yy玄幻小说排行榜完本,完美世界有声小说

某股份制商業(yè)銀行定制化PaaS介紹

2017年10月19日

某股份制商業(yè)銀行的PaaS平臺(tái)是由睿云智合(Wise2C)與Rancher合作，基于Rancher做的定制化開(kāi)發(fā)?；跇I(yè)務(wù)場(chǎng)景和銀行業(yè)的特殊需求，同時(shí)為了兼顧能夠?qū)崿F(xiàn)對(duì)以后Rancher版本的平滑升級(jí)，我們?cè)赗ancher之上做了一層邏輯抽象。一、軟件架構(gòu)與部署方案整體軟件架構(gòu)如下圖所示：頂層的DCOS作為統(tǒng)一的管理平臺(tái)，可以通過(guò)PaaS以及IaaS提供的API實(shí)現(xiàn)對(duì)云平臺(tái)的集中管控。左側(cè)藍(lán)色部分是原生Rancher，DCOS與紅色定制化部分通過(guò)API來(lái)訪問(wèn)Rancher。由于未對(duì)Rancher做任何改動(dòng)，可以做到對(duì)Rancher版本大于1.2的平滑升級(jí)。紅色部分為定制化邏輯抽象部分，歸納起來(lái)可以按照功能職責(zé)大致分為以下微服務(wù)（后面會(huì)詳細(xì)介紹）： 1 鑒權(quán)認(rèn)證 2 資源管理 3 應(yīng)用編排 4 彈性伸縮 5 日志收集 6 監(jiān)控告警 7 鏡像倉(cāng)庫(kù) 這些微服務(wù)在部署時(shí)按照Rancher將infrastructure stack部署到環(huán)境中的思路，使用一個(gè)獨(dú)立的Rancher環(huán)境來(lái)部署這些微服務(wù)，部署拓?fù)浣Y(jié)構(gòu)如下圖所示：圖中每一個(gè)虛線框?qū)?yīng)Rancher中的一個(gè)環(huán)境；“擴(kuò)展ENV”這個(gè)環(huán)境直接使用Rancher server的主機(jī)作為Agent，上面運(yùn)行定制化的微服務(wù)。其他環(huán)境分別對(duì)應(yīng)到某個(gè)租戶的特定網(wǎng)絡(luò)，單個(gè)網(wǎng)絡(luò)內(nèi)部流量不使用Rancher原生的overlay，而采用Wise2C實(shí)現(xiàn)的扁平化網(wǎng)絡(luò)，網(wǎng)絡(luò)之間流量由外部防火墻控制。二、角色與權(quán)限模型 PaaS平臺(tái)的角色與權(quán)限模型沿用了Rancher的一部分概念，又引入了自己的內(nèi)容。主要差異在于兩方面： 1 PaaS平臺(tái)引入了對(duì)鏡像倉(cāng)庫(kù)的管理，這在Rancher中是沒(méi)有的；即角色的權(quán)限，除包含操作Rancher外，還能夠操作鏡像倉(cāng)庫(kù)。鏡像倉(cāng)庫(kù)與PaaS的權(quán)限模型是一致的； 2 另外，客戶引入了租戶的概念，這點(diǎn)與Rancher中不同，租戶是可以跨越多個(gè)Rancher的環(huán)境的 Rancher權(quán)限模型：平臺(tái)管理員：擁有整個(gè)Rancher平臺(tái)的所有權(quán)限；環(huán)境用戶： 1 Owner擁有環(huán)境的所有權(quán)限； 2 Member擁有除對(duì)環(huán)境內(nèi)部用戶授權(quán)外的所有權(quán)限； 3 Restricted User擁有環(huán)境內(nèi)部除對(duì)用戶授權(quán)以及操作基礎(chǔ)資源外的所有權(quán)限； 4 Read Only擁有環(huán)境內(nèi)部資源的只讀權(quán)限； PaaS平臺(tái)權(quán)限模型：平臺(tái)管理員：等同于Rancher的平臺(tái)管理員權(quán)限再加上對(duì)鏡像倉(cāng)庫(kù)管理的所有權(quán)限；租戶內(nèi)部角色： 1 租戶管理員擁有管理租戶資源以及對(duì)租戶內(nèi)部用戶進(jìn)行授權(quán)的所有權(quán)限；再加上對(duì)鏡像倉(cāng)庫(kù)管理的所有權(quán)限 2 高級(jí)成員在PaaS平臺(tái)內(nèi)擁有對(duì)租戶內(nèi)用戶授權(quán)以及操作基礎(chǔ)資源外的所有權(quán)限；在鏡像倉(cāng)庫(kù)內(nèi)，擁有對(duì)鏡像倉(cāng)庫(kù)設(shè)置鏡像同步規(guī)則、創(chuàng)建、刪除鏡像倉(cāng)庫(kù)Namespace、改變鏡像狀態(tài)等權(quán)限； 3 受限成員在PaaS平臺(tái)內(nèi)擁有對(duì)租戶內(nèi)用戶授權(quán)以及操作基礎(chǔ)資源外的所有權(quán)限；在鏡像倉(cāng)庫(kù)所屬Namespace內(nèi)，擁有上傳、下載鏡像的權(quán)限； 4 Read Only在PaaS平臺(tái)內(nèi)，擁有查看租戶類(lèi)資源的權(quán)限；在鏡像倉(cāng)庫(kù)所屬Namespace內(nèi)，擁有查看鏡像倉(cāng)庫(kù)資源的權(quán)限；具體映射關(guān)系如下圖所示：鑒權(quán)部分的軟件設(shè)計(jì)如下所示：所有對(duì)PaaS訪問(wèn)的API請(qǐng)求均經(jīng)由API proxy做鑒權(quán)控制之后代理到系統(tǒng)內(nèi)部具體的微服務(wù)上。