创建子网（Kube-OVN Overlay 网络）

在 Kube-OVN Overlay 网络中创建子网，实现集群下资源更细粒度的网络隔离。

提示：平台预置了一个 join 子网用于节点与容器组间通信，请避免 join 与新建子网的网段冲突。

IP 分配规则

• 若该集群的某个命名空间没有绑定子网，则该命名空间下的 Pod 将会优先使用默认子网（ovn-default），默认子网 IP 地址不够时将无法启动 Pod。

• 若该集群的某个命名空间已经绑定了子网，则该命名空间下的 Pod 将默认使用该子网下的 IP。

• 若该集群有多个子网，则支持 开发人员 单独为命名空间下有特定业务需求的应用指定子网，此时无论命名空间绑定子网与否，Pod 仅允许使用该子网下的 IP。

创建子网并分配命名空间

1. 在左侧导航栏中，单击 网络管理 > 子网。

2. 单击 创建子网。

3. 参考以下说明配置相关参数。

   参数	说明
   网段	将子网分配给命名空间后，此网段内 IP 将被随机分配给容器组使用。
   保留 IP	设置的保留 IP 将不会被自动分配。例如可将其用做计算组件 固定 IP 的 IP 地址。
   网关类型	选择子网的网关类型，用于控制流量的出网方式。 - 分布式：集群内每台主机都可以作为当前主机上容器组的出网节点，实现分布式出网。 - 集中式：集群中所有容器组均使用一个或多个特定的主机作为出网节点，方便外部审计和防火墙控制。设置多个集中式 网关节点 可实现多活保障。
   子网隔离（Alpha）	选择是否开启子网隔离，默认为关闭。 开启子网隔离后，当前子网内容器组和集群下的其他子网内的容器组不可互相通信。可同时设置白名单，限定仅白名单中的 IP 可以访问子网中的容器组。
   外出流量 NAT	选择是否开启外出流量 NAT（Network Address Translation，网络地址转换），默认为开启。 主要用于设置子网内容器组访问外网时，向外网暴露的访问地址。 开启外出流量 NAT 后，将会使用主机 IP 作为当前子网内容器组的访问地址；不开启时，将会直接将子网内的容器组 IP 暴露给外网，此时，推荐使用集中式网关。

4. 单击 确定 。

5. 在子网详细信息页，选择 操作 > 更新命名空间。

6. 完成配置并单击 更新。