目前各大行纷纷效仿工行搞两地三中心,或者异地灾备建设。如何对接或改造容器平台的网络,以满足容器平台中应用与传统虚拟机、物理机中旧业务系统的相互通信,避免或尽可能减少对银行现有网络管理模式的冲击?
需要看容器平台所依赖的IAAS能力而定。譬如容器平台部署在传统虚拟化平台,也没有启用SDN网络,如果容器网络设计为hostnetwork模式,则容器POD的应用和传统虚拟机、物理机的旧业务系统是直接可以通信的。
如果容器平台的宿主节点在用IAAS的虚拟机,且启用了SDN网络,容器平台启用的CNI特性,则容器POD的应用可以和IAAS虚拟机的业务应用直接通信。如果和传统网络中的旧应用,则需要开启IAAS的NAT特性或者为宿 主节点配置 EIP地址
目前银行容器平台中的容器应用与传统虚拟机、物理机中旧业务系统的相互通信遇到最多的问题都集中在IP有状态这件事情上,因为传统容器平台上应用如果要实现对外通讯主要是有两种:一种是基于宿主机IP+端口,另外一种是基于域名,这两种应用的对外暴露模式都隐藏了容器平台上应用的真实IP信息,所以不仅会造成传统虚拟机、物理机中旧业务系统无法和容器平台中应用的IP扁平化访问的问题,同时也让银行现有网络管理模式无法对于容器平台上的应用进行IP定位和网络资源管理。
针对以上问题和冲击,银行在两地三中心架构中可以采用灵雀云开源的Kube-OVN Underlay网络解决方案对接或改造容器平台网络,Kube-OVN underlay网络解决方案通过采用OpenStack的ovs二层虚拟交换技术,将容器平台上的应用和传统虚拟机、物理机中旧业务系统拉平到一个二层网络平面,让容器平台上的容器应用和传统虚拟机、物理机一样的使用底层网络资源并实现IP直达通讯。这样可以使银行现有的网络管理模式在Kube-OVN的underlay容器网络下依然有效。
Kube-OVN目前是CNCF的沙箱项目(https://github.com/kubeovn/kube-ovn) ,性能和安全性都能够完全满足金融企业的要求,某大型股份制银行正在计划构建基于Kube-OVN插件、支持IPV4和IPV6双栈,以及VPC级别租户隔离的完整解决方案,感兴趣的话大家可以来了解一下。
收起