圖 9 是我們軟件+硬件的網(wǎng)絡(luò)拓?fù)?#xff1a;

1）以 leaf 為邊界，leaf 以下是 underlay，走 VLAN；上面 overlay，走 VxLAN

2）underlay 由 neutron、OVS 和 neutron OVS agent 控制；overlay 是 CNC 控制

3）Neutron 和 CNC 之間通過(guò) plugin 集成

3.4 創(chuàng)建實(shí)例涉及的網(wǎng)絡(luò)配置流程

這里簡(jiǎn)單來(lái)看一下創(chuàng)建一個(gè)實(shí)例后，它的網(wǎng)絡(luò)是怎么通的。圖 10 中黑色的線是 OpenStack 原有的邏輯，藍(lán)色的是我們新加的。

1）控制節(jié)點(diǎn)：從 nova 發(fā)起一個(gè)創(chuàng)建實(shí)例請(qǐng)求，指定從哪個(gè)網(wǎng)絡(luò)分配 IP 給這個(gè)實(shí)例。 nova 調(diào)度器將任務(wù)調(diào)度到某臺(tái)計(jì)算節(jié)點(diǎn)

2）計(jì)算節(jié)點(diǎn)：nova compute 開(kāi)始創(chuàng)建實(shí)例，其中一步是向 neutron 發(fā)起一個(gè) create port 請(qǐng)求，簡(jiǎn)單認(rèn)為就是申請(qǐng)一個(gè) IP 地址

3）Neutron Server: neutron 創(chuàng)建一個(gè) port，然后經(jīng) create port 的 postcommit 方法 到達(dá) CNC ML2 plugin；plugin 進(jìn)一步將 port 信息同步給 CNC，CNC 將其存儲(chǔ)到自己 的 DB

4）計(jì)算節(jié)點(diǎn)：port 信息從 neutron server 返回給 nova-compute

5）計(jì)算節(jié)點(diǎn)：nova-compute 拿到 port 信息，為實(shí)例創(chuàng)建虛擬網(wǎng)卡，配置 IP 地址等參數(shù) ，并將其 attach到 OVS

6）計(jì)算節(jié)點(diǎn)：ovs agent 檢測(cè)到新的 device 后，就會(huì)為這個(gè) device 配置 OVS，添加 flow 等，這時(shí)候 underlay 就通了，它會(huì)將 underlay 狀態(tài)上報(bào)給 neutron server

7）計(jì)算節(jié)點(diǎn)：nova-compute 做完網(wǎng)絡(luò)配置后，會(huì)發(fā)送一個(gè) update port 消息給 neutron server，其中帶著?host_id?信息，表示這個(gè) port 現(xiàn)在在哪臺(tái)計(jì)算節(jié)點(diǎn)上

8）Neutron Server：請(qǐng)求會(huì)通過(guò) postcommit 發(fā)給 CNC

9）CNC：CNC 根據(jù)?host_id?找到這臺(tái)計(jì)算節(jié)點(diǎn)所連接的 leaf 的端口，然后向這些端口動(dòng)態(tài)下發(fā)配置，這時(shí)候 overlay 就通了，最后將 overlay 狀態(tài)上報(bào)給 neutron server

在我們的系統(tǒng)里看，這時(shí) port 就是一個(gè)?ACTIVE_ACTIVE?的狀態(tài)，表示 underlay 和 overlay 配置都是正常的，網(wǎng)絡(luò)應(yīng)該是通的。

3.5 小結(jié)

總結(jié)一下我們這套方案。

硬件

首先，我們從三層網(wǎng)絡(luò)架構(gòu)演進(jìn)到 Spine-Leaf 兩級(jí)架構(gòu)。Spine-Leaf 的 full-mesh 使得服務(wù)器之間延遲更低、容錯(cuò)性更好、更易水平擴(kuò)展。另外，Spine-Leaf 還支持分布式網(wǎng) 關(guān)，緩解了集中式網(wǎng)關(guān)的性能瓶頸和單點(diǎn)問(wèn)題。

