add lbBlacklist to port pool

Signed-off-by: roc <[email protected]>

Author: imroc

api/v1alpha1/clbportpool_types.go

@@ -55,23 +55,34 @@ type CLBPortPoolSpec struct {
 	// +kubebuilder:validation:Enum=Uniform;InOrder;Random
 	// +optional
 	LbPolicy *string `json:"lbPolicy,omitempty"`
-	// 已有负载均衡器ID列表
+	// CLB 黑名单，负载均衡实例 ID 的数组，用于禁止某些 CLB 实例被分配端口，可动态追加和移除。
+	// 如果发现某个 CLB 被 DDoS 攻击或其他原因导致不可用，可将该 CLB 的实例 ID 加入到黑名单中，
+	// 避免后续端口分配使用该 CLB。
+	// +optional
+	LbBlacklist []string `json:"lbBlacklist,omitempty"`
+	// 已有负载均衡器实例 ID 列表，可动态追加。
+	// 该列表的负载均衡器将会被端口池用于分配端口映射。
+	// +optional
 	ExsistedLoadBalancerIDs []string `json:"exsistedLoadBalancerIDs,omitempty"`
-	// 自动创建配置
+	// 自动创建的配置，如果启用，则当端口池中负载均衡器可用监听器数量不足时会自动创建新的负载
+	// 均衡器来补充可分配监听器数量。
+	// +optional
 	AutoCreate *AutoCreateConfig `json:"autoCreate,omitempty"`
 }
 
 func (pool *CLBPortPool) GetRegion() string {
 	return util.GetRegionFromPtr(pool.Spec.Region)
 }
 
-// AutoCreateConfig 定义自动创建CLB的配置
+// AutoCreateConfig 定义自动创建 CLB 的配置
 type AutoCreateConfig struct {
 	// 是否启用自动创建
 	Enabled bool `json:"enabled"`
 	// 自动创建的最大负载均衡器数量
+	// +optional
 	MaxLoadBalancers *uint16 `json:"maxLoadBalancers,omitempty"`
 	// 自动创建参数
+	// +optional
 	Parameters *CreateLBParameters `json:"parameters,omitempty"`
 }
 

api/v1alpha1/zz_generated.deepcopy.go

@@ -47,7 +47,9 @@ spec:
             description: CLBPortPoolSpec defines the desired state of CLBPortPool.
             properties:
               autoCreate:
-                description: 自动创建配置
+                description: |-
+                  自动创建的配置，如果启用，则当端口池中负载均衡器可用监听器数量不足时会自动创建新的负载
+                  均衡器来补充可分配监听器数量。
                 properties:
                   enabled:
                     description: 是否启用自动创建
@@ -203,7 +205,17 @@ spec:
                 - message: Value is immutable
                   rule: self == oldSelf
               exsistedLoadBalancerIDs:
-                description: 已有负载均衡器ID列表
+                description: |-
+                  已有负载均衡器实例 ID 列表，可动态追加。
+                  该列表的负载均衡器将会被端口池用于分配端口映射。
+                items:
+                  type: string
+                type: array
+              lbBlacklist:
+                description: |-
+                  CLB 黑名单，负载均衡实例 ID 的数组，用于禁止某些 CLB 实例被分配端口，可动态追加和移除。
+                  如果发现某个 CLB 被 DDoS 攻击或其他原因导致不可用，可将该 CLB 的实例 ID 加入到黑名单中，
+                  避免后续端口分配使用该 CLB。
                 items:
                   type: string
                 type: array

charts/tke-extend-network-controller/templates/networking.cloud.tencent.com_clbportpools.yaml

@@ -47,7 +47,9 @@ spec:
             description: CLBPortPoolSpec defines the desired state of CLBPortPool.
             properties:
               autoCreate:
-                description: 自动创建配置
+                description: |-
+                  自动创建的配置，如果启用，则当端口池中负载均衡器可用监听器数量不足时会自动创建新的负载
+                  均衡器来补充可分配监听器数量。
                 properties:
                   enabled:
                     description: 是否启用自动创建
@@ -203,7 +205,17 @@ spec:
                 - message: Value is immutable
                   rule: self == oldSelf
               exsistedLoadBalancerIDs:
-                description: 已有负载均衡器ID列表
+                description: |-
+                  已有负载均衡器实例 ID 列表，可动态追加。
+                  该列表的负载均衡器将会被端口池用于分配端口映射。
+                items:
+                  type: string
+                type: array
+              lbBlacklist:
+                description: |-
+                  CLB 黑名单，负载均衡实例 ID 的数组，用于禁止某些 CLB 实例被分配端口，可动态追加和移除。
+                  如果发现某个 CLB 被 DDoS 攻击或其他原因导致不可用，可将该 CLB 的实例 ID 加入到黑名单中，
+                  避免后续端口分配使用该 CLB。
                 items:
                   type: string
                 type: array

