联邦集群网络规划

分布式云原生平台（DCP）中的联邦集群主控实例可以实现跨地域管理多个成员集群，本文为您介绍主控实例与成员集群之间的地域、私有网络、子网规划和注意事项。

关键组件

分布式云原生平台的公有云产品架构中，联邦集群的网络规划主要涉及以下 2 个关键组件：

• DCP Fed API Server：主控实例中提供用户入口服务的组件，支持公网或私网访问入口。用户可通过该组件访问 DCP 主控实例，进行集群管理、联邦集群管理、资源分发等操作。
• DCP Fed Controller：主控实例控制组件，负责管理成员集群，包括：分发资源、状态同步等。

网络架构

多集群管理网络架构

分布式云原生平台多集群管理的典型网络架构如下图所示， 其中：

• 主控实例托管在地域 1 的 VPC A 中。
• VKE Cluster 1、VKE Cluster 2 和 VKE Cluster 3 三个集群分布在两个不同地域和两个不同 VPC。用户通过访问主控实例的 API Server 端点，实现对多个成员集群集群的管理。

管理员访问主控实例

DCP 主控实例中的 DCP Fed API Server 地址默认通过公网或私网负载均衡对外暴露，创建主控实例时会配置一个负载均衡，管理员可以通过该负载均衡访问 DCP 主控实例。

如上图中 DCP 主控实例的 Fed API Server LB 所示。

• 如果您需要从公网访问主控实例，需要针对主控实例开启 API Server 公网访问功能，将自动创建 EIP 并关联联邦主控实例 Fed API Server 负载均衡，即可通过公网连接管理主控实例。
• 如果您需要从私网访问主控实例，仅需要配置该负载均衡为可访问的私网地址即可。

主控实例访问成员集群

DCP 主控实例通过 DCP Fed Controller 组件管理成员集群，包括：分发资源创建指令、状态同步等。因此，网络规划时需要保证 DCP Fed Controller 组件与成员集群的 API Server 的连通性。

• 当主控实例和成员集群在相同地域相同 VPC 时，主控实例中的 DCP Fed Controller 组件可通过私网直接访问成员集群 API Server 地址。例如：上图中地域 1 中的主控实例访问相同地域下的成员集群 VKE Cluster 1 和 VKE Cluster 2。

• 当主控实例和成员集群在不同地域不同 VPC 时，主控实例中的 DCP Fed Controller 组件无法直接访问成员集群的 API Server 地址。此时，需要通过云企业网或公网连接。例如：上图中地域 1 中的主控实例访问地域 2 中的成员集群 VKE Cluster 3。

  • 通过云企业网将不同地域中的两个 VPC 打通，即可保证主控实例中的 DCP Fed Controller 组件通过私网直接访问成员集群 API Server 地址。
  • 通过公网连通主控实例和成员集群场景，主控实例需要开启公网访问功能；成员集群需要开启 API Server 公网访问功能，通过公网 IP 地址对公网暴露 API Server。

• 当主控实例和成员集群在相同地域不同 VPC 时，网络连接方法与不同地域不同 VPC 场景一样，需要通过云企业网或公网连接。

地域规划

由于 DCP 产品主控实例可以跨地域管理多个关联集群，提供统一管理入口。因此，选择主控实例的地理位置时，需要充分考虑跨地域专线成本和公网 IP 成本，建议根据成员集群数量及其所在地域就近选择。

例如：DCP 产品需要管理 10 个成员集群，其中有 8 个部署在地域 1 中。此种情况下，建议将 DCP 主控实例也部署在地域 1 中。

网络规划

由于 DCP 主控实例对成员集群的统一管理，建立在 DCP Fed Controller 组件和成员集群 API Server 网络连通性的基础之上。因此，在进行联邦集群网络规划时，需要主要关注跨地域地域之间的互通问题，包括：

• 私网连接场景，不同 VPC 之间是否能够通过云企业网打通。
• 公网连接场景，成员集群的 API Server 地址是否能够向公网开放。