軟件

自研 SDN 控制器并與 OpenStack 集成，實(shí)現(xiàn)了網(wǎng)絡(luò)的動(dòng)態(tài)配置。

這套方案同時(shí)支持虛擬機(jī)和應(yīng)用物理機(jī)部署系統(tǒng)，限于篇幅這里只介紹了虛擬機(jī)。

多租戶

有硬多租戶（hard-multitenancy）支持能力。

四、容器和混合云網(wǎng)絡(luò)

以上方案最開(kāi)始還是針對(duì)虛擬機(jī)和應(yīng)用物理機(jī)設(shè)計(jì)的。到了 2017 年，我們開(kāi)始在私有云和公有云上落地容器平臺(tái)，將一部分應(yīng)用從虛擬機(jī)或應(yīng)用物理機(jī)遷移到容器。

容器平臺(tái)（K8S、Mesos 等）有不同于虛擬機(jī)平臺(tái)的一些特點(diǎn)，例如：

1）實(shí)例的規(guī)模很大，單個(gè)集群 10k～100k 個(gè)容器是很常見(jiàn)的；

2）很高的發(fā)布頻率，實(shí)例會(huì)頻繁地創(chuàng)建和銷毀；

3）實(shí)例創(chuàng)建和銷毀時(shí)間很短，比傳統(tǒng)的虛擬機(jī)低至少一個(gè)數(shù)量級(jí)；

4）容器的失敗是很常見(jiàn)，總會(huì)因?yàn)楦鞣N各樣的原因?qū)е氯萜鲯斓簟Ｈ萜骶幣乓嬖谠O(shè)計(jì)的 時(shí)候已經(jīng)把失敗當(dāng)做預(yù)期情況處理，例如將掛掉的容器在本機(jī)或其他宿主機(jī)再拉起來(lái)， 后者就是一次漂移；

4.1 私有云的 K8S 網(wǎng)絡(luò)方案

容器平臺(tái)的這些特點(diǎn)對(duì)網(wǎng)絡(luò)提出了新的需求。

4.1.1 網(wǎng)絡(luò)需求

首先，網(wǎng)絡(luò)服務(wù)的 API 必須要快，而且支持較大的并發(fā)。

第二，不管是 agent 還是可執(zhí)行文件，為容器創(chuàng)建和刪除網(wǎng)絡(luò)（虛擬網(wǎng)絡(luò)及相應(yīng)配置）也要快。

最后是一個(gè)工程問(wèn)題：新系統(tǒng)要想快速落地，就必須與很多線上系統(tǒng)保持前向兼容。這給我們網(wǎng)絡(luò)提出一個(gè)需求就是：容器漂移時(shí)，IP 要保持不變。因?yàn)?OpenStack 時(shí)代， 虛擬機(jī)遷移 IP 是不變的，所以很多外圍系統(tǒng)都認(rèn)為 IP 是實(shí)例生命周期中的一個(gè)不變量， 如果我們突然要改成 IP 可變，就會(huì)涉及大量的外圍系統(tǒng)（例如 SOA）改造，這其中很多不 是我們所能控制的。因此為了實(shí)現(xiàn)容器的快速落地，就必須考慮這個(gè)需求。而流行的 K8S 網(wǎng)絡(luò)方案都是無(wú)法支持這個(gè)功能的，因?yàn)樵谌萜髌脚_(tái)的設(shè)計(jì)哲學(xué)里，IP 地址已經(jīng)是一個(gè)被 弱化的概念，用戶更應(yīng)該關(guān)心的是實(shí)例暴露的服務(wù)，而不是 IP。

4.1.2 解決方案：擴(kuò)展現(xiàn)有 SDN 方案，接入 Mesos/K8S

在私有云中，我們最終決定對(duì)現(xiàn)有的為虛擬機(jī)和應(yīng)用物理機(jī)設(shè)計(jì)的 SDN 方案進(jìn)行擴(kuò)展，將 容器網(wǎng)絡(luò)也統(tǒng)一由 Neutron/CNC 管理。具體來(lái)說(shuō)，會(huì)復(fù)用已有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括 Neutron、CNC、OVS、Neutron-OVS-Agent 等待，然后開(kāi)發(fā)一個(gè)針對(duì) Neutron 的 CNI 插件 （對(duì)于 K8S）。

