CN113676524A - 一种实现多cpu架构容器网络代理的方法 - Google Patents

Abstract

本发明特别涉及一种实现多CPU架构容器网络代理的方法。该实现多CPU架构容器网络代理的方法，基于Iptables加Ipset实现的规则匹配逻辑构建Calico，时间算法复杂度为O(1)，匹配到容器组IP后，通过路由规则找到对应的容器组虚拟网卡；Ipvs属于操作系统内核级模块，大规模集群均采用Ipvs模式实现容器访问代理；Calico通过节点本地的Ipvs直接代理到主节点的API服务器上，相当于每个节点都是代理节点，从而突破了代理节点的性能瓶颈。该实现多CPU架构容器网络代理的方法，支持大规模集群，支持千万微服务的相互访问，同时支持X86、ARM、MIPS等多种CPU架构，支持国产化服务器，能够持续稳定的为用户提供容器服务，提升了产品的服务处理能力。

Description

一种实现多CPU架构容器网络代理的方法

技术领域

本发明涉及容器技术领域，特别涉及一种实现多CPU架构容器网络代理的方法。

背景技术

Kubernetes(容器编排管理组件)是一个基于容器技术的分布式架构领先方案，为容器化的应用提供部署、运行、容器编排、容器调度、服务发现和动态伸缩等一系列功能，提高了大规模容器集群管理的便捷性和高可用性。

浪潮云提供了大规模集群服务，可以支持10000节点规模，通过实现多CPU架构容器网络代理技术，提升了集群容器间的相互访问性能，支持了千万微服务的相互访问。

容器技术是比较流行的提供微服务的PaaS(平台即服务)技术，而Kubernetes是容器编排调度的事实标准，基于Kubernetes提供容器云平台是各大云厂商的首选。各个云厂商相继推出了大规模集群产品，在大规模集群中，容器间高效的相互访问是一个很大的技术难题。

由于在容器云集群中，容器是通过不停重建保证容器高可用的，容器的IP不是固定的，所以容器是通过容器网络代理实现容器的相互访问的。要提高容器间的访问性能，需要优化容器网络代理服务器，基于此，本发明提出了一种实现多CPU架构容器网络代理的方法。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的实现多CPU架构容器网络代理的方法。

本发明是通过如下技术方案实现的：

一种实现多CPU架构容器网络代理的方法，其特征在于：基于Iptables加Ipset实现的规则匹配逻辑构建Calico(容器网络管理组件)，时间算法复杂度为O(1)，匹配到容器组IP后，通过路由规则找到对应的容器组虚拟网卡；

Ipvs属于操作系统内核级模块，大规模集群均采用Ipvs模式实现容器访问代理；

Calico通过节点本地的Ipvs直接代理到主节点的API服务器上，相当于每个节点都是代理节点，从而突破了代理节点的性能瓶颈。

服务资源支持ClusterIP(服务集群IP)、NodePort(节点端口)、ExternalIP(集群外部IP)和Loadbalancer(负载均衡)四种类型，上述四种类型都是通过Iptables规则匹配；

所述ClusterIP类型在Ipvs模式下使用Ipset+Ipvs实现负载均衡；

所述NodePort类型在每个节点上监听对应的节点端口，实现应用的访问入口；

在Ipvs模式下，ExternalIP是一个虚拟IP，所述ExternalIP类型在每个节点上监听ExternalIP服务端口的应用访问入口，并在每个节点的kube-ipvs0(IP虚拟服务器网卡)网卡上生成ExternalIP，在Ipvs中生成ExternalIP服务端口的路由规则，直接路由到对应的容器组上；

所述Loadbalancer类型在Ipvs模式下在每个节点的kube-ipvs0网卡上生成LoadbalancerIP(负载均衡IP)，并生成LoadbalancerIP服务端口的路由规则，直接路由到对应容器组上。

大规模集群时，主节点的API服务器通过localhost(本地主机):2378找到元数据存储服务；主节点的网络代理通过localhost:8443找到主节点的API服务器，工作节点的网络代理通过Vip(虚拟IP):8443找到主节点的API服务器；当网络代理可以正常工作后，创建ExternalIP类型的服务资源，网络代理在每个节点上监听ExternalIP:ServicePort(服务端口)，并生成Ipvs负载规则；集群每个节点的组件都可以通过ExternalIP:ServicePort访问主节点的API服务器，相当于每个节点都是代理节点，从而避免了代理节点的性能瓶颈问题。

