Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Activer le transfert de structure IP et la traduction d’adresses réseau source (NAT) de structure

Ce sujet vous montre comment activer le transfert de structure IP et le NAT source de structure dans les environnements orchestrés par Kubernetes à l’aide de La version 22.1 ou ultérieure de Contrail® Networking™ cloud-Native de Juniper Networks.

Cloud-Native Contrail Networking prend en charge le transfert de structure IP et le NAT source de structure. Le transfert de structure IP fournit aux clusters s’exécutant sur le réseau de superposition un chemin vers le réseau sous-jacent via le réseau virtuel externe. Le NAT source de structure permet à un équipement de passerelle dans une structure de traduire l’adresse IP source du trafic de plan de données sortant de la structure en une adresse IP côté public.

Vous pouvez utiliser le transfert de structure IP et la traduction d’adresses réseau source (NAT) dans les environnements de mise en réseau cloud pour fournir un accès au réseau sous-jacent. Cet accès réseau est fourni sans ajouter de complexité importante au réseau, comme les autres options réseau sous-jacentes, telles que les topologies BGP complexes ou les configurations de pare-feu.

L’accès réseau sous-jacent fourni par le transfert de structure IP ou la traduction d’adresses réseau source de structure permet aux ressources des pods d’accéder directement à Internet ou d’extraire des artefacts externes du réseau sous-jacent.

Présentation : Transfert de structure IP

Le transfert de structure IP est pris en charge dans les environnements Kubernetes à l’aide de Cloud-Native Contrail à partir de la version 22.1.

Vous activez le transfert de structure IP au sein des réseaux virtuels qui ont accès au réseau externe. Ces réseaux virtuels nécessitent un accès direct au réseau sous-jacent.

Un réseau virtuel ayant accès au réseau externe est nommé par default-externalnetwork défaut. Si vous le souhaitez, vous pouvez créer un nom de réseau externe défini par l’utilisateur. Lorsque vous activez le transfert de structure IP, le chemin vers le réseau sous-jacent est directement disponible pour les clusters s’exécutant sur le réseau de superposition via ce réseau virtuel externe. Cette connexion directe entre le réseau de superposition et le réseau sous-jacent permet aux hôtes du réseau de superposition d’accéder au réseau sous-jacent. Étant donné que le transfert de structure IP permet à un réseau virtuel de couvrir à la fois le réseau de superposition et le réseau sous-jacent, les paquets de données traversant les deux réseaux ne sont pas encapsulés ni décapsulés. Le traitement des paquets est donc plus efficace.

Le transfert de structure IP est également extrêmement utile pour équilibrer la charge du trafic réseau. Un service LoadBalancer détecte automatiquement tout réseau virtuel externe ayant activé le transfert de structure IP lors de l’équilibrage de charge du trafic réseau externe.

Présentation : Fabric Source NAT

Le NAT source de structure est pris en charge dans les environnements Kubernetes à l’aide de Contrail Networking natif du cloud à partir de la version 22.1. La règle NAT source de structure permet au trafic provenant d’un nœud de plan de données d’un environnement Kubernetes d’accéder directement à Internet sans passer par un pare-feu NAT distinct. Vous pouvez également utiliser le NAT source pour extraire des artefacts externes dans des pods si nécessaire.

Le trafic provenant de nœuds du plan de données destinés à Internet doit traverser un équipement de passerelle. Cet équipement de passerelle est un équipement membre de la structure qui dispose également d’au moins une interface connectée au réseau public. Lorsque la règle NAT source de la structure est activée, l’équipement de passerelle traduit l’adresse IP source du paquet d’origine du nœud de plan de données en sa propre adresse IP côté public. Cette traduction d’adresse permet au trafic provenant du nœud du plan de données d’accéder à Internet.

La traduction d’adresse IP effectuée par le NAT source met également à jour le port source du paquet. Plusieurs nœuds du plan de données peuvent atteindre le réseau public via une seule adresse IP publique de passerelle à l’aide du NAT source de structure.

Vous avez besoin d’un NAT source de structure pour traduire les adresses IP du trafic sortant de la structure vers Internet. Vous n’utilisez pas la fonction NAT pour traduire le trafic entrant avec cette fonctionnalité.

Exemple : configurer la règle NAT source de la structure

La règle NAT source de la structure est désactivée par défaut dans les réseaux virtuels créés par l’utilisateur.

