在面对满足券商监管要求、高性能、稳定、易维护性、可扩展性的要求下如何选择合适的容器网络解决方案?
容器网络的架构与原有经典的三层架构区别较大,如何设计容器的网络架构使之能在保证网络的高性能、高可靠性、易维护的前提下还能满足监控、合规、风控、审计的要求?
收起查看其它 2 个回答wanshaoyuan的回答
楼上两位老哥回答已经很好了,我这里做一个简单总结
面对金融监控要求容器云网络一般都会要求:
1、POD拥有跟数据中心同二层网络ip。
2、POD需要能够固定IP地址,因为针对跨网络分区应用访问需要添加防火墙白名单。
因此这类需求目前都需要一些underlay的网络插件能解决,如calico-bgp和macvlan,但如果使用calico-bgp的话需要将bgp路由同步到数据中心的路由器上,不然防火墙无法对POD的IP开白名单,对于大部分金融客户来说基本上不太可能直接使用calico-bgp这种方式,剩下只有使用macvlan了,但直接所有POD使用macvlan会降低POD的灵活性和,并且pod的密度比vm的密度大得多,如果前期没有规划好,同一个vlan内POD数量过多,容易造成广播风暴。为此Rancher针对此类需求专门开发了双网卡的CNI网络插件canal+macvlan,它具有以下特点:
1、一个POD内有两块网卡,默认情况下pod内之有一块canal-vxlan的网卡,可灵活跟据业务POD需求打开macvlan网卡。可有效避免所有POD全部使用macvlan网络。
2、可在UI上对网络macvlan子网进行灵活配置,包括自定义macvlan子网、ip分配范围、自定义路由。
3、可以整个Kubernetes集群网络分拆成两套网络-管理网络和业务网络,实现业务应用网络扁平化的同时也极大的提升了网络的传输性能。
4、能够对workload指定IP和指定mac地址方便一些需要做防火墙流量白名单的应用场景。