在Ipvs模式下，使用Iptables加Ipset匹配规则，所有服务资源使用统一的Iptables规则，使用哈希算法匹配到Ipset中的IP，再通过Ipvs负载到对应的容器组IP上，时间算法复杂度为O(1)，Iptables匹配时间不随着服务资源数量的增加发生变化，从而保证了负载速度。

用户调用API服务器创建服务资源后，容器控制器监听服务资源，并生成端点资源；容器代理器监听服务资源和端点资源，生成Iptables规则和Ipset数据，在kube-ipvs0网卡生成服务IP或ExternalIP，并生成Ipvs代理规则。

当用户访问服务时，匹配Iptables规则，并结合Ipset数据，判断是否本地节点，若本地节点，则直接访问对应的容器组；若不是本地节点，则通过Ipvs代理到对应的容器组，实现对容器组的访问。

当用户访问应用到具体节点时，通过Iptables加Ipset完成规则匹配，结合kube-ipvs0网卡判断是否当前节点，若访问IP是当前节点，则走INPUT(输入规则)规则，最终通过Ipvs路由到具体PodIP上；若访问IP不是当前节点，则走FORWARD(向前规则)规则转发到容器组的其他节点。

该实现多CPU架构容器网络代理的方法，技术架构包括资源变更通知器、资源变更处理器、资源变更代理器三部分；

所述资源变更通知器负责监听服务、端点、端点分段以及节点资源，这些资源发生变更后，触发变更事件，调用资源变更处理器实现具体处理逻辑；

所述资源变更处理器负责实现服务、端点、端点分段以及节点资源的增、删与改处理逻辑，调用资源变更代理器实现具体逻辑；

所述资源变更代理器负责实现服务、端点、端点分段以及节点资源的变更代理逻辑，支持Ipvs、Iptables、用户空间和内核空间四种模式。

本发明的有益效果是：该实现多CPU架构容器网络代理的方法，支持大规模集群，支持千万微服务的相互访问，同时支持X86、ARM、MIPS等多种CPU架构，支持国产化服务器，能够持续稳定的为用户提供容器服务，提升了产品的服务处理能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

附图1为本发明Ipvs模式下多CPU架构容器网络代理的方法示意图。

附图2为本发明大规模集群多CPU架构容器网络代理节点示意图。

附图3为本发明Ipvs模式下多CPU架构容器网络代理的技术架构示意图。

附图4为本发明实现多CPU架构容器网络代理的方法线程示意图。

具体实施方式

为了使本技术领域的人员更好的理解本发明中的技术方案，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚，完整的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

该实现多CPU架构容器网络代理的方法，基于Iptables加Ipset实现的规则匹配逻辑构建Calico(容器网络管理组件)，时间算法复杂度为O(1)，匹配到容器组IP后，通过路由规则找到对应的容器组虚拟网卡；

Ipvs属于操作系统内核级模块，大规模集群均采用Ipvs模式实现容器访问代理；

Calico通过节点本地的Ipvs直接代理到主节点的API服务器上，相当于每个节点都是代理节点，从而突破了代理节点的性能瓶颈。

服务资源支持ClusterIP(服务集群IP)、NodePort(节点端口)、ExternalIP(集群外部IP)和Loadbalancer(负载均衡)四种类型，上述四种类型都是通过Iptables规则匹配；Iptables和Ipvs两种模式对ClusterIP、NodePort的实现基本一致，但是对ExternalIP、Loadbalancer的实现是不同的。

针对ClusterIP类型，都是通过Iptables规则匹配，区别在于Ipvs模式下使用了Ipset+Ipvs实现负载均衡，Iptables模式下通过网络地址转换规则实现。

针对NodePort类型，都是通过Iptables规则匹配，并在每个节点上监听对应的节点端口，实现应用的访问入口。

针对ExternalIP类型，都是通过Iptables规则匹配，区别在于：

Iptables模式下会判断ExternalIP是否为当前节点的节点IP，若为当前节点，则生成监听ExternalIP服务端口的应用访问入口，若不是当前节点，则通过Iptables路由到对应的节点；

Ipvs模式下，ExternalIP是一个虚拟IP，会在每个节点上监听ExternalIP服务端口的应用访问入口，并在每个节点的kube-ipvs0(IP虚拟服务器网卡)网卡上生成ExternalIP，在Ipvs中生成ExternalIP服务端口的路由规则，直接路由到对应的容器组上。

针对Loadbalancer类型，都是通过Iptables规则匹配，区别在于：

Iptables模式下通过Iptables规则路由到别的节点；

Ipvs模式下会在每个节点的kube-ipvs0网卡上生成LoadbalancerIP(负载均衡IP)，并生成LoadbalancerIP服务端口的路由规则，直接路由到对应容器组上。

