导语:

几年前,当博云启动自研容器网络研发的时候,除了技术选型的考虑,我们对于先做 Underlay 还是 Overlay 网络也有过深度的讨论。当时的开源社区以及主流容器厂商,多数还是以 Overlay 网络方案为主,但在我们对众多客户真正需求的深入了解之后,发现部分客户对容器内外网络直通有着非常强烈的需求。思虑再三,我们决定还是先做 Underlay 网络(后来又做了Overlay)。随着行业与公司自身的发展,我们建设实施的项目越来越多,这让我们对容器网络的思考也越来越深入,从而观点也越来越清晰:

内外直通的Underlay网络才是容器网络的正确打开方式。

01

从需求出发,考虑容器网络方案

如上图所示,这是目前企业微服务容器化部署的典型场景,也是驱动我们做 Underlay网络的直接原因:

  1. 服务部署在Kubernetes集群内部(如图:服务1、服务2);

  2. 数据库、注册中心、Redis、MQ等组件部署在集群之外;

  3. 部分服务也可能部署在集群之外, 比如容器平台试用阶段(如图:服务3)

这些服务和组件,需要能直接互联互通。

如若需要满足以上需求,最简单有效的方案就是直接把 Kubernetes 内外网络打通,也就是采用 Underlay 网络模式。

当然,如上需求也有别的办法可以解决。比如,细化分析服务和组件间的流量,采用ingress、egress,包括改写应用代码等方式,在特定情况下,这也是可以用的。然而,一方面,这些都是特定场景下的特定解决方案,缺乏一定的通用性;另一方面,容易出现配置复杂、引入额外风险、出错难以定位等问题。远远没有通过Underlay网络直接将内外网打通这么简单有效。

还有另外的办法就是将所有服务和组件都放入Kubernetes集群内部,但是这种方案仍是针对特定场景的非通用方案,很难保证企业所有的应用都在一个Kubernetes集群里。

同样,对于容器内外网络直接互联互通的需求场景还有:

  • 特定用途的Kubernetes集群对外提供服务。比如专门用作提供PaaS中间件服务的Kubernetes集群、专门用作CI/CD服务的Kubernetes集群、专门用作提供大数据服务的Kubernetes集群等;

  • 跨多集群的服务/组件互联互通;

  • 为了在试点阶段降低风险,部分服务跑在集群内、部分服务跑在集群外等场景。

02

与虚拟机对比,从容器本质考虑容器网络方案

在容器的应用实践过程中,除了应用场景,我们也从底层基础设施的角度对容器进行了持续的思考。

从基础设施的角度看容器:容器和虚拟机的本质都是一样的,是上层应用的承载基础设施。

因此,从底层角度看,对容器网络的需求跟虚拟机是一致的。那么,虚拟机网络的落地模式是怎样的呢?

如上图右侧部分所示,IaaS层的落地网络方案可以认为是有行业标准的,不管是基于VMware 还是 OpenStack,基本都是采用OVS(或类似OVS)的二层 Underlay 网络方案。

因此,从基础设施的角度往上看,容器网络采用跟 IaaS 类似的方案,即将虚拟机和容器放到同一个网络层面上,是最合理的选择。

PS:在公有云上,虚拟机都在VPC里,因此目前公有云的容器网络方案,也是主要采用将容器和虚拟机放到同一个VPC中,可以直接互联互通的方案。这也是对上述判断的典型证明。

同时,对于部分客户反馈的 Unberlay 网络占用 IP 地址过多的问题,从虚拟机和容器的对比角度,也可以获得合理的解释:如果使用虚拟机部署,占用 IP 地址数量与容器 Underlay 网络是一样的。IP 地址的数量是由应用数量决定的,使用容器并没有引入多余 IP 地址占用。另外,Ipv6已经开始规模落地,在Ipv6时代,IP 地址数量将不会是问题。

03

技术方案选型

容器典型的开源 Unberlay 网络选型方案有 Calico 和 MACVLAN,这两个方案的问题也比较明显:

Calico:需要在数据中心路由器(或三层交换机)打开 BGP 路由协议,而 BGP 是广域网的路由协议,一般在数据中心内部不会启动,低端三层交换机/路由器对齐的支持情况也有风险。

MACVLAN:几年前有部分客户采用此容器网络方案,MACVLAN最大的问题就是社区活跃度已经很低,一些问题长期没有在社区中解决。同时,面向未来的扩展性也比较差。

以上也是博云基于 OVS 自研 Underlay(也支持Overlay)网络的原因。

04

总结

在容器网络方案中,Overlay网络方案有着对底层网络要求低(落地过程不需要跟网络部门打交道)、落地容易、IP地址占用少等特点,也有自己适用的特性需求场景。但是随着越来越多的客户将 Kubernetes 和容器大规模应用到生产环境中,博云客户中选择使用 Underlay 网络模式的比例也越来越高。这让我们更加明确认识到:

内外直通的Underlay网络才是容器网络的正确打开方式。

 

为啥Underlay才是容器网络的最佳落地选择的更多相关文章

  1. 【Networking】容器网络大观 && SDN 资料汇总

    SDNLAB技术分享(十五):容器网络大观   SDNLAB君• 16-06-17 •2957 人围观 编者按:本文系SDNLAB技术分享系列,本次分享来自SDN撕X群(群主:大猫猫)群直播,我们希望 ...