PaaS不直接參與租戶的增刪查改，API proxy通過(guò)與PaaS外部的Keystone通信來(lái)獲取用戶角色以及租戶信息。三、資源管理網(wǎng)絡(luò)部分 1 由于金融行業(yè)對(duì)網(wǎng)絡(luò)安全性方面的要求比較苛刻，而Rancher所能夠提供的均是基于某個(gè)環(huán)境內(nèi)部的overlay網(wǎng)絡(luò)。Overlay必然會(huì)導(dǎo)致很多報(bào)文無(wú)法被安全設(shè)備透明的過(guò)濾，這是行業(yè)內(nèi)無(wú)法接受的；因此，必須采用扁平網(wǎng)絡(luò)。 2 處于安全的考慮，會(huì)出現(xiàn)同一個(gè)stack內(nèi)部的多個(gè)service需要分別部署到不同的網(wǎng)絡(luò)分區(qū)的需求，采用當(dāng)前Rancher的managed網(wǎng)絡(luò)顯然無(wú)法滿足需求；因此，必須支持多網(wǎng)絡(luò)。對(duì)于扁平網(wǎng)絡(luò)的支持，我在之前的文章（在Rancher 1.2中實(shí)現(xiàn)基于CNI的扁平網(wǎng)絡(luò)）中有詳細(xì)的介紹，主要是使用ebtable直接在linux bridge上對(duì)流量做控制，從而避免使用overlay；這樣，外部安全設(shè)備能夠透明的看到各個(gè)容器之間的流量。對(duì)于多網(wǎng)絡(luò)的支持，我們是通過(guò)在Rancher之上實(shí)現(xiàn)一層抽象邏輯來(lái)實(shí)現(xiàn)的。整個(gè)模型演變?yōu)橐粋€(gè)網(wǎng)絡(luò)映射為Rancher的一個(gè)環(huán)境（環(huán)境內(nèi)部運(yùn)行一個(gè)扁平網(wǎng)絡(luò)）。這部分主要涉及對(duì)平臺(tái)中所有網(wǎng)絡(luò)的管理，以及維護(hù)租戶與網(wǎng)絡(luò)之間的映射關(guān)系。下面舉一個(gè)例子來(lái)描述該流程： 1 平臺(tái)管理員在PaaS上創(chuàng)建一個(gè)網(wǎng)絡(luò)，指定網(wǎng)絡(luò)的參數(shù)（子網(wǎng)掩碼、網(wǎng)關(guān)、所屬安全域、所屬隔離域等），這些數(shù)據(jù)會(huì)保存到數(shù)據(jù)庫(kù)； 2 平臺(tái)管理員根據(jù)需要為租戶分配第一個(gè)網(wǎng)絡(luò)；此時(shí)，抽象層需要真正在Rancher上創(chuàng)建出網(wǎng)絡(luò)所對(duì)應(yīng)的環(huán)境；以及創(chuàng)建監(jiān)控、日志、以及定制化系統(tǒng)所需的system級(jí)別的應(yīng)用堆棧； 3 當(dāng)平臺(tái)管理員為租戶分配第二個(gè)以上的網(wǎng)絡(luò)時(shí)，抽象層還需要將該Rancher環(huán)境與租戶其他網(wǎng)絡(luò)對(duì)應(yīng)的Rancher環(huán)境之間建立env link關(guān)系，否則跨Rancher環(huán)境的應(yīng)用堆棧各service之間無(wú)法使用Rancher DNS進(jìn)行互訪。存儲(chǔ)部分客戶PaaS在存儲(chǔ)部分最終選定NFS作為其存儲(chǔ)方案，前期也有討論過(guò)使用ceph等，這部分我在之前的文章（探討容器中使用塊存儲(chǔ)）中也有專門(mén)分析過(guò)為什么不選用那種方案。由于單個(gè)租戶可以擁有多個(gè)網(wǎng)絡(luò)（也就是多個(gè)Rancher環(huán)境），而在Rancher中Rancher-NFS driver所創(chuàng)建volume是基于環(huán)境層面的。為了能夠?qū)⒃搗olume映射到租戶層面，我們?cè)诔橄髮又凶隽诉@層映射操作。具體流程如下： 1 平臺(tái)管理員在PaaS中指定參數(shù)創(chuàng)建出一個(gè)NFS server；同網(wǎng)絡(luò)一樣，此時(shí)只是將數(shù)據(jù)保存到數(shù)據(jù)庫(kù)； 2 平臺(tái)管理員為租戶分配N(xiāo)FS server，此時(shí)抽象層真正操作租戶網(wǎng)絡(luò)所對(duì)應(yīng)的多個(gè)Rancher環(huán)境，在逐個(gè)環(huán)境內(nèi)添加用于提供Rancher-NFS driver的system...