在大规模集群中，服务资源数量比较多，若使用Iptables模式，匹配一次规则很耗费时间，规模越大，耗费时间越多，所以大规模集群都选择使用Ipvs模式；Calico跟Ipvs实现思路一致，时间算法复杂度都是O(1)，性能是有保障的。

由于Ipvs属于操作系统内核级模块，跟Nginx(应用代理服务器)等用户态应用比，性能要好很多，所以大规模集群中，也不建议使用用户态应用实现反向代理。

大规模集群时，主节点的API服务器通过localhost(本地主机):2378找到元数据存储服务；主节点的网络代理通过localhost:8443找到主节点的API服务器，工作节点的网络代理通过Vip(虚拟IP):8443找到主节点的API服务器；当网络代理可以正常工作后，创建ExternalIP类型的服务资源，网络代理在每个节点上监听ExternalIP:ServicePort(服务端口)，并生成Ipvs负载规则；集群每个节点的组件都可以通过ExternalIP:ServicePort访问主节点的API服务器，相当于每个节点都是代理节点，从而避免了代理节点的性能瓶颈问题。

容器网络代理主要使用网络代理服务器实现，支持Ipvs(IP虚拟服务器)、Iptables(IP表格)等模式，默认使用Iptables模式。网络代理服务器监听服务资源、端点资源、端点分片等资源，生成Iptables、Ipset(ip集合)、Ipvs等规则数据，通过匹配这些规则负载均衡到对应的容器组上。

若使用Iptables模式，会为每个服务资源生成对应的网络地址转换规则，转换到对应的容器组IP上，时间算法复杂度为O(n)，即服务资源数据量增大几倍，耗时也增大几倍，匹配规则耗费时间随着服务资源数量的增加线性增长。在Ipvs模式下，使用Iptables加Ipset匹配规则，所有服务资源使用统一的Iptables规则，使用哈希算法匹配到Ipset中的IP，再通过Ipvs负载到对应的容器组IP上，时间算法复杂度为O(1)，Iptables匹配时间不随着服务资源数量的增加发生变化，从而保证了负载速度。

用户调用API服务器创建服务资源后，容器控制器监听服务资源，并生成端点资源；容器代理器监听服务资源和端点资源，生成Iptables规则和Ipset数据，在kube-ipvs0网卡生成服务IP或ExternalIP，并生成Ipvs代理规则。

当用户访问服务时，匹配Iptables规则，并结合Ipset数据，判断是否本地节点，若本地节点，则直接访问对应的容器组；若不是本地节点，则通过Ipvs代理到对应的容器组，实现对容器组的访问。

附图1为本发明Ipvs模式下多CPU架构容器网络代理的方法示意图。附图中，PREROUTING为路由前规则，OUTPUT为输出规则，POSTROUTING为发布路由规则。当用户访问应用到具体节点时，通过Iptables加Ipset完成规则匹配，结合kube-ipvs0网卡判断是否当前节点，若访问IP是当前节点，则走INPUT(输入规则)规则，最终通过Ipvs路由到具体PodIP上；若访问IP不是当前节点，则走FORWARD(向前规则)规则转发到容器组的其他节点。

该实现多CPU架构容器网络代理的方法，技术架构包括资源变更通知器、资源变更处理器、资源变更代理器三部分；

所述资源变更通知器负责监听服务、端点、端点分段以及节点资源，这些资源发生变更后，触发变更事件，调用资源变更处理器实现具体处理逻辑；

所述资源变更处理器负责实现服务、端点、端点分段以及节点资源的增、删与改处理逻辑，调用资源变更代理器实现具体逻辑；

所述资源变更代理器负责实现服务、端点、端点分段以及节点资源的变更代理逻辑，支持Ipvs、Iptables、用户空间和内核空间四种模式。

与现有技术相比，该实现多CPU架构容器网络代理的方法，具有以下特点：

1)容器代理服务器使用内核级代理模块实现容器访问代理；

2)使用Iptables+Ipset实现复杂度为O(1)的时间算法；

3)通过每个节点作为代理节点避免代理节点的性能瓶颈；

4)支持X86/ARM/MIPS多CPU架构，支持国产化服务器。

将该实现多CPU架构容器网络代理的方法应用到浪潮云，使浪潮云具备了规模集群容器相互访问的能力，支持千万级微服务的使用，大大提升了浪潮云容器的访问性能；同时支持X86、ARM、MIPS等多种CPU架构，支持国产化服务器，持续稳定的为用户提供容器服务，提升了租户的容器访问性能，保证了浪潮云的稳定性。