config/crd/bases/networking.cloud.tencent.com_clbportpools.yaml

@@ -3,6 +3,7 @@ package portpool
 import (
 	"context"
 	"fmt"
+	"reflect"
 	"sync"
 
 	networkingv1alpha1 "github.com/imroc/tke-extend-network-controller/api/v1alpha1"
@@ -66,22 +67,31 @@ func (pa *PortAllocator) EnsurePool(pool *networkingv1alpha1.CLBPortPool) (added
 
 	p, exists := pa.pools[pool.Name]
 
-	lbPolicy := constant.LbPolicyRandom
-	if pool.Spec.LbPolicy != nil {
-		lbPolicy = *pool.Spec.LbPolicy
-	}
-
 	if !exists {
 		p = &PortPool{
-			Name:     pool.Name,
-			LbPolicy: lbPolicy,
-			cache:    make(map[LBKey]map[ProtocolPort]struct{}),
+			Name:        pool.Name,
+			LbBlacklist: make(map[LBKey]struct{}),
+			cache:       make(map[LBKey]map[ProtocolPort]struct{}),
 		}
 		pa.pools[pool.Name] = p
 		added = true
-	} else {
-		if p.LbPolicy != lbPolicy {
-			p.LbPolicy = lbPolicy
+	}
+
+	lbPolicy := constant.LbPolicyRandom
+	if pool.Spec.LbPolicy != nil {
+		lbPolicy = *pool.Spec.LbPolicy
+	}
+	if p.LbPolicy != lbPolicy {
+		p.LbPolicy = lbPolicy
+	}
+	if !reflect.DeepEqual(p.lbBlacklist, pool.Spec.LbBlacklist) {
+		p.lbBlacklist = pool.Spec.LbBlacklist
+		p.LbBlacklist = make(map[LBKey]struct{})
+		for _, lbId := range pool.Spec.LbBlacklist {
+			lbKey := LBKey{LbId: lbId, Region: pool.GetRegion()}
+			if _, exists := p.LbBlacklist[lbKey]; !exists {
+				p.LbBlacklist[lbKey] = struct{}{}
+			}
 		}
 	}
 	return

internal/portpool/allocator.go

@@ -106,11 +106,13 @@ func NewLBKeyFromBinding(binding *networkingv1alpha1.PortBindingStatus) LBKey {
 
 // PortPool 管理单个端口池的状态
 type PortPool struct {
-	Name     string
-	LbPolicy string
-	mu       sync.Mutex
-	cache    map[LBKey]map[ProtocolPort]struct{}
-	lbList   []LBKey
+	Name        string
+	LbPolicy    string
+	LbBlacklist map[LBKey]struct{}
+	lbBlacklist []string
+	mu          sync.Mutex
+	cache       map[LBKey]map[ProtocolPort]struct{}
+	lbList      []LBKey
 }
 
 func (pp *PortPool) getCache() iter.Seq2[LBKey, map[ProtocolPort]struct{}] {
@@ -123,12 +125,18 @@ func (pp *PortPool) getCache() iter.Seq2[LBKey, map[ProtocolPort]struct{}] {
 				})
 			}
 			for _, lbKey := range pp.lbList {
+				if _, exists := pp.LbBlacklist[lbKey]; exists { // 若 lb 在黑名单中，则跳过
+					continue
+				}
 				if !yield(lbKey, pp.cache[lbKey]) { // 若 yield 返回 false 则中断
 					return
 				}
 			}
 		default: // 默认用 Random，按 map 的 key 顺序遍历（golang map 的 key 是无序的，每次遍历顺序随机）
 			for lbKey, allocated := range pp.cache {
+				if _, exists := pp.LbBlacklist[lbKey]; exists { // 若 lb 在黑名单中，则跳过
+					continue
+				}
 				if !yield(lbKey, allocated) { // 若 yield 返回 false 则中断
 					return
 				}