郵政電商平臺(tái)“郵樂(lè)網(wǎng)”完成容器云平臺(tái)項(xiàng)目建設(shè)，進(jìn)一步完善分布式架構(gòu)系統(tǒng)治理

2017年10月19日

眾所周知，容器技術(shù)在互聯(lián)網(wǎng)電商平臺(tái)的應(yīng)用普及相比傳統(tǒng)企業(yè)更早、更為廣泛，2016年10月，郵樂(lè)網(wǎng)成為睿云智合第一個(gè)互聯(lián)網(wǎng)企業(yè)客戶。郵樂(lè)網(wǎng)由中國(guó)郵政與TOM集團(tuán)攜手呈獻(xiàn)，是一個(gè)結(jié)合高端線上網(wǎng)購(gòu)和線下零售于一體的獨(dú)特創(chuàng)新購(gòu)物服務(wù)平臺(tái)。中國(guó)郵政歷史悠久，線下網(wǎng)絡(luò)覆蓋全國(guó)，并且擁有完善的物流系統(tǒng)及代收貨款一體化平臺(tái)；TOM集團(tuán)在電子商務(wù)領(lǐng)域具備豐富的經(jīng)驗(yàn)、先進(jìn)的科技及應(yīng)用。雙方互為裨益，以后來(lái)者面貌出現(xiàn)的?“郵樂(lè)網(wǎng)”，正試圖通過(guò)集合中國(guó)郵政和TOM集團(tuán)的資源優(yōu)勢(shì)，以及借鑒雙方在電子商務(wù)市場(chǎng)的經(jīng)驗(yàn)教訓(xùn)，來(lái)實(shí)現(xiàn)在B2C行業(yè)的突破。以高起點(diǎn)、高規(guī)格快速搭建的郵樂(lè)網(wǎng)電商平臺(tái)，核心技術(shù)團(tuán)隊(duì)來(lái)自滬港地區(qū)資深互聯(lián)網(wǎng)、金融等領(lǐng)域，在搭建支撐年?duì)I收額數(shù)百億且高速增長(zhǎng)的業(yè)務(wù)平臺(tái)過(guò)程中，技術(shù)平臺(tái)的選型與部署嚴(yán)謹(jǐn)而又高效，在全球范圍內(nèi)對(duì)容器云集群管理平臺(tái)產(chǎn)品進(jìn)行了篩選與評(píng)估，最終選擇Rancher作為容器云平臺(tái)核心框架，由睿云智合提供項(xiàng)目實(shí)施與技術(shù)支持服務(wù)，雙方共同為郵樂(lè)網(wǎng)的電商運(yùn)營(yíng)平臺(tái)提供基于容器的云計(jì)算基礎(chǔ)架構(gòu)解決方案。...

