盗墓笔记同人小说,官场小说排行榜,兽性总裁的爱奴

金融行業(yè)企業(yè)級(jí)容器云平臺(tái)網(wǎng)絡(luò)方案

2021-09-17

在前不久舉辦的Kube-OVN年度大會(huì)上，中信銀行數(shù)據(jù)中心技術(shù)支持處副處長伍科松在《金融行業(yè)企業(yè)級(jí)容器云網(wǎng)絡(luò)方案介紹》的演講中指出，容器平臺(tái)的最大挑戰(zhàn)之一是容器網(wǎng)絡(luò)，目前大部分企業(yè)容器網(wǎng)絡(luò)的內(nèi)部其實(shí)是一個(gè)“黑盒”，容器內(nèi)部和外部的網(wǎng)絡(luò)沒有打通，也無法實(shí)現(xiàn)跨云多網(wǎng)絡(luò)集群的互通。這種情況下，致力于提供企業(yè)級(jí)的網(wǎng)絡(luò)編排能力，擁有豐富的網(wǎng)絡(luò)規(guī)劃、流量控制和安全審計(jì)功能的開源網(wǎng)絡(luò)組件Kube-OVN，已進(jìn)入未來中信銀行容器網(wǎng)絡(luò)的升級(jí)計(jì)劃。

金融容器云平臺(tái)網(wǎng)絡(luò)現(xiàn)狀和挑戰(zhàn)

伍科松通過回顧中信銀行容器云平臺(tái)網(wǎng)絡(luò)的發(fā)展歷程，為大家鮮活地闡釋了金融容器云平臺(tái)網(wǎng)絡(luò)的現(xiàn)狀以及面臨的挑戰(zhàn)。

容器網(wǎng)絡(luò)現(xiàn)狀

2018年中信銀行開始容器云平臺(tái)建設(shè)，已實(shí)現(xiàn)容器節(jié)點(diǎn)數(shù)近千、容器規(guī)模逾萬的規(guī)模，新建應(yīng)用大部分都是上到了容器平臺(tái)里，該平臺(tái)已經(jīng)成為支撐新舊應(yīng)用的重要基礎(chǔ)設(shè)施。

容器云平臺(tái)網(wǎng)絡(luò)最早采用flannel模型，隨著應(yīng)用上線的數(shù)量攀升，以及對(duì)于微服務(wù)和DevOps的使用越來越多，該模型功能過于單一，同時(shí)在一些模式下網(wǎng)絡(luò)性能損耗明顯的弊端凸顯。隨后，將容器網(wǎng)絡(luò)改為Calico模型，并融入SDN戰(zhàn)略。這樣容器宿主機(jī)接入的時(shí)候，在交換機(jī)上面開啟了BGP，可以把容器內(nèi)部的網(wǎng)絡(luò)對(duì)外暴露，然后只需要在核心交換機(jī)上配置一些靜態(tài)路由，就可以將容器宿主機(jī)和原有的網(wǎng)絡(luò)打通，從而實(shí)現(xiàn)從原有的flannel二層容器網(wǎng)絡(luò)變成了三層的容器網(wǎng)絡(luò)。

在此過程中，還對(duì)Calico的組網(wǎng)方案進(jìn)行了相應(yīng)的優(yōu)化，并且做了細(xì)膩度的網(wǎng)絡(luò)控制，然后以命名空間為基準(zhǔn)，來進(jìn)行相應(yīng)的網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)分配。

對(duì)傳統(tǒng)安全監(jiān)控帶來新的挑戰(zhàn)

但是，隨著中信銀行應(yīng)用數(shù)量和類型的進(jìn)一步增多，對(duì)網(wǎng)絡(luò)復(fù)雜度的要求也越來越高。銀行的應(yīng)用有自身特點(diǎn)，比如中信銀行有500多個(gè)應(yīng)用，管理級(jí)別不同，訪問特色也不同，需要考慮如何兼容傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)和容器網(wǎng)絡(luò)之間的互聯(lián)互通，同時(shí)，傳統(tǒng)應(yīng)用容器化遷移后如何實(shí)現(xiàn)固定IP，以及對(duì)于容器多網(wǎng)絡(luò)平面、多網(wǎng)卡的管理，多租戶和跨云網(wǎng)絡(luò)、容器流量的監(jiān)測、調(diào)度與QoS等也都面臨新的挑戰(zhàn)，雖然針對(duì)傳統(tǒng)網(wǎng)絡(luò)做了很多優(yōu)化工作，在容器網(wǎng)絡(luò)里面，由于網(wǎng)絡(luò)插件的簡化，還有許多問題沒有解決，也許這些問題在簡單的容器云里不是問題，但是到金融場景里就是比較大的挑戰(zhàn)了。

