010 刘韬-2021中国网络开源技术生态峰会-KubeOVN（19页）.pdf

1、Nothing Endures But Change企业级容器网络方案Kube-OVN介绍及其应用刘韬 灵雀云工程师目 录容器网络面临的挑战Kube-ovn的网络编排安全与监控迁移案例容器网络应用场景日趋复杂 如何兼容传统网络架构，容器网络需和已有基础实施互通互联 传统应用对固定 IP 的需求 容器多网络平面，多网卡的管理 多租户，VPC 类型容器网络需求 多集群网络互通，跨云容器网络成为难题容器网络性能依然是关键难点 微服务化导致网络迅速膨胀 网络策略，规则增加额外的资源消耗 Kube-Proxy 在大规模下的性能瓶颈 运营商，边缘计算等场景下对性能的极限需求面向企业场景的容器网络=+利用社

2、区最为成熟的 OVS 作为网络底座 基于 Kubernetes 架构原生设计 结合灵雀云企业端多年实践打造功能 复用 OVS 社区的生态网络拓扑 Geneve Overlay 网络，可灵活添加网络功能，并和现有物理网络保持独立 子网和主机无关，容器 IP 地址可以在整个集群漂移 子网绑定 Namespace，方便多租户地址空间管理，以及地址和项目，应用进行关联 分布式网关和集中式网关两种出网方式，每个命名空间可以有独立的网络控制网络拓扑 Underlay 网络，和物理网络直接打通，提供更高的性能和吞吐量 支持 Pod 运行在不同 Vlan 网络中，可通过 Vlan 实现隔离 提供固定 IP/M

3、ac 的能力容器网络和外部网络打通Namespace 级别出网控制分布式网关集中式网关NAT 控制Pod 级别出网控制SNATEIP Underlay 方案Pod 接入底层 Vlan，利用物理能力打通跨云多集群互通 多集群 Pod IP 直接互通 每个集群只需一组 Gateway 节点 IP 互通建立隧道，对底层网络依赖小 网关之间可通过 等价路由做多活高可用，避免单点容器网络安全 标准 NetworkPolicy 支持 子网 ACL 控制 ACL 日志记录规则拦截数据 PortSecurity 支持 容器流量全量镜像，便于安全审计，流量分析 动态 QoS 限制双向带宽容器网络性能 OVN调优

4、，单集群支撑 200节点1w+Pod 流表实现 Service 避免 Iptables性能损耗 硬件加速方案，卸载所有流表匹配至智能网卡 跨节点通信，单核吞吐量一倍提升完善的监控体系 OVN/OVS 的完整监控 集群网络质量实时监控 Node/Pod/Service/DNS 连通性 Node/Pod/Service/DNS 网络 Tracing/Tcpdump 工具支持 容器网络流量完整镜像 Prometheus/Grafana 集成 https:/ 基于标准 K8s API，通过Operator模式进行开发 所有功能和配置可通过 Annotation，CRD 完成 第三方可根据自己需求进行界面调整社区情况 Apache 2.0 开源，商业版和社区版功能完全一致 入选 CNCF Landscape 天翼云，金山云，华为，锐捷，Intel 等公司参与社区贡献 30+社区用户Openstack 与 Kubernetes 过渡案例 Stage 1Openstack 虚拟机与 Kubernetespods 路由可达.集群独立部署Openstack 与 Kubernetes 过渡案例 Stage 2Openstack 部署于 Kubernetes 上API 同时生效,便于无缝的服务迁移部署灵活,提高资源利用率