部分应用容器化后,需要固定IP运行,以开通跨区的网络访问策略,calico网络方案是否有好的解决办法?

银行业有较多网络安全区域划分和隔离要求,不同网络区域间应用互访需要开放IP到IP的网络策略,部分应用容器化后,就需要固定IP运行,以开通跨区的网络访问策略,calico网络方案对这类需求是否有好的解决办法?

参与6

2同行回答

lzj7618937lzj7618937  质控经理 , cib
Calico是Kubernetes生态系统中另一种流行的网络选择。虽然Flannel被公认为是最简单的选择,但Calico以其性能、灵活性而闻名。Calico的功能更为全面,不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI框架内封装了Calico的功能。Calico是一个基于B...显示全部

Calico是Kubernetes生态系统中另一种流行的网络选择。虽然Flannel被公认为是最简单的选择,但Calico以其性能、灵活性而闻名。Calico的功能更为全面,不仅提供主机和pod之间的网络连接,还涉及网络安全和管理。Calico CNI插件在CNI框架内封装了Calico的功能。

Calico是一个基于BGP的纯三层的网络方案,与OpenStack、Kubernetes、AWS、GCE等云平台都能够良好地集成。Calico在每个计算节点都利用Linux Kernel实现了一个高效的虚拟路由器vRouter来负责数据转发。每个vRouter都通过BGP1协议把在本节点上运行的容器的路由信息向整个Calico网络广播,并自动设置到达其他节点的路由转发规则。Calico保证所有容器之间的数据流量都是通过IP路由的方式完成互联互通的。Calico节点组网时可以直接利用数据中心的网络结构(L2或者L3),不需要额外的NAT、隧道或者Overlay Network,没有额外的封包解包,能够节约CPU运算,提高网络效率。

Calico 在小规模集群中可以直接互联,在大规模集群中可以通过额外的 BGP route reflector 来完成。

此外, Calico 基于 iptables 还提供了丰富的网络策略,实现了 Kubernetes 的 Network Policy 策略,提供容器间网络可达性限制的功能。

收起
银行 · 2020-12-09
浏览776
mtming333mtming333  系统架构师 , 某电子支付
用nodeport模式这事儿会比较好推显示全部

用nodeport模式这事儿会比较好推

收起
互联网服务 · 2020-12-09
浏览784

提问者

御麟
御麟0715
其它某银行
擅长领域: 云计算容器容器云

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2020-12-09
  • 关注会员:3 人
  • 问题浏览:1487
  • 最近回答:2020-12-09
  • X社区推广