安盛天平借助容器技術(shù)提升關(guān)鍵業(yè)務(wù)系統(tǒng)持續(xù)運(yùn)維自動(dòng)化水平

2017年10月19日

在剛剛達(dá)成的安盛天平汽車(chē)保險(xiǎn)有限公司與睿云智合的容器項(xiàng)目合作中，雙方確認(rèn)，由睿云智合提供全方位的技術(shù)支持服務(wù)，幫助安盛天平實(shí)施應(yīng)用容器化的持續(xù)運(yùn)維管理平臺(tái)建設(shè)。雙方將建立長(zhǎng)期的技術(shù)合作，以逐步實(shí)現(xiàn)安盛天平各個(gè)關(guān)鍵應(yīng)用系統(tǒng)在接下來(lái)分階段、分步驟地完成生產(chǎn)環(huán)境容器化后的持續(xù)運(yùn)維管理目標(biāo)。安盛天平車(chē)險(xiǎn)是中國(guó)財(cái)產(chǎn)險(xiǎn)市場(chǎng)上目前以數(shù)字化業(yè)務(wù)為主要核心渠道的兩家公司之一（另一家是平安產(chǎn)險(xiǎn)），公司業(yè)務(wù)系統(tǒng)架構(gòu)一直以追求靈活響應(yīng)、高度自動(dòng)化為目標(biāo)，是為數(shù)不多在信息技術(shù)層面能夠快速高效響應(yīng)數(shù)字化業(yè)務(wù)發(fā)展需要的財(cái)產(chǎn)保險(xiǎn)公司之一。早在2015年末，安盛天平的技術(shù)團(tuán)隊(duì)即已投入對(duì)Docker技術(shù)的研究與學(xué)習(xí)試用之中，在自行完成了多種容器編排框架產(chǎn)品的內(nèi)部部署與測(cè)試后，最終仍選擇借助第三方技術(shù)服務(wù)方的力量，與深圳睿云智合共同合作，逐步完成基于自身實(shí)際需要的容器化應(yīng)用持續(xù)運(yùn)維管理平臺(tái)的建設(shè)，為安盛天平繼續(xù)保持在車(chē)險(xiǎn)數(shù)字化業(yè)務(wù)領(lǐng)域的競(jìng)爭(zhēng)優(yōu)勢(shì)提供新型容器云技術(shù)的有力支持。...

國(guó)內(nèi)首家股份制商業(yè)銀行基于容器的PaaS平臺(tái)項(xiàng)目正式啟動(dòng)

2017年10月19日

2016年10月，在歷時(shí)半年的技術(shù)選型和驗(yàn)證性測(cè)試之后，恒豐銀行最終選擇了基于美國(guó)Rancher Lab公司提供的容器集群管理平臺(tái)來(lái)實(shí)施輕量級(jí)PaaS平臺(tái)項(xiàng)目。作為Rancher Lab在中國(guó)的戰(zhàn)略合作伙伴，睿云智合承接了該項(xiàng)目的全部研發(fā)與實(shí)施任務(wù)。恒豐銀行為全國(guó)18家股份制商業(yè)銀行之一，在極短的時(shí)間內(nèi)完成了公司經(jīng)營(yíng)模式和治理架構(gòu)的大幅改造。由科技驅(qū)動(dòng)業(yè)務(wù)高速發(fā)展的戰(zhàn)略是公司核心經(jīng)營(yíng)思路之一，自主研發(fā)的各類(lèi)系統(tǒng)解決方案將直接支持一線業(yè)務(wù)開(kāi)展，因此，打造一個(gè)內(nèi)部的軟件生產(chǎn)／交付／運(yùn)營(yíng)全生命周期管理平臺(tái)（PaaS）變得極為重要。在Docker引領(lǐng)下的容器技術(shù)顛覆性發(fā)展的今天，PaaS平臺(tái)變得更為輕量又易用，將成為企業(yè)級(jí)用戶IT能力建設(shè)的一個(gè)關(guān)鍵性基礎(chǔ)平臺(tái)。銀行業(yè)由于面對(duì)嚴(yán)格的風(fēng)控與監(jiān)管要求，在創(chuàng)新信息技術(shù)引進(jìn)落地方面格外謹(jǐn)慎，諸多銀行均在1～2年前即已開(kāi)始著手基于容器的PaaS平臺(tái)建設(shè)方案調(diào)研，此次恒豐銀行PaaS項(xiàng)目的啟動(dòng)則率先成為銀行業(yè)的第一單，堪稱金融行業(yè)容器技術(shù)應(yīng)用項(xiàng)目的一個(gè)里程碑。...

