在面对满足券商监管要求、高性能、稳定、易维护性、可扩展性的要求下如何选择合适的容器网络解决方案?

容器网络的架构与原有经典的三层架构区别较大,如何设计容器的网络架构使之能在保证网络的高性能、高可靠性、易维护的前提下还能满足监控、合规、风控、审计的要求?

3回答

wanshaoyuanwanshaoyuan  it技术咨询顾问 , 招商银行
jiangjf2赞同了此回答
楼上两位老哥回答已经很好了,我这里做一个简单总结 面对金融监控要求容器云网络一般都会要求: 1、POD拥有跟数据中心同二层网络ip。 2、POD需要能够固定IP地址,因为针对跨网络分区应用访问需要添加防火墙白名单。 因此这类需求目前都需要一些underlay的网络插件能解决,如cali...显示全部

楼上两位老哥回答已经很好了,我这里做一个简单总结

面对金融监控要求容器云网络一般都会要求:

1、POD拥有跟数据中心同二层网络ip。

2、POD需要能够固定IP地址,因为针对跨网络分区应用访问需要添加防火墙白名单。

因此这类需求目前都需要一些underlay的网络插件能解决,如calico-bgp和macvlan,但如果使用calico-bgp的话需要将bgp路由同步到数据中心的路由器上,不然防火墙无法对POD的IP开白名单,对于大部分金融客户来说基本上不太可能直接使用calico-bgp这种方式,剩下只有使用macvlan了,但直接所有POD使用macvlan会降低POD的灵活性和,并且pod的密度比vm的密度大得多,如果前期没有规划好,同一个vlan内POD数量过多,容易造成广播风暴。为此Rancher针对此类需求专门开发了双网卡的CNI网络插件canal+macvlan,它具有以下特点:

1、一个POD内有两块网卡,默认情况下pod内之有一块canal-vxlan的网卡,可灵活跟据业务POD需求打开macvlan网卡。可有效避免所有POD全部使用macvlan网络。

2、可在UI上对网络macvlan子网进行灵活配置,包括自定义macvlan子网、ip分配范围、自定义路由。

3、可以整个Kubernetes集群网络分拆成两套网络-管理网络和业务网络,实现业务应用网络扁平化的同时也极大的提升了网络的传输性能。

4、能够对workload指定IP和指定mac地址方便一些需要做防火墙流量白名单的应用场景。

收起
 2020-12-04
浏览492
mtming333mtming333  系统架构师 , 某电子支付
zhuhaiqiang赞同了此回答
用macvlan CNI呗,区别就不大了显示全部

用macvlan CNI呗,区别就不大了

收起
 2020-11-26
浏览503
acbogehacbogeh  系统工程师 , 富国基金
macvlan优点是固定IP,缺点是规模大的话维护路由表是个工作量。Calico性能比MacVLAN要差一点,但是Calico使用BGP可以方便的对接物理网络,有丰富的Network Policy,能够满足大部分要求。 显示全部

macvlan优点是固定IP,缺点是规模大的话维护路由表是个工作量。
Calico性能比MacVLAN要差一点,但是Calico使用BGP可以方便的对接物理网络,有丰富的Network Policy,能够满足大部分要求。

收起
 2020-12-02
浏览488

提问者

aoe888系统分析师, 国联证券股份股份有限公司

问题状态

  • 发布时间:2020-11-26
  • 关注会员:4 人
  • 问题浏览:981
  • 最近回答:2020-12-04