以上所述的实施例，只是本发明具体实施方式的一种，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims (8)

1.一种实现多CPU架构容器网络代理的方法，其特征在于：基于Iptables加Ipset实现的规则匹配逻辑构建Calico，时间算法复杂度为O(1)，匹配到容器组IP后，通过路由规则找到对应的容器组虚拟网卡；

Ipvs属于操作系统内核级模块，大规模集群均采用Ipvs模式实现容器访问代理；

Calico通过节点本地的Ipvs直接代理到主节点的API服务器上，相当于每个节点都是代理节点，从而突破了代理节点的性能瓶颈。

2.根据权利要求1所述的实现多CPU架构容器网络代理的方法，其特征在于：服务资源支持ClusterIP、NodePort、ExternalIP和Loadbalancer四种类型，上述四种类型都是通过Iptables规则匹配；

所述ClusterIP类型在Ipvs模式下使用Ipset+Ipvs实现负载均衡；

所述NodePort类型在每个节点上监听对应的节点端口，实现应用的访问入口；

在Ipvs模式下，ExternalIP是一个虚拟IP，所述ExternalIP类型在每个节点上监听ExternalIP服务端口的应用访问入口，并在每个节点的kube-ipvs0网卡上生成ExternalIP，在Ipvs中生成ExternalIP服务端口的路由规则，直接路由到对应的容器组上；

所述Loadbalancer类型在Ipvs模式下在每个节点的kube-ipvs0网卡上生成LoadbalancerIP，并生成LoadbalancerIP服务端口的路由规则，直接路由到对应容器组上。

3.根据权利要求1或2所述的实现多CPU架构容器网络代理的方法，其特征在于：大规模集群时，主节点的API服务器通过localhost:2378找到元数据存储服务；主节点的网络代理通过localhost:8443找到主节点的API服务器，工作节点的网络代理通过Vip:8443找到主节点的API服务器；当网络代理可以正常工作后，创建ExternalIP类型的服务资源，网络代理在每个节点上监听ExternalIP:ServicePort，并生成Ipvs负载规则；集群每个节点的组件都可以通过ExternalIP:ServicePort访问主节点的API服务器，相当于每个节点都是代理节点，从而避免了代理节点的性能瓶颈问题。

4.根据权利要求3所述的实现多CPU架构容器网络代理的方法，其特征在于：在Ipvs模式下，使用Iptables加Ipset匹配规则，所有服务资源使用统一的Iptables规则，使用哈希算法匹配到Ipset中的IP，再通过Ipvs负载到对应的容器组IP上，时间算法复杂度为O(1)，Iptables匹配时间不随着服务资源数量的增加发生变化，从而保证了负载速度。

5.根据权利要求4所述的实现多CPU架构容器网络代理的方法，其特征在于：用户调用API服务器创建服务资源后，容器控制器监听服务资源，并生成端点资源；容器代理器监听服务资源和端点资源，生成Iptables规则和Ipset数据，在kube-ipvs0网卡生成服务IP或ExternalIP，并生成Ipvs代理规则。

6.根据权利要求5所述的实现多CPU架构容器网络代理的方法，其特征在于：当用户访问服务时，匹配Iptables规则，并结合Ipset数据，判断是否本地节点，若本地节点，则直接访问对应的容器组；若不是本地节点，则通过Ipvs代理到对应的容器组，实现对容器组的访问。

7.根据权利要求6所述的实现多CPU架构容器网络代理的方法，其特征在于：当用户访问应用到具体节点时，通过Iptables加Ipset完成规则匹配，结合kube-ipvs0网卡判断是否当前节点，若访问IP是当前节点，则走INPUT规则，最终通过Ipvs路由到具体PodIP上；若访问IP不是当前节点，则走FORWARD规则转发到容器组的其他节点。

8.根据权利要求1所述的实现多CPU架构容器网络代理的方法，其特征在于：技术架构包括资源变更通知器、资源变更处理器和资源变更代理器三部分；

所述资源变更通知器负责监听服务、端点、端点分段以及节点资源，上述资源发生变更后触发变更事件，调用资源变更处理器实现具体处理逻辑；

所述资源变更处理器负责实现服务、端点、端点分段以及节点资源的增、删与改处理逻辑，调用资源变更代理器实现具体逻辑；

所述资源变更代理器负责实现服务、端点、端点分段以及节点资源的变更代理逻辑，支持Ipvs、Iptables、用户空间和内核空间四种模式。

Images