Kube-OVN高级功能 | Overlay下路由方式网络打通

" 如果你怀念 SDN 领域丰富的网络能力却在云原生领域苦苦追寻而不得，那么 Kube-OVN 将是你的最佳选择。本系列我们将逐个介绍Kube-OVN高级功能的工作原理及使用路径，帮你尽快征服容器网络难题！"

在一些场景下，网络环境不支持 Underlay 模式，但是依然需要 Pod 能和外部设施直接通过 IP 进行互访， 这时候可以使用路由方式将容器网络和外部联通。

在这种情况下，Pod IP 会直接进入底层网络，底层网络需要放开关于源地址和目地址的 IP 检查。

前提条件

• 此模式下，主机需要开放ip_forward。
• 检查主机 iptables 规则中是否在 forward 链中是否有 Drop 规则，需要放行容器相关流量。
• 由于可能存在非对称路由的情况，主机需放行 ct 状态为INVALID的数据包。

设置步骤

对于需要对外直接路由的子网，需要将子网的natOutgoing设置为false，关闭 nat 映射，使得 Pod IP 可以直接进入外部网络。

apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: routed
spec:
  protocol: IPv4
  cidrBlock: 10.166.0.0/16
  default: false
  excludeIps:
  - 10.166.0.1
  gateway: 10.166.0.1
  gatewayType: distributed
  natOutgoing: false

此时，Pod 的数据包可以通过主机路由到达对端节点，但是对端节点还不知道回程数据包应该发送到哪里，需要添加回程路由。

如果对端主机和容器所在宿主机在同一个二层网络，我们可以直接在对端主机添加静态路由将容器网络的下一跳指向 Kubernetes 集群内的任意一台机器。

ip route add 10.166.0.0/16 via 192.168.2.10 dev eth0

10.166.0.0/16为容器子网网段,192.168.2.10为 Kubernetes 集群内任意一个节点。

若对端主机和容器所在宿主机不在同一个二层网络，则需要在路由器上配置相应的规则，通过路由器进行打通。

在一些虚拟化环境中，虚拟网络会将非对称流量识别为非法流量并丢弃。此时需要将 Subnet 的gatewayType调整为centralized，并在路由设置时将下一跳设置为gatewayNode节点的 IP。

apiVersion: kubeovn.io/v1
kind: Subnet
metadata:
  name: routed
spec:
  protocol: IPv4
  cidrBlock: 10.166.0.0/16
  default: false
  excludeIps:
  - 10.166.0.1
  gateway: 10.166.0.1
  gatewayType: centralized
  gatewayNode: "node1"
  natOutgoing: false