容器 SDN 技术与微服务架构实践.pdf

容器SDN 技术与微服务架构实践 大纲 • SDN • 容器与网络 • 开源容器网络方案 • Flannel • Calico • Weave • 七牛实践与案例分析 SDN 软件定义网络 网络结构的灵活性 容器与网络 • 相比传统虚机 • 每个容器的职能更少 • 容器之间的关系更加复杂 • 网络端点数量上升 • 容器的生命周期更短 Pipework Docker Bridge • 原理： • Linux bridge 二层包交换 • iptables NAT 地址转换 • ip_forward 路由转发 Docker Bridge • NAT 性能损耗 • 重启后 IP 发生变化 • Bridge 内流量难以精细隔离 • IP 无法跨主机灵活迁移 • 需额外管理端口冲突 • NAT 模式下，跨主机间通信会隐 藏地址信息 • blahblah… Flannel 控制平面 转发平面-udp 转发平面-vxlan Calico • 将操作系统协议栈化为Router • 模拟传统网络拓扑实现思路做路由转发 控制平面 转发平面/隔离 Weave • 分布式Router （container） • Router 间建立TCP 学习路由，形成控制平面 • Router 间建立UDP/vxlan 通道，形成数据转发平面 控制平面 • 分布式Router 之间Full Mesh 结构 • 通过路由协议自主学习路由 • 自主进行节点拓扑计算与收敛 转发平面-pcap • 从网桥设备上通过pcap 获取原始帧 • wRouter 查询下一跳地址，将原始帧封成UDP 发送 • 对端解封UDP，将原始帧注入网桥设备 转发平面-odp • wRouter 不参与实际流量转发 • wRouter 通过控制odp Flow 规则达到路由目的 • odp 间通过vxlan 隧道互联 服务发现/负载均衡 • DNS Server 监听在 docker0 • Container 的dns server 指向docker0 • DNS Server 从wRouter 中查取 子网隔离 • 支持子网级隔离 • 依赖容器的网络配置权限 • 仅子网内流量可走 weave bridge • 非法流量会被导入默认网 关（即docker0） Docker Flannel Weave Calico Bridge 隔离粒度 粗 无 粗，子网级 细 地址管理 子网内分配 etcd IPAM IPAM udp 差 pcap 差 性能 NAT 损耗