長(zhǎng)城人壽謀求核心系統(tǒng)架構(gòu)改造，探索微服務(wù)治理解決方案

2017年10月19日

2016年10月，睿云智合與長(zhǎng)城人壽保險(xiǎn)公司達(dá)成合作，為其提供系統(tǒng)架構(gòu)改造與容器技術(shù)引進(jìn)咨詢服務(wù)。長(zhǎng)城人壽隸屬北京金融街集團(tuán)，已在專業(yè)壽險(xiǎn)領(lǐng)域耕耘十余年，致力于從產(chǎn)品和客戶服務(wù)方向走差異化經(jīng)營(yíng)路線，樹(shù)立自身獨(dú)特的保險(xiǎn)服務(wù)品牌。長(zhǎng)城人壽根據(jù)細(xì)分客戶不斷創(chuàng)新，開(kāi)發(fā)了包括母嬰險(xiǎn)、自助養(yǎng)老險(xiǎn)和全能健康險(xiǎn)在內(nèi)的一系列高保障保險(xiǎn)產(chǎn)品，特別為鋼琴天才郎朗開(kāi)發(fā)設(shè)計(jì)了十指保險(xiǎn)，突顯了保險(xiǎn)的保障本質(zhì)。進(jìn)入日益激烈的數(shù)字化業(yè)務(wù)競(jìng)爭(zhēng)階段后，長(zhǎng)城人壽對(duì)自身業(yè)務(wù)系統(tǒng)的靈活、快速響應(yīng)能力要求也日益提升，業(yè)務(wù)系統(tǒng)進(jìn)行架構(gòu)改造的需求也日益強(qiáng)烈。經(jīng)過(guò)調(diào)研選擇，長(zhǎng)城人壽選擇與睿云智合進(jìn)行合作，引進(jìn)專業(yè)IT咨詢服務(wù)，針對(duì)現(xiàn)行系統(tǒng)架構(gòu)改造制訂規(guī)劃路線和實(shí)施方案，同時(shí)也對(duì)未來(lái)基于容器的微服務(wù)架構(gòu)系統(tǒng)治理模式進(jìn)行了探索與驗(yàn)證。以這個(gè)項(xiàng)目作為起點(diǎn)，從此長(zhǎng)城人壽的業(yè)務(wù)系統(tǒng)架構(gòu)改造工程正式邁入實(shí)踐階段。...

民生人壽保險(xiǎn)成為首家將基于容器的DevOps平臺(tái)在生產(chǎn)環(huán)境落地的金融企業(yè)