一些核心改動(dòng)或優(yōu)化如下。

Neutron 改動(dòng)

首先是增加了一些新的 API。比如，原來(lái)的 neutron 是按 network id 分配 IP，我們給 network 添加了 label 屬性，相同 label 的 network 我們認(rèn)為是無(wú)差別的。這樣，CNI申 請(qǐng) IP 的時(shí)候，只需要說(shuō)“我需要一個(gè) ‘prod-env’ 網(wǎng)段的 IP”，neutron 就會(huì)從打了“ prod-env” label 的 network 中任選一個(gè)還沒(méi)用完的，從中分一個(gè)IP。這樣既將外部系統(tǒng) 與 OpenStack 細(xì)節(jié)解耦，又提高了可擴(kuò)展性，因?yàn)橐粋€(gè) label 可以對(duì)應(yīng)任意多個(gè) network 。

另外做了一些性能優(yōu)化，例如增加批量分配 IP 接口、API 異步化、數(shù)據(jù)庫(kù)操作優(yōu)化等待。

還有就是 backport 一些新 feature 到 neutron，我們的 OpenStack 已經(jīng)不隨社區(qū)一起升級(jí)了，都是按需 backport。例如，其中一個(gè)對(duì)運(yùn)維和 trouble shooting 非常友好的功能 是 Graceful OVS agent restart。

K8S CNI for Neutron 插件

開(kāi)發(fā)了一個(gè) CNI plugin 對(duì)接 neutron。CNI 插件的功能比較常規(guī)：

1）為容器創(chuàng)建 veth pairt，并 attach 到 OVS

2）為容器配置 MAC、IP、路由等信息

但有兩個(gè)特殊之處：

1）向 neutron（global IPAM）申請(qǐng)分配和釋放 IP，而不是宿主機(jī)的本地服務(wù)分配（local IPAM）

2）將 port 信息更新到 neutron server

基礎(chǔ)網(wǎng)絡(luò)服務(wù)升級(jí)

另外進(jìn)行了一些基礎(chǔ)架構(gòu)的升級(jí)，比如 OVS 在過(guò)去幾年的使用過(guò)程中發(fā)現(xiàn)老版本的幾個(gè) bug，后來(lái)發(fā)現(xiàn)這幾個(gè)問(wèn)題在社區(qū)也是有記錄的：

1）vswitchd?CPU 100% [3]

2）流量鏡像丟包 [4]

注意到最新的 LTS 版本已經(jīng)解決了這些問(wèn)題，因此我們將 OVS 升級(jí)到了最新的 LTS。 大家如果有遇到類似問(wèn)題，可以參考 [3, 4]。

4.1.3 容器漂移

創(chuàng)建一個(gè)容器后，容器網(wǎng)絡(luò)配置的流程和圖 10 類似，Nova 和 K8S 只需做如下的組件對(duì)應(yīng)：

• nova?->?kube master

• nova-compute -> kubelet

• nova network driver -> CNI

其流程不再詳細(xì)介紹。這里重點(diǎn)介紹一下容器漂移時(shí) IP 是如何保持不變的。

如圖 11 所示，保持 IP 不變的關(guān)鍵是：CNI 插件能夠根據(jù)容器的labels 推導(dǎo)出 port name，然后拿 name 去 neutron 里獲取 port 詳細(xì)信息。port name 是唯一的，這個(gè)是我們改過(guò)的，原生的 OpenStack 并不唯一。

第二個(gè)宿主機(jī)的 CNI plugin 會(huì)根據(jù) name 找到 port 信息，配置完成后，會(huì)將新的?host_id?更新到 netron server；neutron 通知到 CNC，CNC 去原來(lái)的交換機(jī)上刪除配置 ，并向新的交換機(jī)下發(fā)配置。

4.1.4 小結(jié)

簡(jiǎn)單總結(jié)一下：

1）在保持基礎(chǔ)設(shè)施不變的情況下，我們快速地將容器平臺(tái)的網(wǎng)絡(luò)接入到已有系統(tǒng)

