1.企業(yè)采用云原生技術(shù)加速上云

為滿足成本、按需、隱私、合規(guī)、避免供應(yīng)商鎖定等目的，國(guó)內(nèi)企業(yè)上云過(guò)程中往往使用包括公有云在內(nèi)的多種云平臺(tái)。RightScale2019年的報(bào)告顯示，有84%的受訪企業(yè)采用了多云戰(zhàn)略。越來(lái)越多的企業(yè)開(kāi)始采用容器、微服務(wù)、DevOps等技術(shù)提升業(yè)務(wù)的敏捷性和彈性。Gartner預(yù)測(cè)，到2022年將有超過(guò)75%的全球組織機(jī)構(gòu)會(huì)部署容器化的生產(chǎn)業(yè)務(wù)應(yīng)用。由于大部分企業(yè)的IT基礎(chǔ)設(shè)施經(jīng)過(guò)了長(zhǎng)期的發(fā)展和規(guī)劃，企業(yè)IT的現(xiàn)狀是在相當(dāng)長(zhǎng)的時(shí)期內(nèi)新建云資源池將與傳統(tǒng)IT環(huán)境共存，多云并存的局面給管理平面、網(wǎng)絡(luò)平面以及數(shù)據(jù)平面的管理帶來(lái)了更高的復(fù)雜度，其中云網(wǎng)協(xié)同成為混合云的關(guān)鍵能力。

2.云杉網(wǎng)絡(luò)NCI方案

針對(duì)企業(yè)越來(lái)越多采用容器的場(chǎng)景，北京云杉世紀(jì)網(wǎng)絡(luò)科技有限公司（以下簡(jiǎn)稱：云杉網(wǎng)絡(luò)）旗下的NSP（NetworkServicesPlatform）DCN產(chǎn)品大幅優(yōu)化了容器網(wǎng)絡(luò)方案NCI（NSPContainerInfrastructure），通過(guò)插件的形式為基于Kubernetes的容器云平臺(tái)提供了統(tǒng)一的網(wǎng)絡(luò)編排和服務(wù)管理解決方案，實(shí)現(xiàn)了對(duì)Kubernetes的PoD網(wǎng)絡(luò)、東西向和南北向服務(wù)網(wǎng)絡(luò)的統(tǒng)一納管，同時(shí)支持Kubernetes資源池的彈性擴(kuò)容和跨資源池互聯(lián)，并滿足高性能網(wǎng)絡(luò)。

3.NCI方案組件

NCI方案組件的構(gòu)成主要包括DCN產(chǎn)品中的容器插件和相關(guān)的控制器模塊。

基于Kubernetes的插件

NCI中包含的Kubernetes插件是NSP-DCN產(chǎn)品中適配容器資源池的功能部分。通過(guò)Kubernetes插件，DCN控制器完成了對(duì)現(xiàn)網(wǎng)中容器網(wǎng)絡(luò)的對(duì)接、實(shí)現(xiàn)了對(duì)容器網(wǎng)絡(luò)的基本管理。

DCN控制器中的NCI模塊

NCI的組件包含了運(yùn)行在KubernetesNode上的NCI-Controller和NCI-OpenvSwitch模塊，運(yùn)行在KubernetesMaster上的NCI-Supervisor模塊，以及運(yùn)行在DCN控制器上的NCI-Provider模塊。

各模塊主要功能如下：

1.NCI-Controller實(shí)現(xiàn)了CNI，負(fù)責(zé)響應(yīng)PoD以及服務(wù)的增刪改，并執(zhí)行相應(yīng)的組網(wǎng)和服務(wù)配置；

2.NCI-OpenvSwitch負(fù)責(zé)運(yùn)行OvS（OpenvSwitch）網(wǎng)橋，組網(wǎng)和服務(wù)配置通過(guò)下發(fā)給NCI-OpenvSwitch的接口和流表配置來(lái)實(shí)現(xiàn)；

3.NCI-Supervisor負(fù)責(zé)資源（namespaces、subnets、ips、node-subnets等）的管理，一方面對(duì)NCI-Controller申請(qǐng)的資源執(zhí)行分配，一方面向NCI-Provider同步資源信息；

4.NCI-Provider則負(fù)責(zé)根據(jù)NCI-Supervisor同步過(guò)來(lái)的信息去配置KubernetesNode所上聯(lián)的Leaf交換機(jī)，完成Kubernetes資源池內(nèi)部的整體組網(wǎng)配置。

4.NCI方案優(yōu)勢(shì)

與數(shù)據(jù)中心網(wǎng)絡(luò)聯(lián)動(dòng)

NCI方案中PoD的組網(wǎng)邏輯主要基于硬件Leaf交換機(jī)上的LS（LogicalSwitch）和LR（LogicalRouter）來(lái)實(shí)現(xiàn)，面向跨資源池（異構(gòu)）互聯(lián)場(chǎng)景時(shí)，NCI方案采用Multi-Fabric架構(gòu)組網(wǎng)，通過(guò)部署在Region中的ServiceLeaf（虛擬路由）為容器資源池與Region內(nèi)部相同資源池、Region內(nèi)部異構(gòu)資源池、Region之間異構(gòu)資源池以及多中心提供統(tǒng)一互聯(lián)的二層、三層虛擬網(wǎng)絡(luò)，從而實(shí)現(xiàn)容器資源池與整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)的聯(lián)動(dòng)。

簡(jiǎn)化容器網(wǎng)絡(luò)的使用

NCI（控制器模塊）通過(guò)對(duì)接和納管上聯(lián)設(shè)備，將多層級(jí)的容器網(wǎng)絡(luò)抽象為雙層設(shè)計(jì)，解耦并重構(gòu)了容器資源和網(wǎng)絡(luò)的復(fù)雜訪問(wèn)邏輯。NCI基于Subnet來(lái)為PoD分配地址，以滿足業(yè)務(wù)組網(wǎng)編排時(shí)層次化的地址劃分需求?；赟ubnet來(lái)分配IP地址大幅簡(jiǎn)化了策略的配置管理。

基于VPC的業(yè)務(wù)隔離

在NCI的設(shè)計(jì)實(shí)現(xiàn)中，一個(gè)VPC對(duì)應(yīng)Kubernetes集群中的一個(gè)Namespace；同一Namespace中的PoD通過(guò)組網(wǎng)編排，最終可以對(duì)外提供完整的業(yè)務(wù)，多個(gè)業(yè)務(wù)則對(duì)應(yīng)由多個(gè)Namespace提供。NCI在Kubernetes資源池中引入VPC的實(shí)現(xiàn)，為企業(yè)運(yùn)營(yíng)提供了一致的資源粒度，使得容器網(wǎng)絡(luò)能夠被SDN控制器統(tǒng)一管理和編排。

5.總結(jié)

云杉網(wǎng)絡(luò)NCI容器方案采用雙層網(wǎng)絡(luò)的設(shè)計(jì)、通過(guò)控制器和插件的方式簡(jiǎn)化容器網(wǎng)絡(luò)的配置、編排和管理，滿足企業(yè)容器資源池的按需彈性擴(kuò)容和一致性的服務(wù)訪問(wèn)，兼顧了混合云網(wǎng)絡(luò)的性能與靈活性。在編排層面向多中心、多資源池統(tǒng)一管控，為企業(yè)上云提供了自服務(wù)的混合云網(wǎng)絡(luò)，滿足了云數(shù)據(jù)中心網(wǎng)絡(luò)安全高效的要求，增強(qiáng)了企業(yè)云數(shù)據(jù)中心的延展性和應(yīng)用的靈活部署與調(diào)度能力。