  2. 容器网络——从CNI到Calico

    从容器诞生开始,存储和网络这两个话题就一直为大家津津乐道.我们今天这个环境下讲网络这个问题,其实是因为容器对网络的需求,和传统物理.虚拟环境对网络环境需求是有差别的,主要面临以下两个问题: 过去Iaa ...

  3. 腾讯云TKE-基于 Cilium 统一混合云容器网络(下)

    前言 在 腾讯云TKE - 基于 Cilium 统一混合云容器网络(上) 中,我们介绍 TKE 混合云的跨平面网络互通方案和 TKE 混合云 Overlay 网络方案.公有云 TKE 集群添加第三方 ...

  4. 第 8 章 容器网络 - 072 - 一文搞懂各种 Docker 网络

    Docker 起初只提供了简单的 single-host 网络,显然这不利于 Docker 构建容器集群并通过 scale-out 方式横向扩展到多个主机上. 跨主机网络方案: Docker Over ...

  5. [svc]容器网络学习索引及网络监控

    整理的可能有些误失,抽时间在细细的分类完善下. 发现这篇对于网络从低到高层协议整理的还不错 每层都有一些有意思的话题 一些协议有一些设计上的弱点, 所以产生了种种的网络层安全问题 一般我们学一些 1, ...

  6. Docker技术入门与实战 第二版-学习笔记-8-网络功能network-1-单个host上的容器网络

    Docker 中的网络功能介绍 Docker 允许通过外部访问容器或容器互联的方式来提供网络服务 1) 外部访问容器 容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -p或 -P参数 ...

  7. k8s pod的4种网络模式最佳实战(externalIPs )

    [k8s]k8s pod的4种网络模式最佳实战(externalIPs )       hostPort相当于docker run -p 8081:8080,不用创建svc,因此端口只在容器运行的vm ...

  8. 初学Docker容器网络不得不看的学习笔记

    一.关于Docker Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0协议开源. Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级.可移植的容器中,然后 ...

  9. Docker 容器网络

    默认网络 当安装docker时,它会自动创建3个网络.可以使用docker network ls 来查看.   zane@zane-V:~$ docker network ls NETWORK ID ...

随机推荐

  1. MAC App破解之路十 Particle Design

    这个软件破解非常简单: 修改: [PaddleStatic Yz6nrtNwF4].直接返回1 效果:

  2. Linux 进程间通信(IPC)总结

    概述 一个大型的应用系统,往往需要众多进程协作,进程(Linux进程概念见附1)间通信的重要性显而易见.本系列文章阐述了 Linux 环境下的几种主要进程间通信手段. 进程隔离 进程隔离是为保护操作系 ...

  3. WeChair项目Beta冲刺(4/10)

    团队项目进行情况 1.昨日进展    Beta冲刺第四天 昨日进展: 前后端并行开发,项目按照计划有条不絮进行 2.今日安排 前端:扫码占座功能和预约功能并行开发 后端:扫码占座后端逻辑和预约功能逻辑 ...

  4. ViewPager2 学习

    ViewPager2 延迟加载数据 ViewPager2 延迟加载数据 ViewPager 实现预加载的方案 ViewPager2 实现预加载的方案 总结 ViewPager 实现预加载的方案 背景 ...

  5. 3、尚硅谷_SSM高级整合_使用ajax操作实现修改员工的功能

    当我们点击编辑案例的时候,我们要弹出一个修改联系人的模态对话框,在上面可以修改对应的联系人的信息 这里我们我们要编辑按钮添加点击事件弹出对话框 第一步:在页面中在新增一个编辑联系人的模态对话框 第二步 ...

  6. redis高级命令3哨兵模式

    redis的哨兵模式 现在我们在从服务器1.222上让该从服务器作为哨兵 首先将redis安装包文件下的sentinel.conf文件复制到/usr/local/redis/etc目录下 然后修改se ...

  7. 《Java核心技术(卷1)》笔记:第8章 泛型程序设计

    (P 327)"菱形"语法: ArrayList<String> files = new ArrayList<>(); // Java 9 扩展了菱形语法的 ...

  8. .NET Core加解密实战系列之——消息摘要与数字签名算法

    目录 简介 功能依赖 消息摘要算法 MD算法 家族发展史 应用场景 代码实现 MD5 示例代码 SHA算法 应用场景 代码实现 SHA1 SHA256 示例代码 MAC算法 HMAC算法的典型应用 H ...

  9. Vue中$nextTick的理解

    Vue中$nextTick的理解 Vue中$nextTick方法将回调延迟到下次DOM更新循环之后执行,也就是在下次DOM更新循环结束之后执行延迟回调,在修改数据之后立即使用这个方法,能够获取更新后的 ...

  10. 我是如何用 CSS 绘制各种形状的

    自适应的椭圆 1.自适应的椭圆 实现方式是通过border-radius这个属性:border-radius它可以单独指定水平和垂直半径.用 / 分隔这两个值.并且该属性的值不仅可以接受长度值,还能接 ...