ecs固定ip_为Pod配置固定IP

为Pod配置固定IP是一个常见的需求，特别是在需要严格访问控制、服务注册、服务发现和日志审计等场景中，下面将详细探讨如何为Pod配置固定IP，包括使用场景、约束限制、配置步骤等方面的内容，并在最后提出与本文相关的两个问题及其解答。

使用场景

在云原生网络2.0环境下，每个Pod都会被分配用户VPC网络下的一张网卡，对于StatefulSet工作负载的Pod（容器网卡），支持固定IP的配置，这适用于需要针对具体IP地址进行访问控制、服务注册、服务发现和日志审计等场景，当业务需要访问云上数据库时，如果需要对数据库进行严格的访问控制，只允许特定业务的Pod访问，那么就可以为该业务的Pod配置固定IP，并设置云上数据库的安全组，只允许该业务的容器IP访问。

约束限制

集群版本限制：仅支持特定版本的CCE Turbo集群配置Pod固定IP，例如v1.19集群需要v1.19.16r6及以上版本，v1.21集群需要v1.21.9r0及以上版本，以此类推。

Pod类型限制：目前只支持StatefulSet类型的Pod或无ownerReferences的Pod固定IP，暂不支持Deployment、DaemonSet等其他类型的工作负载配置Pod固定IP。

性能影响：对Pod的IP地址无明确要求的业务不建议配置固定IP，因为配置了固定IP的Pod，Pod重建的耗时会略微变长同时IP地址的利用率会下降。

节点限制：暂不支持CCE Turbo集群中BMS节点上的Pod配置固定IP，在BMS节点（使用弹性网卡）跟ECS节点（使用辅助弹性网卡）混合使用的CCE Turbo集群中，需要为Pod设置节点亲和性调度，以保证Pod不会调度到BMS节点，否则将导致固定IP无法保留。

配置步骤

通过控制台设置

通过控制台创建工作负载时，可以在创建工作负载页面的“高级配置 > 网络配置”中设置Pod固定IP，开启固定IP后，Pod每次重启都不会改变Pod IP，还可以设置回收时间间隔，即Pod删除后相关IP地址的保留时长，在此时间段内，原Pod IP地址无法被其他Pod使用。

通过kubectl命令行设置

可以通过对StatefulSet添加annotations来设置是否开启Pod固定IP功能，添加k8s.aliyun.com/ecifixedip: "true"表示启用固定IP地址，k8s.aliyun.com/ecifixedipretainhour: "24"表示固定IP地址空闲后的保留时长为24小时。

相关问题与解答

问题一：如何为Pod配置固定的公网IP（EIP）？

答：可以为StatefulSet工作负载或直接创建的Pod分配固定的公网IP（EIP），这需要特定版本的CCE Turbo集群支持，并且需要配合Pod自动创建EIP功能一起使用，在创建固定EIP的Pod时，填写EIP相关的annotation后，EIP会随Pod自动创建并绑定至该Pod，可以使用yangtse.io/staticeip: 'true'来指定Pod固定EIP。

问题二：为Pod配置固定IP有哪些潜在的风险和注意事项？

答：为Pod配置固定IP时，需要注意以下潜在风险和事项：

性能影响：配置了固定IP的Pod在重建时耗时会变长，且IP地址的利用率会下降。

兼容性限制：不是所有类型的工作负载都支持配置固定IP，目前主要支持StatefulSet类型的Pod或无ownerReferences的Pod。

节点限制：在某些集群中，如CCE Turbo集群，不支持在所有节点类型上配置Pod固定IP，例如不支持BMS节点和边缘节点上的Pod配置固定IP。

安全策略：配置固定IP的Pod可能会影响网络安全策略的实施，需要确保相应的安全措施得到适当的调整和管理。

为Pod配置固定IP是一个涉及多个方面的过程，需要根据具体的业务需求和集群环境来谨慎操作，理解使用场景、约束限制和配置步骤是成功实施此操作的关键，要注意潜在的风险和注意事项，以确保配置固定IP不仅满足业务需求，而且不会影响集群的整体性能和安全性。