2017年10月19日

2016年中，民生人壽保險(xiǎn)有限公司經(jīng)過(guò)技術(shù)選型，決定引進(jìn)睿云智合基于容器的CI/CD產(chǎn)品WiseBuild作為其接下來(lái)在IT內(nèi)部全面推動(dòng)DevOps的核心平臺(tái)。該項(xiàng)目預(yù)計(jì)在半年內(nèi)逐步替代原有的應(yīng)用開(kāi)發(fā)測(cè)試運(yùn)維作業(yè)模式，使得民生保險(xiǎn)的IT治理模式更加順應(yīng)新一代分布式架構(gòu)的核心業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)&運(yùn)維要求，顯著提升業(yè)務(wù)系統(tǒng)軟件的交付效率。作為民營(yíng)壽險(xiǎn)企業(yè)的杰出代表，民生人壽成立十余年來(lái)始終堅(jiān)持貫徹“以用戶為中心”的經(jīng)營(yíng)理念，將不斷提升用戶體驗(yàn)，豐富服務(wù)模式，嘗試通過(guò)多種渠道為客戶提供個(gè)性化、定制化的保險(xiǎn)產(chǎn)品作為公司追求的經(jīng)營(yíng)目標(biāo)。而這一業(yè)務(wù)經(jīng)營(yíng)方針對(duì)IT支持的要求也在日益提高，在經(jīng)過(guò)反復(fù)的“打補(bǔ)丁”方式勉力維持原有核心系統(tǒng)運(yùn)行多年之后，民生人壽IT團(tuán)隊(duì)決心破舊立新，著手重構(gòu)一套全新的微服務(wù)架構(gòu)核心業(yè)務(wù)系統(tǒng)，并且采用容器技術(shù)來(lái)優(yōu)化微服務(wù)架構(gòu)系統(tǒng)的治理模式。民生人壽表示，新架構(gòu)下的核心業(yè)務(wù)系統(tǒng)重建項(xiàng)目意義極為重大，它很可能帶領(lǐng)民生人壽在未來(lái)幾年保險(xiǎn)市場(chǎng)風(fēng)起云涌的激烈競(jìng)爭(zhēng)格局中突破重圍，一舉超越同類(lèi)型機(jī)構(gòu)。...

富德生命人壽在保險(xiǎn)行業(yè)率先啟動(dòng)容器技術(shù)全面實(shí)踐應(yīng)用

2017年10月19日

2016年初，富德生命人壽經(jīng)過(guò)大量調(diào)研與驗(yàn)證性測(cè)試評(píng)估，結(jié)束了容器云集群管理平臺(tái)的技術(shù)選型，選擇睿云智合作為其接下來(lái)容器技術(shù)應(yīng)用場(chǎng)景全面實(shí)踐項(xiàng)目的技術(shù)服務(wù)方。富德生命人壽保險(xiǎn)股份有限公司是一家全國(guó)性的專業(yè)壽險(xiǎn)公司,成立于2002年3月4日,總部現(xiàn)位于深圳。在保險(xiǎn)行業(yè)，富德生命人壽曾創(chuàng)造多個(gè)業(yè)務(wù)創(chuàng)新與高速發(fā)展的業(yè)績(jī)奇跡，其科技團(tuán)隊(duì)技術(shù)實(shí)力雄厚，應(yīng)用系統(tǒng)堅(jiān)持走自研為主的道路，成為行業(yè)典范。本次項(xiàng)目旨在引進(jìn)容器技術(shù)，幫助富德生命人壽IT在CI/CD，微服務(wù)治理，應(yīng)用容器化后持續(xù)運(yùn)維，混合云管理等各個(gè)場(chǎng)景全面踐行和檢驗(yàn)容器技術(shù)的可用性、可靠性，為未來(lái)實(shí)現(xiàn)IT整體架構(gòu)改造，加速I(mǎi)T對(duì)業(yè)務(wù)需求高效、靈活的響應(yīng)支持奠定基礎(chǔ)。...

在Rancher 1.2中實(shí)現(xiàn)基于CNI的扁平網(wǎng)絡(luò)

