云杉网络发布NSP云网互联与服务平台 v5.6.0版 增强容器网络方案

01 |  企业采用混合云及容器网络

在全球范围内混合云已经成为企业用云的主要形式。RightScale 2019年的报告显示,有84%的受访企业采用了多云战略。不同于国外公有云大一统的格局,为满足成本、按需、隐私、合规、避免供应商锁定等目的,国内企业上云大多采用混合云架构,开发、测试、生产、灾备、多地多中心往往使用包括公有云在内的多种云平台,多云并存的局面给管理平面、网络平面以及数据平面的管理带来了更高的复杂度,其中云网协同成为混合云的关键能力。IDC的调研统计显示,企业在进行云投资时,对安全合规、易于管理等方面的问题最为关注。

由于大部分企业的IT 基础设施经过了长期的发展和规划。企业IT的现状是在相当长的时期内新建云资源池将与传统IT环境共存,通常存在多个厂商、多种型号的网络设备以及多种资源池(如OpenStack、VMware、容器、BareMetal、公有云等)环境,并且新建的云/虚拟化资源池规模庞大。在新旧资源池之间有业务迁移的普遍需求,对传统网络设备、安全设备配置自动化和服务化以及统一纳管需求强烈,但市面上并没有相关产品来填补这块空白。

企业上云向着混合云架构演变的同时,云原生技术的突飞猛进也吸引了企业的目光,越来越多的企业开始采用容器、微服务、DevOps等技术提升业务的敏捷性和弹性。Gartner预测,到2022年将有超过75%的全球组织机构会部署容器化的生产业务应用。中国信息通信研究院的调查报告显示,2019年43.9%的被访企业已经使用容器技术部署业务应用,计划使用容器技术部署业务应用的企业占比为40.8%;28.9%的企业已经使用微服务架构进行应用系统开发,另外有46.8%的企业计划使用微服务架构。云原生技术的采用不同程度地扩大了网络的边界、增强了网络的动态性,日益复杂的虚拟网络使得企业IT基础架构向云演变过程中,面临着多云互联、安全隔离、设备纳管、网络运维等方面的难题。

02 |  云杉网络NSP产品线及NCI方案

北京云杉世纪网络科技有限公司(以下简称:云杉网络)推出的NSP(Network Services Platform)云网互联与服务产品线致力于解决上述难题。NSP支持OpenStack、VMware、容器、Bare-metal等多种类型的资源池和主流网络设备,为企业数据中心提供网络虚拟化、网络编排和边界网络服务,专注于解决企业从传统IT架构向云架构演进过程中遇到的业务连续性、敏捷性、安全性的难题。近期云杉网络发布了NSP v5.6.0版本,改进了Operation DB和运维功能,支持边界网关高可用。

随着客户需求的演进,NSP经过多次迭代目前衍生出DCN和WAN两个产品方向。其中DCN产品整体设计采用了Multi-Fabric架构,NSP控制器首先对接企业数据中心现有的设备和资源池,实现统一纳管;进而对逻辑交换机(Logical Switch)、逻辑路由器(Logical Router)、虚拟路由器(Virtual Router)、虚拟防火墙(Virtual Firewall)、虚拟负载均衡器(Virtual Load Balancer)等网络组件进行管理和编排,最终为业务在混合云场景下提供统一的网络互联与安全隔离,以及弹性部署、多点灾备等服务。WAN产品则聚焦在广域网市场,为客户提供5G场景下的网络切片、组网编排和增值服务。

常见的容器网络方案大多基于Overlay隧道或路由方式实现。此外,还有完全依赖Underlay实现的网络方案。针对企业越来越多采用容器的需求场景,NSP DCN产品大幅优化了容器网络方案NCI(NSP Container Infrastructure),NCI充分兼容主流的容器网络方案,通过插件的形式为基于Kubernetes的容器云平台提供了统一的网络编排和服务管理解决方案,实现了对Kubernetes的PoD网络、东西向和南北向服务网络的统一纳管,同时支持Kubernetes资源池的弹性扩容和跨资源池互联,并满足高性能网络。

03 |  NCI方案组件

NSP的主要组件通常部署在标准x86集群中,共有包括控制器、逻辑路由器、逻辑交换机、虚拟路由器、虚拟防火墙等多个网络功能模块组成。NCI方案组件的构成主要包括DCN产品中的容器插件和相关的控制器模块。

  • 基于Kubernetes的插件

NCI中包含的Kubernetes插件是NSP-DCN产品中适配容器资源池的功能部分。通过Kubernetes插件,DCN控制器完成了对现网中容器网络的对接、实现了对容器网络的基本管理。

  • DCN控制器中的NCI模块

DCN控制器首先自动同步容器资源池的上联设备,为数据中心网络(包括容器)管理提供了统一的北向接口,对包括容器资源池在内的数据中心网络提供配置管理、策略管理、资源管理、服务管理、组网编排等功能。

