3同行回答
我们采用的方案是,容器建设在虚拟机或者物理机上,集群中的容器使用SDN网络方案,互相间通讯,同时也可以与宿主机同一网络的主机通信。但是集群外部机器要访问集群内部的服务,只能通过route/ingress/NodePort。
pod与pod之间网络通过networkpolicy做网络隔离,主机与主机之间的使用传统的防火墙来做隔离。
另外macvlan网络方案,可以让pod与宿主机在同一个网络,这种方式下容器间的网络隔离与传统方式一样,每个容器可以当作一个单独的主机。但这种方案生产应用并不常见。
可以使用二层网络解决与SDN网络对接的问题,比如博云的Fabric方案,具体可以参考[https://mp.weixin.qq.com/s/2C1_X4bwecdH5Mjal1AzYw]
收起目前来看没有什么问题啊,传统网络和SDN的问题本身就可以通过网络厂家的设备来解决,如果你说的是PAAS自身的SDN如何同集群外的服务互联互通,那就是通过router来实现(或者是ingress和egress)。安全域的问题更多的是通过多集群和设计的问题来规避。
收起浏览2117