010 劉韜-2021中國網絡開源技術生態峰會-KubeOVN（19頁）.pdf

1、Nothing Endures But Change企業級容器網絡方案Kube-OVN介紹及其應用劉韜 靈雀云工程師目 錄容器網絡面臨的挑戰Kube-ovn的網絡編排安全與監控遷移案例容器網絡應用場景日趨復雜 如何兼容傳統網絡架構，容器網絡需和已有基礎實施互通互聯 傳統應用對固定 IP 的需求 容器多網絡平面，多網卡的管理 多租戶，VPC 類型容器網絡需求 多集群網絡互通，跨云容器網絡成為難題容器網絡性能依然是關鍵難點 微服務化導致網絡迅速膨脹 網絡策略，規則增加額外的資源消耗 Kube-Proxy 在大規模下的性能瓶頸 運營商，邊緣計算等場景下對性能的極限需求面向企業場景的容器網絡=+利用社

2、區最為成熟的 OVS 作為網絡底座 基于 Kubernetes 架構原生設計 結合靈雀云企業端多年實踐打造功能 復用 OVS 社區的生態網絡拓撲 Geneve Overlay 網絡，可靈活添加網絡功能，并和現有物理網絡保持獨立 子網和主機無關，容器 IP 地址可以在整個集群漂移 子網綁定 Namespace，方便多租戶地址空間管理，以及地址和項目，應用進行關聯 分布式網關和集中式網關兩種出網方式，每個命名空間可以有獨立的網絡控制網絡拓撲 Underlay 網絡，和物理網絡直接打通，提供更高的性能和吞吐量 支持 Pod 運行在不同 Vlan 網絡中，可通過 Vlan 實現隔離 提供固定 IP/M

3、ac 的能力容器網絡和外部網絡打通Namespace 級別出網控制分布式網關集中式網關NAT 控制Pod 級別出網控制SNATEIP Underlay 方案Pod 接入底層 Vlan，利用物理能力打通跨云多集群互通 多集群 Pod IP 直接互通 每個集群只需一組 Gateway 節點 IP 互通建立隧道，對底層網絡依賴小 網關之間可通過 等價路由做多活高可用，避免單點容器網絡安全 標準 NetworkPolicy 支持 子網 ACL 控制 ACL 日志記錄規則攔截數據 PortSecurity 支持 容器流量全量鏡像，便于安全審計，流量分析 動態 QoS 限制雙向帶寬容器網絡性能 OVN調優

4、，單集群支撐 200節點1w+Pod 流表實現 Service 避免 Iptables性能損耗 硬件加速方案，卸載所有流表匹配至智能網卡 跨節點通信，單核吞吐量一倍提升完善的監控體系 OVN/OVS 的完整監控 集群網絡質量實時監控 Node/Pod/Service/DNS 連通性 Node/Pod/Service/DNS 網絡 Tracing/Tcpdump 工具支持 容器網絡流量完整鏡像 Prometheus/Grafana 集成 https:/ 基于標準 K8s API，通過Operator模式進行開發 所有功能和配置可通過 Annotation，CRD 完成 第三方可根據自己需求進行界面調整社區情況 Apache 2.0 開源，商業版和社區版功能完全一致 入選 CNCF Landscape 天翼云，金山云，華為，銳捷，Intel 等公司參與社區貢獻 30+社區用戶Openstack 與 Kubernetes 過渡案例 Stage 1Openstack 虛擬機與 Kubernetespods 路由可達.集群獨立部署Openstack 與 Kubernetes 過渡案例 Stage 2Openstack 部署于 Kubernetes 上API 同時生效,便于無縫的服務遷移部署靈活,提高資源利用率