%e5%9b%be%e7%89%871

具体而言,NCI的组件包含了运行在Kubernetes Node上的NCI-Controller和NCI-OpenvSwitch模块,运行在Kubernetes Master上的NCI-Supervisor模块,以及运行在DCN控制器上的NCI-Provider模块。各模块主要功能如下:

  1. NCI-Controller实现了CNI,负责响应PoD以及服务的增删改,并执行相应的组网和服务配置;
  2. NCI-OpenvSwitch负责运行OvS(OpenvSwitch)网桥,组网和服务配置通过下发给NCI-OpenvSwitch的接口和流表配置来实现;
  3. NCI-Supervisor负责资源(namespaces、subnets、ips、node-subnets等)的管理,一方面对NCI-Controller申请的资源执行分配,一方面向NCI-Provider同步资源信息;
  4. NCI-Provider则负责根据NCI-Supervisor同步过来的信息去配置Kubernetes Node所上联的Leaf交换机,完成Kubernetes资源池内部的整体组网配置。

04 |  NCI方案优势

  • 与数据中心网络联动

NCI方案中PoD的组网逻辑主要基于硬件Leaf交换机上的LS(Logical Switch)和LR(Logical Router)来实现,面向跨资源池(异构)互联场景时,NCI方案采用Multi-Fabric架构组网,通过部署在Region中的Service Leaf(虚拟路由)为容器资源池与Region内部相同资源池、Region内部异构资源池、Region之间异构资源池以及多中心提供统一互联的二层、三层虚拟网络,从而实现容器资源池与整个数据中心网络的联动。

  • 简化容器网络的使用

NCI(控制器模块)通过对接和纳管上联设备,将多层级的容器网络抽象为双层设计,解耦并重构了容器资源和网络的复杂访问逻辑。NCI基于Subnet来为PoD分配地址,同一服务可以映射同一网段的PoD,不同服务则可以映射不同网段的PoD,以满足业务组网编排时层次化的地址划分需求。基于Subnet来分配IP地址大幅简化了策略的配置管理。

对于外部访问,NSP-DCN在逻辑网络中创建VFW和VLB,并将VFW和VLB与Kubernetes的PoD进行组网编排,NCI将对应的南北向服务配置同VLB进行关联,实现对应的南北向服务配置;当Service、Deployment发生变化时,对应的后端PoD IP地址/端口变化会实时更新到VLB中的Real Server Pool,以保证业务联动的扩展和调整。对于Ingress的模型,VLB直接将流量转成Ingress服务所对应的IP地址/端口并转发至Ingress Controller,通过Ingress Controller进一步访问到后端的ClusterIP以及相应的PoD集群。

  • 基于VPC的业务隔离

在NCI的设计实现中,一个VPC对应Kubernetes集群中的一个Namespace;同一Namespace中的PoD通过组网编排,最终可以对外提供完整的业务,多个业务则对应由多个Namespace提供。NCI允许在Namespace中创建多个子网,通过对应VPC中的VNF设备(VGW、VFW、VLB…),使Namespace(中的PoD)各自能够以VPC粒度对外提供业务。NCI在Kubernetes资源池中引入VPC的实现,为企业运营提供了一致的资源粒度,使得容器网络能够被SDN控制器统一管理和编排,从而延续了企业上云后的使用习惯、降低了企业的使用成本。

05 |  总结

企业通过NSP构建网络服务平台,实现了对网络服务、安全服务的统一和自动化管理,在避免厂商绑定的同时进一步提升运维效率,增强了企业云数据中心网络的延展性和应用的灵活部署与调度能力,满足了云数据中心网络的整体需求。云杉网络NCI容器方案采用双层网络的设计、通过控制器和插件的方式简化容器网络的配置、编排和管理,满足企业容器资源池的按需弹性扩容和一致性的服务访问,兼顾了混合云网络的性能与灵活性。在编排层面向多中心、多资源池统一管控,为企业上云提供了自服务的混合云网络,满足了云数据中心网络安全高效的要求,增强了企业云数据中心的延展性和应用的灵活部署与调度能力。

nsp%e7%94%b3%e8%af%b7%e4%bd%93%e9%aa%8c1

Related Posts

根因分析假 running 真故障 记一次电力行业的 SRE 实践

云杉 世纪

2024年3月8日

产品资讯

用户:某省级电网企业 挑战 定界困难:当发生故障,业务部门和网络部门互相推诿,而不是解决问题; 监控颗粒度不足 […]

Read More

云杉网络 DeepFlow 联合 OpenCloudOS 完成技术兼容互认证

云杉 世纪

2024年3月6日

产品资讯

北京云杉世纪网络科技有限公司(以下简称:云杉网络)的云原生可观测性产品 DeepFlow 与 OpenClou […]

Read More