CentOS Overlay配置中的IP地址規劃

CentOS Overlay配置中的IP地址規劃指南

在CentOS環境中配置Overlay網絡（如Docker Overlay或Kubernetes CNI Overlay）時，IP地址規劃是確保網絡隔離、可擴展性和穩定性的核心環節。合理的IP規劃需兼顧當前需求與未來擴展，避免地址沖突并優化資源利用。

一、Overlay網絡IP地址規劃的核心要素

1. 子網選擇與劃分

• 子網大小：根據節點數量選擇合適的子網掩碼。例如，/24子網（256個地址）適合中小規模集群（如10-50個節點），/16子網（65536個地址）適合大規模集群；若需更多隔離，可使用/20（4096個地址）等中間掩碼。
• 層次化結構：采用“核心層-匯聚層-接入層”的層次化設計，如核心子網10.0.0.0/16下劃分匯聚子網10.0.1.0/24、10.0.2.0/24（對應不同機架或業務模塊），接入子網10.0.1.0/26（對應單個主機內的容器）。
• 避免重疊：確保Overlay子網與Underlay網絡（物理網絡）、其他虛擬網絡（如VMware虛擬網絡）無重疊，防止路由沖突。

2. 網關地址規劃

• 唯一性：每個Overlay網絡需分配唯一的網關地址，通常為子網的第一個或最后一個可用IP（如10.0.0.1或10.0.0.254）。
• 可達性：網關地址需指向Overlay網絡的虛擬交換機（如Docker的docker_gwbridge）或物理網關，確保容器與外部網絡（如互聯網、Underlay網絡）的通信。

3. 靜態與動態IP分配

• 靜態IP：適用于需要固定IP的服務（如數據庫、負載均衡器）。通過--ip參數手動指定，例如：
  docker run -d --name=my_db --network=my_overlay --ip=10.0.0.10 my_mysql_image
• 動態IP：適用于無狀態服務（如Web服務器、微服務），通過Overlay網絡的IP池自動分配。在Docker守護進程配置中定義default-address-pools，例如：

  {
    "default-address-pools": [
      {"base": "10.0.1.0/24", "size": 24}
    ]
  }
  

  此配置會從10.0.1.0/24子網中自動分配IP，size:24表示子網掩碼為255.255.255.0。

4. IP預留策略

• 特殊用途預留：為網關、DNS服務器、NTP服務器等預留固定IP（如10.0.0.1為網關，10.0.0.2為DNS）。
• 擴展預留：預留至少20%的IP地址用于未來節點擴容（如10.0.0.100-10.0.0.200），避免因地址耗盡導致網絡中斷。

二、常見Overlay實現中的IP配置示例

1. Docker Overlay網絡

• 創建Overlay網絡：通過docker network create命令指定子網、網關和IP池，例如：
  docker network create --driver overlay --subnet=10.0.0.0/24 --gateway=10.0.0.1 --opt com.docker.network.driver.mtu=1450 my_overlay （com.docker.network.driver.mtu=1450用于適配VXLAN封裝的MTU需求）
• 驗證配置：使用docker network inspect my_overlay查看子網、網關及已分配IP。

2. Kubernetes CNI Overlay（以Flannel為例）

• 配置IP池：編輯Flannel的CNI配置文件（/etc/cni/net.d/10-flannel.conflist），指定Pod網絡的子網范圍：

  {
    "name": "cbr0",
    "cniVersion": "0.3.1",
    "plugins": [
      {
        "type": "flannel",
        "delegate": {
          "hairpinMode": true,
          "isDefaultGateway": true
        }
      },
      {
        "type": "portmap",
        "capabilities": {"portMappings": true}
      }
    ]
  }
  

  同時，在Flannel的net-conf.json中定義Pod子網：

  {
    "Network": "10.244.0.0/16",
    "Backend": {"Type": "vxlan"}
  }
  

  此配置會將Pod IP分配在10.244.0.0/16子網中，通過VXLAN隧道實現跨主機通信。

三、IP地址規劃的注意事項

1. 與Underlay網絡協同

• 路由可達：確保Overlay網絡的網關地址在Underlay網絡中可達，例如Underlay路由器需配置到10.0.0.0/24的靜態路由，下一跳指向Overlay網絡的物理網關。
• MTU適配：Overlay網絡（如VXLAN）會增加封裝頭（通常20字節），因此Underlay網絡的MTU需調整為1500-20=1480，或在Docker中顯式設置--opt com.docker.network.driver.mtu=1450（預留額外空間）。

2. 安全策略

• 訪問控制：通過Underlay網絡的防火墻（如iptables）限制對Overlay網關的訪問，僅允許必要的主機（如集群節點）訪問。
• IP欺騙防護：啟用Overlay網絡的源地址驗證（如Docker的--iptables=true），防止IP地址偽造。

3. 監控與審計

• IP使用監控：使用網絡管理工具（如Zabbix、Prometheus）監控Overlay網絡的IP分配情況，及時發現未使用的IP或異常占用。
• 定期審計：每季度審核IP分配記錄，回收未使用的IP（如已刪除容器的IP），優化地址資源利用。

通過以上規劃，可確保CentOS Overlay網絡的IP地址分配合理、高效，滿足當前業務需求并支持未來擴展。