網絡架構

ACK One開啟服務網格后的網絡架構如下圖所示。其中ACK Cluster 1、ACK Cluster 2和ACK Cluster 3三個集群分布在兩個地域和兩個VPC下。系統管理員通過訪問艦隊Fleet實例的API Server端點，實現對多個集群的管理以及流量治理的能力，無需頻繁的切換ACK One Fleet實例和服務網格的KubeConfig，真正實現了使用一個KubeConfig完成多個集群的應用管理和流量治理。

• 圖中①表示Fleet實例所在VPC可以訪問關聯集群的API Server端點。

• 圖中②表示關聯集群所在VPC可以訪問Fleet實例的API Server端點。

• 圖中③表示服務網格所在的VPC可以訪問關聯集群的API Server端點。

• 圖中④表示您可以通過ACK One Fleet實例的KubeConfig完成對于服務網格的流量治理相關的操作。

網絡約束

對于跨地域或跨VPC的場景，需要使用云企業網CEN（Cloud Enterprise Network）將兩個VPC網絡打通，保證API Server端點可以互相訪問；或者開啟Fleet實例和關聯集群的公網端點，使用公網互相連接。關于CEN更多信息，請參見云企業網。

為了更好地使用多集群的應用管理以及流量治理，對應關聯集群之間的網絡規劃需滿足如下約束條件：

1. 同一個VPC下的關聯集群的Pod CIDR不能相互重疊，且不能與VPC CIDR重疊。

2. 關聯集群的vSwitch CIDR不能相互重疊，且不能與Pod CIDR、Service CIDR重疊。

3. 多VPC場景下，VPC CIDR不能相互重疊，且需要同時滿足約束條件1。

4. 關聯集群Service CIDR不能相互重疊，且不能與VPC CIDR重疊。