總結(jié)來看，金融容器云主要面臨新挑戰(zhàn)，第一個(gè)是架構(gòu)轉(zhuǎn)型的壓力，微服務(wù)的流行導(dǎo)致容器網(wǎng)絡(luò)體量和復(fù)雜度大幅上升；第二個(gè)是IP服務(wù)地址和服務(wù)是動(dòng)態(tài)不確定的關(guān)系，給監(jiān)控帶來很大難度；第三個(gè)是防火墻也需要?jiǎng)討B(tài)調(diào)整；第四個(gè)是多租戶對(duì)帶寬資源需求的增強(qiáng)，最后是網(wǎng)絡(luò)層級(jí)的復(fù)雜性，很難將傳統(tǒng)的網(wǎng)絡(luò)運(yùn)維手段和故障診斷手段嫁接到容器平臺(tái)，需要一個(gè)工具把容器網(wǎng)絡(luò)變成“白盒”。

構(gòu)建金融行業(yè)企業(yè)級(jí)的容器網(wǎng)絡(luò)方案

中信銀行依托成熟的靈雀云容器網(wǎng)絡(luò)平臺(tái)，構(gòu)建金融行業(yè)企業(yè)級(jí)的容器網(wǎng)絡(luò)解決方案，用到的就是靈雀云主導(dǎo)開發(fā)的開源網(wǎng)絡(luò)插件Kube-OVN。它以社區(qū)成熟的OVS作為容器網(wǎng)絡(luò)底座，適合于K8s這種原生平臺(tái)。另外還結(jié)合了一些在不同的銀行里落地的經(jīng)驗(yàn)，尤其是把一些安全或者管控、監(jiān)管側(cè)的要求，結(jié)合起來做了相應(yīng)的構(gòu)建。

Overlay網(wǎng)絡(luò)場景拓?fù)?/span>

對(duì)于銀行來說，所有業(yè)務(wù)的落地場景，都是以應(yīng)用或者業(yè)務(wù)為核心，所以容器網(wǎng)絡(luò)設(shè)計(jì)也應(yīng)該是以業(yè)務(wù)為核心的。在這種Overlay網(wǎng)絡(luò)場景下，它可以靈活地添加到網(wǎng)絡(luò)功能里，并且和現(xiàn)有的物理網(wǎng)絡(luò)保持獨(dú)立。同時(shí)，容器子網(wǎng)跟宿主機(jī)實(shí)現(xiàn)解耦，讓開通策略直接跟應(yīng)用捆綁，從而實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)隔離。

固定IP地址場景

雖然這個(gè)訴求不符合云原生的理念，但是這在金融企業(yè)里非常常見。比如中信銀行中臺(tái)應(yīng)用有些固定IP對(duì)應(yīng)著相應(yīng)的分行業(yè)務(wù)，這就需要將配置捆綁到相應(yīng)IP地址上。網(wǎng)絡(luò)方案就可以實(shí)現(xiàn)指定相應(yīng)容器Pod的啟停時(shí)都使用固定的IP地址。

容器網(wǎng)絡(luò)和外部網(wǎng)絡(luò)打通

這個(gè)也是中信銀行微服務(wù)架構(gòu)轉(zhuǎn)型中特別強(qiáng)調(diào)的，希望整個(gè)容器網(wǎng)絡(luò)能獲得跟傳統(tǒng)網(wǎng)絡(luò)同等的待遇，就需要容器網(wǎng)絡(luò)內(nèi)部和外部打通。業(yè)務(wù)流量的管控以及管理控制平面，都需要連通外部的管理側(cè)，那么管理側(cè)就需要可以直接訪問到容器節(jié)點(diǎn)，這也是Kube-OVN適用于金融行業(yè)的很重要的特性之一。容器網(wǎng)絡(luò)升級(jí)變成真正意義上的“一等網(wǎng)絡(luò)”才能從根本上解決這個(gè)問題。

