Ack集群Pod独占EIP实践
针对ACK集群内Pod访问公网时因共享VPC NAT网关导致带宽争抢和请求超时的问题,本文记录了为Pod绑定独立EIP的实践。问题根源在于集群内所有IP共用NAT出口,当特定Pod(如周期性HTTP检查服务)的公网请求与其他流量叠加时,易触发带宽上限。解决方案对比了两种思路:一是将Pod调度至特定子网并配置独立路由,但维护成本高;二是利用阿里云Terway网络原生支持的Pod EIP绑定功能,通过为Pod添加注解实现动态或静态EIP分配,更为直接。 实施中选择了先购买EIP再通过注解绑定的方式。关键步骤包括配置RAM权限、安装`ack-extend-network-controller`插件并启用Pod EIP能力。绑定后,控制器会创建对应PodEIP资源,确保Pod公网出口固定。文章重点讨论了实际应用中的几个问题:一是为确保应用就绪前EIP已绑定,可通过`readinessGates`或初始化容器检测;二是针对Deployment滚动更新可能导致EIP绑定冲突,最终采用`Recreate`更新策略以接受短暂流量损失,而非改为StatefulSet;三是明确了绑定EIP后Pod的内网与公网端口均可访问,但安全组规则通常已限制非必要暴露。