2）一個(gè) IPAM 同時(shí)管理了虛擬機(jī)、應(yīng)用物理機(jī)和容器的網(wǎng)絡(luò)

目前這套新方案的部署規(guī)模：

1）4 個(gè)可用區(qū)

2）最大的可用區(qū)有超過(guò) 500 個(gè)節(jié)點(diǎn)（VM/BM/Container 宿主機(jī)），其中主要是 K8S 節(jié)點(diǎn)

3）單個(gè) K8S 節(jié)點(diǎn)最多會(huì)有 500+ pod（測(cè)試環(huán)境的超分比較高）

4）最大的可用區(qū)有 2+ 萬(wàn)個(gè)實(shí)例，其中主要是容器實(shí)例

4.1.5 進(jìn)一步演進(jìn)方向

以上就是到目前為止我們私有云上的網(wǎng)絡(luò)方案演講，下面這張圖是我們希望將來(lái)能達(dá)到的一 個(gè)架構(gòu)。

首先會(huì)有 underlay 和 overlay 兩個(gè)平面。underlay 部署各種基礎(chǔ)設(shè)施，包括 Openstack 控制器、計(jì)算節(jié)點(diǎn)、SDN 控制器等，以及各種需要運(yùn)行在underlay的物理設(shè)備； 在 overlay 創(chuàng)建 VPC，在 VPC 里部署虛擬機(jī)、應(yīng)用物理機(jī)實(shí)例等。

在 VPC 內(nèi)創(chuàng)建 K8S 集群，單個(gè) K8S 集群只會(huì)屬于一個(gè) VPC，所有跨 K8S 集群的訪問(wèn)都走服務(wù)接口，例如 Ingress，現(xiàn)在我們還沒(méi)有做到這一步，因?yàn)樯婕暗胶芏嗬檄h(huán)境的軟件和硬件改造。

4.2 公有云上的 K8S

接下來(lái)看一下我們?cè)诠性粕系木W(wǎng)絡(luò)。

4.2.1 需求

隨著攜程國(guó)際化戰(zhàn)略的開(kāi)展，我們需要具備在海外部署應(yīng)用的能力。自建數(shù)據(jù)中心肯定是來(lái)不及的，因此我們選擇在公有云上購(gòu)買虛擬機(jī)或 baremetal 機(jī)器，并搭建和維護(hù)自己的 K8S 集群（非廠商托管方案，例如 AWS EKS [10]）。 在外層，我們通過(guò) CDOS API 封裝不同廠商的差異，給應(yīng)用部門提供統(tǒng)一的接口。這樣，我們的私有云演進(jìn)到了混合云的階段。

網(wǎng)絡(luò)方面主要涉及兩方面工作：一是 K8S 的網(wǎng)絡(luò)方案，這個(gè)可能會(huì)因廠商而已，因?yàn)椴煌?廠商提供的網(wǎng)絡(luò)模型和功能可能不同；二是打通私有云和公有云。

4.2.2 AWS 上的 K8S 網(wǎng)絡(luò)方案

以 AWS 為例來(lái)看下我們?cè)诠性粕系?K8S 網(wǎng)絡(luò)方案。

首先，起 EC2 實(shí)例作為 K8S node，我們自己開(kāi)發(fā)一個(gè) CNI 插件，動(dòng)態(tài)向 EC2 插拔 ENI， 并把 ENI 作為網(wǎng)卡給容器使用。這一部分借鑒了 Lyft和 Netflix 在 AWS 上經(jīng)驗(yàn) [5, 6]。

在 VPC 內(nèi)，有一個(gè)全局的 IPAM，管理整個(gè) K8S 集群的網(wǎng)絡(luò)資源，角色和私有云中的 neutron 類似。它會(huì)調(diào)用 AWS API 實(shí)現(xiàn)網(wǎng)絡(luò)資源的申請(qǐng)、釋放和管理。

另外，我們的 CNI 還支持 attach/detach floating IP 到容器。還有就是和私有云一樣， 容器漂移的時(shí)候 IP 保持不變。

4.2.3 全球 VPC 拓?fù)?/strong>