在金融实践中,我们经常遇到此类话题,这也是每一个金融客户都绕不开的话题。 在演讲中,我也提到了关于平台化思维和条线式思维的矛盾,这个矛盾在银行业是特别突出的。
我提几个比较落地的建议:
最后,容器网络是金融客户非常关注的话题,灵雀云的Kube-OVN网络方案已经开源,应该是目前业界比较活跃的方案,有兴趣可以尝试一下。
收起1、容器云有多个集群,其中高并发高性能集群中宿主机上,使用传统网络,容器网络使用ovs。
2、高容量高扩展性的集群,宿主机上采用IaaS的基于VPC隔离的SDN网络,容器网络使用CNI组件,直接offload到宿主机网络上。
容器网络规划前,我们需要明白容器网络常见的模式。
1、underlay网络,实现集群内外直通,网络性能损耗低,约在3%左右。缺点,占用大量内网IP地址。
2、overlay网络,采用类似Vxlan方式对网络数据做了加密解密工作,可以实现集群内外是不同网段。如,集群内使用192.168.0.0/16,集群外使用172.10.0.0/16。网络性能损耗较高,约20%左右。
我们明白两种不同网络方案的特点,根据自己的实际情况可以去选择适合的网络方案。
容器的网络安全,一般都是用networkpolicy来实现网络隔离。有些商业产品会进一步做些能力提升,实现基于应用或租户维度的网络隔离能力,并且可以界面化操作,这样运维起来就比较友好。
收起