Vous pouvez activer manuellement la règle NAT source de la structure sur n’importe quel réseau virtuel individuel en définissant la fabricsource NAT: variable de l’objet VirtualNetwork sur true. Vous pouvez désactiver la règle NAT source de la structure en définissant cette valeur sur false.

Voici un exemple d’objet réseau virtuel qui a activé la règle NAT source de la structure :

Vous pouvez également configurer votre environnement pour activer la traduction d’adresses réseau source (NAT) source dans n’importe quel réseau virtuel créé par l’utilisateur lors de la création du réseau virtuel. Si vous souhaitez activer la règle NAT source de structure dans n’importe quel réseau virtuel créé par l’utilisateur lors de sa création, définissez la enablesource NAT variable de la ApiServer ressource sur true lors du déploiement initial de votre environnement.

Vous devez définir cette configuration dans la ressource lors du ApiServer déploiement initial. Vous ne pouvez pas modifier ce paramètre dans votre environnement après avoir appliqué le fichier YAML de déploiement. Si vous souhaitez modifier le paramètre NAT source de la structure pour un réseau virtuel individuel après le déploiement initial, vous devez modifier manuellement la configuration de ce réseau.

Voici une configuration de fichier YAML représentative :

Le NAT source de structure est activé dans tout réseau virtuel créé par l’utilisateur dès sa création lorsque la enablesource NAT variable est vraie. Vous pouvez désactiver la règle NAT source de la structure lorsque des réseaux virtuels créés par l’utilisateur sont créés en définissant la enablesource NAT variable sur false. La règle NAT source de la structure est désactivée par défaut.

Le NAT source de structure sélectionne automatiquement les adresses IP à traduire. Dans la plupart des cas d’utilisation de Contrail Networking, vous n’avez pas besoin de configurer des pools d’adresses pour la traduction d’adresses réseau source de structure. Cependant, les pools d’adresses sont configurables à l’aide de la portTranslationPools: hiérarchie au sein de la GlobalVrouterConfig ressource.

Exemple : configurer des réseaux externes avec le transfert de structure IP

Le transfert de structure IP est désactivé par défaut.

Vous pouvez activer le transfert de structure IP dans n’importe quel réseau virtuel en définissant la fabricForwarding: variable dans la v4SubnetReference: ou v6SubnetReference: les hiérarchies sur la valeur true.

Voici un exemple de transfert de structure IP dans un réseau virtuel externe qui accède à Internet via une passerelle IPv4 :

Vous pouvez également activer le transfert de structure IP tout en créant le réseau virtuel externe ayant un chemin vers Internet.

Vous configurez le chemin d’accès d’un réseau virtuel à un réseau externe via les Kubemanager ressources des environnements utilisant Contrail Networking.

Vous activez l’accès externe d’un réseau virtuel en le connectant à une adresse IP de passerelle IPv4 ou IPv6. Vous activez le transfert de structure IP pour le trafic externe du réseau virtuel à l’aide de la même Kubemanager ressource.

Note:

Vous devez configurer les sous-réseaux du réseau externe et ce paramètre de transfert de structure IP lors du déploiement initial de Cloud-Native Contrail. Vous ne pouvez pas configurer ces paramètres après l’application du protocole YAML de déploiement initial.

L’exemple suivant illustre un fichier YAML représentatif utilisé pour configurer une Kubemanager ressource créant un réseau virtuel avec un accès réseau externe. Dans cet exemple, le réseau virtuel s’exécute avec le transfert de structure IP. Vous devez valider ce fichier YAML lors du déploiement initial.

Vous spécifiez le sous-réseau IPv4 ou le sous-réseau IPv6 du réseau externe à l’aide de la ou externalNetworkV6Subnet: de la externalNetworkV4Subnet variable dans ce fichier YAML. L’adresse de sous-réseau est une adresse IP côté public accessible depuis Internet via l’équipement de passerelle. Lorsque vous configurez une ressource Kubemanager à l’aide de ce fichier YAML, un nouveau réseau virtuel vers le réseau externe spécifié est créé. Ce réseau virtuel est nommé default-externalnetwork dans l’espace de noms par défaut de Contrail Networking.

Le transfert de structure IP s’exécute sur le réseau virtuel avec un accès réseau externe lorsque la ipFabricFowardingExtSvc variable est vraie. Vous pouvez désactiver le transfert de structure IP pour le sous-réseau externe en définissant la ipFabricFowardingExtSvc variable sur false.