容器網(wǎng)絡(luò)的特點(diǎn)

時間：2022-04-12 09:48:01 | 來源：行業(yè)動態(tài)

時間：2022-04-12 09:48:01 來源：行業(yè)動態(tài)

1）容器環(huán)境下以東西向的通信為主

容器的特點(diǎn)是彈性伸縮，支撐彈性伸縮最主要的兩個特征分別是分布式和負(fù)載均衡。在這兩個特征支撐下，容器可以在業(yè)務(wù)壓力過大時做到彈性伸縮，業(yè)務(wù)以POD單位進(jìn)行彈性擴(kuò)充。

從可達(dá)性來看，任何兩個POD間都是可達(dá)的，而且外部也可以通過Ingress、LB的方式來訪問容器集群里面任意的POD，這帶來一個問題：服務(wù)之間的溝通變多了，東西向流量成為容器環(huán)境下的主體流量，而這個流量，傳統(tǒng)的流量采集方式無法全部覆蓋。

第一：因?yàn)閭鹘y(tǒng)的流量采集方式是通過物理交換機(jī)的鏡像、分光等方式，在容器網(wǎng)絡(luò)環(huán)境下，容器間的通信可能在K8s的Node之內(nèi)或者一個VM的Hypervisor就終結(jié)了，很難去到達(dá)物理的交換機(jī)層面。

第二：即使容器、POD之間的流量能到達(dá)物理交換機(jī)，隨著容器規(guī)模的擴(kuò)張，要想做到全覆蓋，投入用于流量采集的成本會急劇增長。

2）端到端路徑的復(fù)雜

容器的環(huán)境下有大量的LB，在提供負(fù)載均衡等復(fù)雜的場景下，SNAT和DNAT會多次發(fā)生，每一次發(fā)生地址轉(zhuǎn)換就意味著可能會產(chǎn)生網(wǎng)絡(luò)性能問題。

即使兩個POD之間是三層可達(dá)，但是這兩個POD的End to End的通信路徑上可能會跨越物理服務(wù)器的機(jī)架，導(dǎo)致可能會跨越接入交換機(jī)、物理網(wǎng)元；也可能會跨越兩個公有云的AZ、區(qū)域，或者不同的云，甚至是在私有云和公有云之間通信。所以任何兩個POD之間通過service的訪問都可能會有解析、DNS性能以及負(fù)載均衡的問題。

3）業(yè)務(wù)的拓?fù)涞膭討B(tài)性強(qiáng)

在傳統(tǒng)網(wǎng)絡(luò)環(huán)境，服務(wù)器和虛擬機(jī)的IP地址是很少發(fā)生變化的，對業(yè)務(wù)的梳理其實(shí)等同于對IP地址身份信息的梳理。由于容器用DNS解析IP，可能存在IP重疊、IP對應(yīng)的資源身份在不斷地變化等，所以在容器環(huán)境，對IP身份的識別非常困難。

4）容器網(wǎng)絡(luò)規(guī)模超級大

一般情況下，一個物理機(jī)上可以運(yùn)行10個虛擬機(jī)，一個虛擬機(jī)上可以運(yùn)行10個POD，因此容器網(wǎng)絡(luò)環(huán)境的IP數(shù)量就有100倍的增長。IP數(shù)量的巨增，意味著網(wǎng)絡(luò)監(jiān)控的數(shù)據(jù)至少有100倍的增長。在監(jiān)控計算、存儲資源時，基本上有多少臺機(jī)器得到的監(jiān)控數(shù)據(jù)就是多少個。



但是對于網(wǎng)絡(luò)監(jiān)控而言，極限情況下數(shù)據(jù)是N方的量級，因?yàn)榫W(wǎng)絡(luò)監(jiān)控的本質(zhì)是一個端到端的信息。極端情況下，容器里所有的POD都會產(chǎn)生通信，就相當(dāng)于有N方的通信需要被監(jiān)控，因此網(wǎng)絡(luò)規(guī)模非常巨大。

以上這些特點(diǎn)都會導(dǎo)致容器網(wǎng)絡(luò)監(jiān)控的難度上升。