在前不久举办的Kube-OVN年度大会上，中信银行数据中心技术支持处副处长伍科松在《金融行业企业级容器云网络方案介绍》的演讲中指出，容器平台的最大挑战之一是容器网络，目前大部分企业容器网络的内部其实是一个“黑盒”，容器内部和外部的网络没有打通，也无法实现跨云多网络集群的互通。这种情况下，致力于提供企业级的网络编排能力，拥有丰富的网络规划、流量控制和安全审计功能的开源网络组件Kube-OVN，已进入未来中信银行容器网络的升级计划。

金融容器云平台网络现状和挑战

伍科松通过回顾中信银行容器云平台网络的发展历程，为大家鲜活地阐释了金融容器云平台网络的现状以及面临的挑战。

容器网络现状

2018年中信银行开始容器云平台建设，已实现容器节点数近千、容器规模逾万的规模，新建应用大部分都是上到了容器平台里，该平台已经成为支撑新旧应用的重要基础设施。

容器云平台网络最早采用flannel模型，随着应用上线的数量攀升，以及对于微服务和DevOps的使用越来越多，该模型功能过于单一，同时在一些模式下网络性能损耗明显的弊端凸显。随后，将容器网络改为Calico模型，并融入SDN战略。这样容器宿主机接入的时候，在交换机上面开启了BGP，可以把容器内部的网络对外暴露，然后只需要在核心交换机上配置一些静态路由，就可以将容器宿主机和原有的网络打通，从而实现从原有的flannel二层容器网络变成了三层的容器网络。

在此过程中，还对Calico的组网方案进行了相应的优化，并且做了细腻度的网络控制，然后以命名空间为基准，来进行相应的网络隔离和网络分配。

对传统安全监控带来新的挑战

但是，随着中信银行应用数量和类型的进一步增多，对网络复杂度的要求也越来越高。银行的应用有自身特点，比如中信银行有500多个应用，管理级别不同，访问特色也不同，需要考虑如何兼容传统网络架构，实现传统网络和容器网络之间的互联互通，同时，传统应用容器化迁移后如何实现固定IP，以及对于容器多网络平面、多网卡的管理，多租户和跨云网络、容器流量的监测、调度与QoS等也都面临新的挑战，虽然针对传统网络做了很多优化工作，在容器网络里面，由于网络插件的简化，还有许多问题没有解决，也许这些问题在简单的容器云里不是问题，但是到金融场景里就是比较大的挑战了。

总结来看，金融容器云主要面临新挑战，第一个是架构转型的压力，微服务的流行导致容器网络体量和复杂度大幅上升；第二个是IP服务地址和服务是动态不确定的关系，给监控带来很大难度；第三个是防火墙也需要动态调整；第四个是多租户对带宽资源需求的增强，最后是网络层级的复杂性，很难将传统的网络运维手段和故障诊断手段嫁接到容器平台，需要一个工具把容器网络变成“白盒”。

构建金融行业企业级的容器网络方案

中信银行依托成熟的灵雀云容器网络平台，构建金融行业企业级的容器网络解决方案，用到的就是灵雀云主导开发的开源网络插件Kube-OVN。它以社区成熟的OVS作为容器网络底座，适合于K8s这种原生平台。另外还结合了一些在不同的银行里落地的经验，尤其是把一些安全或者管控、监管侧的要求，结合起来做了相应的构建。

Overlay网络场景拓扑

对于银行来说，所有业务的落地场景，都是以应用或者业务为核心，所以容器网络设计也应该是以业务为核心的。在这种Overlay网络场景下，它可以灵活地添加到网络功能里，并且和现有的物理网络保持独立。同时，容器子网跟宿主机实现解耦，让开通策略直接跟应用捆绑，从而实现点对点的网络隔离。

固定IP地址场景

虽然这个诉求不符合云原生的理念，但是这在金融企业里非常常见。比如中信银行中台应用有些固定IP对应着相应的分行业务，这就需要将配置捆绑到相应IP地址上。网络方案就可以实现指定相应容器Pod的启停时都使用固定的IP地址。

容器网络和外部网络打通

这个也是中信银行微服务架构转型中特别强调的，希望整个容器网络能获得跟传统网络同等的待遇，就需要容器网络内部和外部打通。业务流量的管控以及管理控制平面，都需要连通外部的管理侧，那么管理侧就需要可以直接访问到容器节点，这也是Kube-OVN适用于金融行业的很重要的特性之一。容器网络升级变成真正意义上的“一等网络”才能从根本上解决这个问题。

跨云多网络集群互通

因为多集群底下的Pod地址可以直接互通，可以建立相应的隧道，这样对底层的网络依赖就比较小，网关之间可以通过等价的路由做多活、高可用，避免单点，这也是容器集群插件能够带来增值的应用场景。

容器网络安全设置

容器应用越来越广泛、重要，这已经是共识。在这种趋势下，核心交易系统也开始容器化，也需要有相应的等保要求，对容器应用做一定级别上的隔离。传统容器云网络构建是基于iptable的隔离，原生的NetPolicy实施起来难度非常大，而且后期管理比较复杂，所以就需要对这种policy进行相应的扩展和ACL控制。另外容器内部的流量可以做相应的镜像，这是传统网络提供的特性，在Kube-OVN里也能完美支持这个功能，便于进行安全和流量的分析。

完善的监控体系

对于网络监控体系的构建，目前大部分企业容器网络的内部其实是一个“黑盒”，很难知道它里面的连通性或者相应的问题，会带来管理上的挑战。Kube-OVN插件自带容器网络内部故障诊断调优、以及非常多的故障诊断监视数据等企业级的高级容器网络功能，解决了使用上的后顾之忧。

容器网络性能

虽然做了这么多控制，但是通过Kube-OVN的一些调优，仍然可以实现和现有容器网络有同等流量性能，并未发生性能损耗的现象。之前用到Calico方案，是最接近于物理网络性能的吞吐量，通过对比，Kube-OVN在性能上与Calico是相当的，另外它还可以支持OVS、DPDK这种自定义协议栈以及硬件加速方案，可以提升整个的容器性能。通常金融行业在上核心系统时要经过严格的容器网络性能的压测，测试结果基本能达到预期。

越来越多金融银行变成金融企业，中信银行也不例外。中信银行未来也需要对外进行相应的输出，包括子公司或者下属单位，容器云平台作为关键的基础设施，就要适应这种管理的特点。相应地，容器网络重要性也越来越高，中信银行在对容器网络进行升级，从一期的flannel到二期的Calico，到现在计划构建基于Kube-OVN插件、支持IPV4和IPV6双栈，以及VPC级别租户隔离的完整解决方案，已进入未来中信银行容器网络的升级计划。

上一篇：联通天宫平台数字化虚拟网络基座实践

下一篇：数字化装备制造新标杆！灵雀云携手腾讯云打造三一集团技术中台