2016年12月16日

Rancher 1.2 網(wǎng)絡(luò)現(xiàn)狀Rancher 1.2之于之前的版本在很多地方都有顛覆性的更新，今天我著重來(lái)談網(wǎng)絡(luò)方面。在1.2中Rancher實(shí)現(xiàn)了對(duì)CNI的支持，通過(guò)network-plugin來(lái)實(shí)現(xiàn)對(duì)CNI的調(diào)用；另外，network-plugin還實(shí)現(xiàn)了如為暴露端口的容器配置DNAT，MASQUERADE等操作。但是，1.2版本也并非徹底的擁抱CNI，原因如下： 01?Network-plugin默認(rèn)為必選項(xiàng)，其內(nèi)部自動(dòng)檢測(cè)容器是否expose端口到host，并為容器端口配置DNAT規(guī)則；另外，所有容器默認(rèn)使用docker0經(jīng)過(guò)三層轉(zhuǎn)發(fā)（通過(guò)Iptables規(guī)則控制）來(lái)訪問(wèn)外網(wǎng)，即全部配置MASQERADE；這一點(diǎn)限制了網(wǎng)絡(luò)模型（二層廣播域只能在host內(nèi)部），將影響到希望使用另一張網(wǎng)卡來(lái)實(shí)現(xiàn)扁平網(wǎng)絡(luò)的用戶；02Network-plugin的啟動(dòng)依賴于Metadata，而Metadata和DNS server均使用docker0的bridge網(wǎng)絡(luò)（IP為169.254.169.250）。即，用戶私有化的CNI網(wǎng)絡(luò)必須要能夠訪問(wèn)到docker0網(wǎng)絡(luò)，否則Rancher提供的服務(wù)發(fā)現(xiàn)與注冊(cè)以及其它為業(yè)務(wù)層提供的服務(wù)將不可用。03不支持多個(gè)網(wǎng)絡(luò)，官方宣稱只能選擇一個(gè)CNI網(wǎng)絡(luò)，在UI中對(duì)所添加的各類(lèi)型的CNI網(wǎng)絡(luò)均顯示為托管網(wǎng)絡(luò)。其中系統(tǒng)基礎(chǔ)服務(wù)比如scheduler、health check以及l(fā)oad balance默認(rèn)均只能在托管網(wǎng)絡(luò)內(nèi)工作。如若手工添加了其它CNI網(wǎng)絡(luò)，將導(dǎo)致第二個(gè)CNI網(wǎng)絡(luò)內(nèi)，scheduler、health check以及l(fā)oad balance異常?？蛻粜枨?一??在很多場(chǎng)景中用戶對(duì)于容器網(wǎng)絡(luò)的使用，還是希望業(yè)務(wù)與管理隔離，即通過(guò)一張獨(dú)立的網(wǎng)卡來(lái)運(yùn)行業(yè)務(wù)流量。二???在混合組網(wǎng)的場(chǎng)景中，用戶一部分業(yè)務(wù)運(yùn)行在裸機(jī)中，另一部分業(yè)務(wù)運(yùn)行在Rancher容器內(nèi)，將這兩張網(wǎng)絡(luò)統(tǒng)一為一張扁平化網(wǎng)絡(luò)的呼聲也較大。解決方案基于Rancher 1.2中CNI的諸多限制，有沒(méi)有辦法去實(shí)現(xiàn)扁平網(wǎng)絡(luò)呢？答案是肯定的!網(wǎng)絡(luò)整體拓?fù)湎瓤匆粡埦W(wǎng)絡(luò)部署圖，下圖可分為兩個(gè)區(qū)域，Rancher區(qū)域與裸機(jī)區(qū)域。Rancher區(qū)域HOST-1和HOST-2分別為Rancher的agent節(jié)點(diǎn)（每個(gè)節(jié)點(diǎn)有兩張網(wǎng)卡），按業(yè)務(wù)劃分，該區(qū)域內(nèi)部可以通過(guò)容器部署一些變動(dòng)大、常啟?；虺U(kuò)縮容的業(yè)務(wù)。裸機(jī)區(qū)域 Host-3以及其它主機(jī)為物理服務(wù)器（即裸機(jī)），按照業(yè)務(wù)劃分，host-3上可運(yùn)行一些相對(duì)業(yè)務(wù)對(duì)硬件資源要求較高，且不常變動(dòng)的業(yè)務(wù)組件。這兩個(gè)區(qū)域通過(guò)業(yè)務(wù)交換機(jī)二層互聯(lián)，如果網(wǎng)絡(luò)規(guī)模小，這樣的拓?fù)浣Y(jié)果是沒(méi)有問(wèn)題的。如若網(wǎng)絡(luò)規(guī)模大，需要考慮廣播域的問(wèn)題，為了避免廣播風(fēng)暴，一些客戶會(huì)使用一些支持SDN的設(shè)備來(lái)取代業(yè)務(wù)交換機(jī)，從而對(duì)二層廣播做限制。