跨云多網(wǎng)絡(luò)集群互通

因?yàn)槎嗉旱紫碌腜od地址可以直接互通，可以建立相應(yīng)的隧道，這樣對(duì)底層的網(wǎng)絡(luò)依賴就比較小，網(wǎng)關(guān)之間可以通過等價(jià)的路由做多活、高可用，避免單點(diǎn)，這也是容器集群插件能夠帶來增值的應(yīng)用場景。

容器網(wǎng)絡(luò)安全設(shè)置

容器應(yīng)用越來越廣泛、重要，這已經(jīng)是共識(shí)。在這種趨勢下，核心交易系統(tǒng)也開始容器化，也需要有相應(yīng)的等保要求，對(duì)容器應(yīng)用做一定級(jí)別上的隔離。傳統(tǒng)容器云網(wǎng)絡(luò)構(gòu)建是基于iptable的隔離，原生的NetPolicy實(shí)施起來難度非常大，而且后期管理比較復(fù)雜，所以就需要對(duì)這種policy進(jìn)行相應(yīng)的擴(kuò)展和ACL控制。另外容器內(nèi)部的流量可以做相應(yīng)的鏡像，這是傳統(tǒng)網(wǎng)絡(luò)提供的特性，在Kube-OVN里也能完美支持這個(gè)功能，便于進(jìn)行安全和流量的分析。

完善的監(jiān)控體系

對(duì)于網(wǎng)絡(luò)監(jiān)控體系的構(gòu)建，目前大部分企業(yè)容器網(wǎng)絡(luò)的內(nèi)部其實(shí)是一個(gè)“黑盒”，很難知道它里面的連通性或者相應(yīng)的問題，會(huì)帶來管理上的挑戰(zhàn)。Kube-OVN插件自帶容器網(wǎng)絡(luò)內(nèi)部故障診斷調(diào)優(yōu)、以及非常多的故障診斷監(jiān)視數(shù)據(jù)等企業(yè)級(jí)的高級(jí)容器網(wǎng)絡(luò)功能，解決了使用上的后顧之憂。

容器網(wǎng)絡(luò)性能

雖然做了這么多控制，但是通過Kube-OVN的一些調(diào)優(yōu)，仍然可以實(shí)現(xiàn)和現(xiàn)有容器網(wǎng)絡(luò)有同等流量性能，并未發(fā)生性能損耗的現(xiàn)象。之前用到Calico方案，是最接近于物理網(wǎng)絡(luò)性能的吞吐量，通過對(duì)比，Kube-OVN在性能上與Calico是相當(dāng)?shù)?，另外它還可以支持OVS、DPDK這種自定義協(xié)議棧以及硬件加速方案，可以提升整個(gè)的容器性能。通常金融行業(yè)在上核心系統(tǒng)時(shí)要經(jīng)過嚴(yán)格的容器網(wǎng)絡(luò)性能的壓測，測試結(jié)果基本能達(dá)到預(yù)期。

越來越多金融銀行變成金融企業(yè)，中信銀行也不例外。中信銀行未來也需要對(duì)外進(jìn)行相應(yīng)的輸出，包括子公司或者下屬單位，容器云平臺(tái)作為關(guān)鍵的基礎(chǔ)設(shè)施，就要適應(yīng)這種管理的特點(diǎn)。相應(yīng)地，容器網(wǎng)絡(luò)重要性也越來越高，中信銀行在對(duì)容器網(wǎng)絡(luò)進(jìn)行升級(jí)，從一期的flannel到二期的Calico，到現(xiàn)在計(jì)劃構(gòu)建基于Kube-OVN插件、支持IPV4和IPV6雙棧，以及VPC級(jí)別租戶隔離的完整解決方案，已進(jìn)入未來中信銀行容器網(wǎng)絡(luò)的升級(jí)計(jì)劃。

上一篇：聯(lián)通天宮平臺(tái)數(shù)字化虛擬網(wǎng)絡(luò)基座實(shí)踐

下一篇：數(shù)字化裝備制造新標(biāo)桿！靈雀云攜手騰訊云打造三一集團(tuán)技術(shù)中臺(tái)