1、博云容器网络Fabric的前世、今生和未来博云 赵安全Fabric容器网络-缘起起源-对Kubernetes+容器的认识-基础设施VCenterOpenStackKubernetesESXiKVMKubernetes+Docker作为云原生的基础设施，其网络对上层应用来说，应该是基本无感知的起源-微服务系统上容器平台需求服务2注册中心服务1Kubernetes集群内部数据库、中间件等组件服务3Kubernetes集群外部需求理解：服务1/2/3，需要向注册中心注册，并可以基于注册的地址互相访问；注册中心需要对服务1/2/3做健康检查；服务1/2 与服务3可互相访问；服务1/2/3，都可以访问其

2、它组件；解读：典型的容器集群内外网络直通需求，是微服务场景下在企业中落地的典型需求内外网直通的容器平台需求的解决方案容器集群内外网络直通通过二层网络实现内外网互通通过三层网络实现内外网互通NAT转换OVSMacVlanCalicoBridge方案对比方案UnderlayOverlay性能社区可掌控性可落地性基于OVS自研可支持可支持高高高易Calico支持支持高高中难MacVlan支持不支持高低低易Bridge支持不支持中低高易通过二层网络实现内外网互通采用OVS自行研发容器网络方案的企业/厂商：阿里云、京东商城、腾讯云、华为云、eBay等与vmware、OpenStack默认的网络方案是同样

3、的技术虚拟交换机-1交换机虚拟交换机-2pod虚拟机pod虚拟机物理机主机主机核心技术：虚拟机交换机技术（OVS-OpenVswitch）fabric/underlayOVSeth0192.168.10.1port 1Pod-1eth0eth0192.168.20.1port 2Pod-2port0eth1trunk接口node16.6.6.6No IPvlan 10vlan 20trunk接口管理网络业务网络OVSeth0192.168.10.2port 1Pod-1eth0eth0192.168.20.2port 2Pod-2port0eth1trunk接口node26.6.6.8No I

4、Pvlan 10vlan 20trunk接口boc0boc0controllercontroller 架构简洁 分布式控制器fabric/overlayOVSeth010.100.0.1port 1Pod-1eth0eth010.100.0.2port 2Pod-2boc0node1OVSeth010.100.0.3port 1Pod-3eth0eth010.100.0.4port 2Pod-4boc0node2vxlan0vxlan0controllercontroller 架构简洁 分布式控制器Fabric容器网络-现有能力除了搞定二层直通，我们还做了很多事情支持overlay/under

5、lay两种模式控制面、数据面分离支持IPAM支持IPV6/IPV4指定IP/MAC发布服务，容器重启IP地址不变租户隔离与打通支持NetworkPolicy的灵活隔离机制支持分布式egress网关支持DPDK容器双向限速Debug工具、故障自愈流量分析与监控无感升级支持pod-securityARP代答长期稳定性验证Fabric应用案例：云南移动、东方证券，张家港农商行，苏州农商行，银河证券等网络隔离与打通Fabric 支持NetworkPolicy Spec平台默认租户间隔离，租户内部应用系统间可以互相访问平台管理员可以配置租户间的通信策略，例如A租户可以访问B/C租户租户可以设置应用级别的

6、NetworkPolicy实现应用间隔离DPDK和性能经过多轮性能优化：Underlay网络损耗控制在5%以内；Overlay网络性能损耗控制在20%以内 通过DPDK，可提升小包转发性能50%以上可靠性任意组件故障不影响可用性分布式控制器无集中式控制器，高可靠性，网络快速收敛故障自愈内置故障检查及修复机制，周期性检查环境或配置问题并尝试修复。长期稳定性验证e2e自动化测试 网络连通性自动化测试，涵盖 external(集群外节点)node(集群节点)Pod service（clusterIP，nodePort，clusterIPOnHost，NodePortOnHost）NetworkPol

7、icy NetworkPolicy 测试 细粒度的容器间网络访问隔离策略：Pod粒度 控制：对流量的 入站（流入）/出站（流出）进行控制 配置方式：通过 Label 和 Selector 配合进行选择控制 白名单机制 控制点：Pod、NameSpace、ingress、egress、关系租户隔离测试DeBug工具提供数据包追踪功能，通过模拟流量发送，并进行全链路追踪可追踪的协议类型:tcp udp icmp arp用于探测二层/三层全链路是否正常，找出故障点无感升级Fabric支持低版本到高版本的平滑升级升级过程无需重建应用Pod升级过程不对业务造成影响升级工具示例：高级特性：Pod-Security&ARP代答支持pod-security功能检查容器实例的网络流量，如果出现IP/MAC伪装，则禁止该流量支持APR代答无需广播流量，由控制器进行代答Fabric容器网络-未来未来的Fabric网络 统一支持kubernetes/openstack Fabric网络联邦：打通多个fabric或异构CNI集群 支持windows环境 高级NetworkPolicy：理解L7层协议 网络通讯加密