扁平網(wǎng)絡(luò)內(nèi)部（包括兩個(gè)區(qū)域的所有主機(jī)）統(tǒng)一使用外部的路由器做網(wǎng)關(guān)，比如圖中，Rancher內(nèi)部的容器的子網(wǎng)范圍為10.43.0.0/24, IP地址池范圍為10.43.1.2-10.43.1.254。同理，裸機(jī)域內(nèi)，子網(wǎng)范圍為10.43.0.0/24, IP地址池范圍為10.43.2.2-10.43.2.254。之所以要將管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)路經(jīng)過(guò)同一個(gè)路由器（或者防火墻）是因?yàn)閟cheduler需要訪問(wèn)cattle，即管理網(wǎng)；另一方面，scheduler又需要由CNI網(wǎng)絡(luò)中的health check 做健康檢查和故障恢復(fù)。若考慮安全問(wèn)題，可以在防火墻上配置規(guī)則，對(duì)業(yè)務(wù)網(wǎng)對(duì)管理網(wǎng)的訪問(wèn)做限制。 Rancher內(nèi)部CNI網(wǎng)絡(luò)內(nèi)部CNI網(wǎng)絡(luò)主要需要解決兩個(gè)問(wèn)題：?一??如何訪問(wèn)Metadata和DNS server的地址169.254.169.250；二 ?采用獨(dú)立的網(wǎng)卡來(lái)轉(zhuǎn)發(fā)業(yè)務(wù)流量后，二層廣播域跨主機(jī)了，若每臺(tái)主機(jī)上還通過(guò)同一個(gè)IP 169.254.169.250訪問(wèn)DNS和Metadata服務(wù)，如何解決地址沖突的問(wèn)題；下圖是宿主機(jī)內(nèi)部CNI網(wǎng)絡(luò)的拓?fù)鋱D以及流量轉(zhuǎn)發(fā)規(guī)則：由于扁平網(wǎng)絡(luò)需要使用自定義的bridge，與docker0無(wú)關(guān)。同一個(gè)network內(nèi)部的所有容器屬同一個(gè)二層網(wǎng)絡(luò)，且都不可見(jiàn)169.254.169.250地址。為了讓容器可以訪問(wèn)該地址，我們采用將br0（CNI bridge）與docker0連通，然后再該鏈路上的流量做限制來(lái)實(shí)現(xiàn)。具體如下：1、container-1內(nèi)部有到達(dá)169.254.169.250的一條主機(jī)路由，即要訪問(wèn)169.254.169.250需要先訪問(wèn)10.43.0.2；2、通過(guò)veth-cni與veth-doc的鏈接，CNI bridge下的container-1可以將ARP請(qǐng)求發(fā)送到docker0的10.43.0.2地址上。由于10.1.0.2的ARP response報(bào)文是被veth-cni放行的，于是container-1能夠收到來(lái)自10.43.0.2的ARP response報(bào)文。 3、然后container-1開(kāi)始發(fā)送到169.254.169.250的IP請(qǐng)求，報(bào)文首先被送到docker0的veth-doc上，docker0查詢路由表，將報(bào)文轉(zhuǎn)到DNS/metadata對(duì)應(yīng)的容器。然后IP報(bào)文原路返回，被docker0路由到veth1上往br0發(fā)送，由于來(lái)自169.254.169.250的IP報(bào)文都是被放行的，因此container-1最終能夠收到IP。 4、由于屬于該network的所有的宿主機(jī)的docker0上都需要綁定IP地址10.43.0.2；因此，該IP地址必須被預(yù)留，即，在catalog中填寫(xiě)CNI的netconf配置時(shí)，不能將其放入IP地址池。 5、同時(shí)，為了保障該地址對(duì)應(yīng)的ARP請(qǐng)求報(bào)文不被發(fā)送出主機(jī)，從而收到其他主機(jī)上對(duì)應(yīng)接口的ARP響應(yīng)報(bào)文，需要對(duì)所有請(qǐng)求10.1.0.2地址的ARP REQUEST報(bào)文做限制，不允許其通過(guò)br0發(fā)送到宿主機(jī)網(wǎng)卡。具體轉(zhuǎn)發(fā)規(guī)則對(duì)應(yīng)的ebtables規(guī)則如下所示：Drop All traffic from veth-cni except:1、 IP response from 169.254.169.250 2、 ?ARP response from 10.43.0.2 ebtables -t broute -A...

最佳實(shí)踐

近期文章