMBER   PEERIP         PEERASNUMBER     AGE
   peer   ["node-1","node-2"]   65010           172.16.0.1     65001            10m

步驟2：配置外部網(wǎng)絡(luò)設(shè)備啟動(dòng)BGP服務(wù)

1. 根據(jù)您網(wǎng)絡(luò)設(shè)備的型號(hào)以及BGP服務(wù)的配置方式啟動(dòng)BGP服務(wù)。

2. 在網(wǎng)絡(luò)設(shè)備上，將步驟1中選擇的BGP節(jié)點(diǎn)配置為BGP鄰居，并且確保可以成功構(gòu)建BGP會(huì)話。

3. 將BGP獲取的容器路由添加到網(wǎng)絡(luò)設(shè)備的路由表中。