CentOS Overlay配置中的IP地址规划

CentOS Overlay配置中的IP地址规划指南

在CentOS环境中配置Overlay网络（如Docker Overlay或Kubernetes CNI Overlay）时，IP地址规划是确保网络隔离、可扩展性和稳定性的核心环节。合理的IP规划需兼顾当前需求与未来扩展，避免地址冲突并优化资源利用。

一、Overlay网络IP地址规划的核心要素

1. 子网选择与划分

• 子网大小：根据节点数量选择合适的子网掩码。例如，/24子网（256个地址）适合中小规模集群（如10-50个节点），/16子网（65536个地址）适合大规模集群；若需更多隔离，可使用/20（4096个地址）等中间掩码。
• 层次化结构：采用“核心层-汇聚层-接入层”的层次化设计，如核心子网10.0.0.0/16下划分汇聚子网10.0.1.0/24、10.0.2.0/24（对应不同机架或业务模块），接入子网10.0.1.0/26（对应单个主机内的容器）。
• 避免重叠：确保Overlay子网与Underlay网络（物理网络）、其他虚拟网络（如VMware虚拟网络）无重叠，防止路由冲突。

2. 网关地址规划

• 唯一性：每个Overlay网络需分配唯一的网关地址，通常为子网的第一个或最后一个可用IP（如10.0.0.1或10.0.0.254）。
• 可达性：网关地址需指向Overlay网络的虚拟交换机（如Docker的docker_gwbridge）或物理网关，确保容器与外部网络（如互联网、Underlay网络）的通信。

3. 静态与动态IP分配

• 静态IP：适用于需要固定IP的服务（如数据库、负载均衡器）。通过--ip参数手动指定，例如：
  docker run -d --name=my_db --network=my_overlay --ip=10.0.0.10 my_mysql_image
• 动态IP：适用于无状态服务（如Web服务器、微服务），通过Overlay网络的IP池自动分配。在Docker守护进程配置中定义default-address-pools，例如：

  {
    "default-address-pools": [
      {"base": "10.0.1.0/24", "size": 24}
    ]
  }
  

  此配置会从10.0.1.0/24子网中自动分配IP，size:24表示子网掩码为255.255.255.0。

4. IP预留策略

• 特殊用途预留：为网关、DNS服务器、NTP服务器等预留固定IP（如10.0.0.1为网关，10.0.0.2为DNS）。
• 扩展预留：预留至少20%的IP地址用于未来节点扩容（如10.0.0.100-10.0.0.200），避免因地址耗尽导致网络中断。

二、常见Overlay实现中的IP配置示例

1. Docker Overlay网络

• 创建Overlay网络：通过docker network create命令指定子网、网关和IP池，例如：
  docker network create --driver overlay --subnet=10.0.0.0/24 --gateway=10.0.0.1 --opt com.docker.network.driver.mtu=1450 my_overlay （com.docker.network.driver.mtu=1450用于适配VXLAN封装的MTU需求）
• 验证配置：使用docker network inspect my_overlay查看子网、网关及已分配IP。

2. Kubernetes CNI Overlay（以Flannel为例）

• 配置IP池：编辑Flannel的CNI配置文件（/etc/cni/net.d/10-flannel.conflist），指定Pod网络的子网范围：

  {
    "name": "cbr0",
    "cniVersion": "0.3.1",
    "plugins": [
      {
        "type": "flannel",
        "delegate": {
          "hairpinMode": true,
          "isDefaultGateway": true
        }
      },
      {
        "type": "portmap",
        "capabilities": {"portMappings": true}
      }
    ]
  }
  

  同时，在Flannel的net-conf.json中定义Pod子网：

  {
    "Network": "10.244.0.0/16",
    "Backend": {"Type": "vxlan"}
  }
  

  此配置会将Pod IP分配在10.244.0.0/16子网中，通过VXLAN隧道实现跨主机通信。

三、IP地址规划的注意事项

1. 与Underlay网络协同

• 路由可达：确保Overlay网络的网关地址在Underlay网络中可达，例如Underlay路由器需配置到10.0.0.0/24的静态路由，下一跳指向Overlay网络的物理网关。
• MTU适配：Overlay网络（如VXLAN）会增加封装头（通常20字节），因此Underlay网络的MTU需调整为1500-20=1480，或在Docker中显式设置--opt com.docker.network.driver.mtu=1450（预留额外空间）。

2. 安全策略

• 访问控制：通过Underlay网络的防火墙（如iptables）限制对Overlay网关的访问，仅允许必要的主机（如集群节点）访问。
• IP欺骗防护：启用Overlay网络的源地址验证（如Docker的--iptables=true），防止IP地址伪造。

3. 监控与审计

• IP使用监控：使用网络管理工具（如Zabbix、Prometheus）监控Overlay网络的IP分配情况，及时发现未使用的IP或异常占用。
• 定期审计：每季度审核IP分配记录，回收未使用的IP（如已删除容器的IP），优化地址资源利用。

通过以上规划，可确保CentOS Overlay网络的IP地址分配合理、高效，满足当前业务需求并支持未来扩展。