银行一般都是传统的网络架构,高并发下,网络缺少灵活性。采用容器后,容器网络如何兼容传统网络和安全管理,并提供扩展的灵活性。
收起容器网络规划前,我们需要明白容器网络常见的模式。
1、underlay网络,实现集群内外直通,网络性能损耗低,约在3%左右。缺点,占用大量内网IP地址。
2、overlay网络,采用类似Vxlan方式对网络数据做了加密解密工作,可以实现集群内外是不同网段。如,集群内使用192.168.0.0/16,集群外使用172.10.0.0/16。网络性能损耗较高,约20%左右。
我们明白两种不同网络方案的特点,根据自己的实际情况可以去选择适合的网络方案。
容器的网络安全,一般都是用networkpolicy来实现网络隔离。有些商业产品会进一步做些能力提升,实现基于应用或租户维度的网络隔离能力,并且可以界面化操作,这样运维起来就比较友好。