信创异构环境下审视云原生二层和三层容器网络
前言
某企业自2018 年生产实际上线以来,先采用三层Overlay 网络遇到跨集群服务注册调用问题后,改用二层Underlay 容器网络模式,又带来了占用众多网络IP、跨域访问管理复杂化和扩大了安全暴露面等问题。随着信创替换的推进和应用系统云原生化的改造,云原生PaaS 平台集群数量不断增长,并要符合网络安全合规等要求,因此,云原生容器集群网络的选择是一个不得不重视和重新审视的问题。
笔者近期调查了几十家机构容器网络模式使用的情况,三层Overlay 和二层Underaly 容器网络模式基本上五五平分。互联网公司在天然具备云基因的前提下,基本上都选择的是二层 Underlay 网络,而传统公司在监管合规、网络分域、安全管控等要求下,倾向于三层Overlay 网络或 Overlay 和Underlay 并存的情况。理论上云计算封装了底层网络细节,无需关注应用部署位置,但云私有化部署就和传统分域的网络模式产生了冲突。众多业务可能需要分别部署于不同的网络域,那么私有云部署于哪个或哪几个网络域内或每个网络域都部署?特别是云原生Kubernetes集群遇到多架构信创替换,若不同架构服务器构建不同的集群,势必导致集群数量的成备增长;若一个集群管理异构服务器又会带来应用和资源管理和调度的复杂化。因此在信创异构环境下,需要深入审视容器二层和三层网络的优缺点和适用场景,及建设选择和考量。