联系电话:4006-252-832

灵雀动态

灵雀云是容器服务和企业级PaaS领军企业,团队拥有全球领先、超大规模企业级云平台的开发、运维和管理经验。致力于通过革命性技术,帮助企业客户在数字化转型中持续创新。
金融行业企业级容器云平台网络方案
2021-09-17

在前不久举办的Kube-OVN年度大会上,中信银行数据中心技术支持处副处长伍科松在《金融行业企业级容器云网络方案介绍》的演讲中指出,容器平台的最大挑战之一是容器网络,目前大部分企业容器网络的内部其实是一个“黑盒”,容器内部和外部的网络没有打通,也无法实现跨云多网络集群的互通。这种情况下,致力于提供企业级的网络编排能力,拥有丰富的网络规划、流量控制和安全审计功能的开源网络组件Kube-OVN,已进入未来中信银行容器网络的升级计划。

金融容器云平台网络现状和挑战


伍科松通过回顾中信银行容器云平台网络的发展历程,为大家鲜活地阐释了金融容器云平台网络的现状以及面临的挑战。

容器网络现状

2018年中信银行开始容器云平台建设,已实现容器节点数近千、容器规模逾万的规模,新建应用大部分都是上到了容器平台里,该平台已经成为支撑新旧应用的重要基础设施。

容器云平台网络最早采用flannel模型,随着应用上线的数量攀升,以及对于微服务和DevOps的使用越来越多,该模型功能过于单一,同时在一些模式下网络性能损耗明显的弊端凸显。随后,将容器网络改为Calico模型,并融入SDN战略。这样容器宿主机接入的时候,在交换机上面开启了BGP,可以把容器内部的网络对外暴露,然后只需要在核心交换机上配置一些静态路由,就可以将容器宿主机和原有的网络打通,从而实现从原有的flannel二层容器网络变成了三层的容器网络。

在此过程中,还对Calico的组网方案进行了相应的优化,并且做了细腻度的网络控制,然后以命名空间为基准,来进行相应的网络隔离和网络分配。

对传统安全监控带来新的挑战

但是,随着中信银行应用数量和类型的进一步增多,对网络复杂度的要求也越来越高。银行的应用有自身特点,比如中信银行有500多个应用,管理级别不同,访问特色也不同,需要考虑如何兼容传统网络架构,实现传统网络和容器网络之间的互联互通,同时,传统应用容器化迁移后如何实现固定IP,以及对于容器多网络平面、多网卡的管理,多租户和跨云网络、容器流量的监测、调度与QoS等也都面临新的挑战,虽然针对传统网络做了很多优化工作,在容器网络里面,由于网络插件的简化,还有许多问题没有解决,也许这些问题在简单的容器云里不是问题,但是到金融场景里就是比较大的挑战了。

总结来看,金融容器云主要面临新挑战,第一个是架构转型的压力,微服务的流行导致容器网络体量和复杂度大幅上升;第二个是IP服务地址和服务是动态不确定的关系,给监控带来很大难度;第三个是防火墙也需要动态调整;第四个是多租户对带宽资源需求的增强,最后是网络层级的复杂性,很难将传统的网络运维手段和故障诊断手段嫁接到容器平台,需要一个工具把容器网络变成“白盒”。

构建金融行业企业级的容器网络方案


中信银行依托成熟的灵雀云容器网络平台,构建金融行业企业级的容器网络解决方案,用到的就是灵雀云主导开发的开源网络插件Kube-OVN。它以社区成熟的OVS作为容器网络底座,适合于K8s这种原生平台。另外还结合了一些在不同的银行里落地的经验,尤其是把一些安全或者管控、监管侧的要求,结合起来做了相应的构建。

Overlay网络场景拓扑

对于银行来说,所有业务的落地场景,都是以应用或者业务为核心,所以容器网络设计也应该是以业务为核心的。在这种Overlay网络场景下,它可以灵活地添加到网络功能里,并且和现有的物理网络保持独立。同时,容器子网跟宿主机实现解耦,让开通策略直接跟应用捆绑,从而实现点对点的网络隔离。

固定IP地址场景

虽然这个诉求不符合云原生的理念,但是这在金融企业里非常常见。比如中信银行中台应用有些固定IP对应着相应的分行业务,这就需要将配置捆绑到相应IP地址上。网络方案就可以实现指定相应容器Pod的启停时都使用固定的IP地址。

容器网络和外部网络打通

这个也是中信银行微服务架构转型中特别强调的,希望整个容器网络能获得跟传统网络同等的待遇,就需要容器网络内部和外部打通。业务流量的管控以及管理控制平面,都需要连通外部的管理侧,那么管理侧就需要可以直接访问到容器节点,这也是Kube-OVN适用于金融行业的很重要的特性之一。容器网络升级变成真正意义上的“一等网络”才能从根本上解决这个问题。

跨云多网络集群互通

因为多集群底下的Pod地址可以直接互通,可以建立相应的隧道,这样对底层的网络依赖就比较小,网关之间可以通过等价的路由做多活、高可用,避免单点,这也是容器集群插件能够带来增值的应用场景。

容器网络安全设置

容器应用越来越广泛、重要,这已经是共识。在这种趋势下,核心交易系统也开始容器化,也需要有相应的等保要求,对容器应用做一定级别上的隔离。传统容器云网络构建是基于iptable的隔离,原生的NetPolicy实施起来难度非常大,而且后期管理比较复杂,所以就需要对这种policy进行相应的扩展和ACL控制。另外容器内部的流量可以做相应的镜像,这是传统网络提供的特性,在Kube-OVN里也能完美支持这个功能,便于进行安全和流量的分析。

完善的监控体系

对于网络监控体系的构建,目前大部分企业容器网络的内部其实是一个“黑盒”,很难知道它里面的连通性或者相应的问题,会带来管理上的挑战。Kube-OVN插件自带容器网络内部故障诊断调优、以及非常多的故障诊断监视数据等企业级的高级容器网络功能,解决了使用上的后顾之忧。

容器网络性能

虽然做了这么多控制,但是通过Kube-OVN的一些调优,仍然可以实现和现有容器网络有同等流量性能,并未发生性能损耗的现象。之前用到Calico方案,是最接近于物理网络性能的吞吐量,通过对比,Kube-OVN在性能上与Calico是相当的,另外它还可以支持OVS、DPDK这种自定义协议栈以及硬件加速方案,可以提升整个的容器性能。通常金融行业在上核心系统时要经过严格的容器网络性能的压测,测试结果基本能达到预期。

越来越多金融银行变成金融企业,中信银行也不例外。中信银行未来也需要对外进行相应的输出,包括子公司或者下属单位,容器云平台作为关键的基础设施,就要适应这种管理的特点。相应地,容器网络重要性也越来越高,中信银行在对容器网络进行升级,从一期的flannel到二期的Calico,到现在计划构建基于Kube-OVN插件、支持IPV4和IPV6双栈,以及VPC级别租户隔离的完整解决方案,已进入未来中信银行容器网络的升级计划。


上一篇:联通天宫平台数字化虚拟网络基座实践

下一篇:数字化装备制造新标杆!灵雀云携手腾讯云打造三一集团技术中台




为您数字化转型提供更为完善的解决方案和更加优质的全栈服务。

申请试用

联系电话:4006-252-832
© 2021 All Rights Reserved. 灵雀云 版权所有 备案号:京ICP备15011102号-2

返回顶部