CN117793000A

CN117793000A - 流量卸载方法、装置、电子设备及存储介质

Info

Publication number: CN117793000A
Application number: CN202311812926.6A
Authority: CN
Inventors: 王帅; 李玮; 黄明亮
Original assignee: Yusur Technology Co ltd
Current assignee: Yusur Technology Co ltd
Priority date: 2023-12-26
Filing date: 2023-12-26
Publication date: 2024-03-29

Abstract

本申请实施例提供了一种流量卸载方法、装置、电子设备及存储介质，该方法将虚拟转发软件运行在DPU Soc，提高部署的灵活性的同时增加对更加复杂的转发逻辑进行处理的能力。设计支持Subnet(子网)级别的多租户网络互通配置，提供一个灵活的多租户互通系统，在容器云集群多租户场景中实现灵活且可扩展的VPC互通解决方案。并且将云原生多个租户的互通流量卸载到DPU硬件上，通过专用硬件引擎来加速数据面网络流量的转发，释放云服务器主机及DPU Soc上的算力资源。同时，将VPC之间的流量从CPU载体分离到DPU硬件，使云平台中VPC的隔离性以及安全性进一步提高。

Description

流量卸载方法、装置、电子设备及存储介质

技术领域

本申请实施例涉及通信网络技术领域，尤其涉及一种流量卸载方法、装置、电子设备及存储介质。

背景技术

随着云计算的普及，VPC已经成为云平台提供商中不可或缺的功能之一。目前，OpenStack支持VPC功能，OpenStack是一个非常灵活的可定制平台，可以根据特定的需求进行配置和扩展，在OpenStack中，VPC通常称为“Neutron Networking”，它提供了网络虚拟化的功能，允许用户创建并管理逻辑隔离的私有网络。

当前构建云原生网络架构主要采用Kubernetes工具，Kubernetes本身并不提供直接管理VPC的功能，而是由云服务商提供VPC服务。Kubernetes使用CNI插件来实现容器之间的网络通信，CNI插件负责在Kubernetes集群中创建和管理网络资源，当前，著名的网络方案包括Flannel、Calico、Cilium、Kube-OVN等插件。

Kube-OVN是一个基于OVN的Kubernetes网络解决方案。其提供了一个分布式及可编程的SDN解决方案，使用OVN的逻辑网络路由、ACL(访问控制列表)和负载均衡等功能来管理容器之间的网络流量。Kube-OVN提供了一系列的CRD，以便用户可以使用Kubernetes原生的方式来定义网络策略、VPC、Subnet、安全组等。通过这些CRD，用户可以轻松地定义和管理网络资源，并使用Kubernetes API进行操作。

发明内容

本申请实施例提供了一种流量卸载方法，实现多个子网之间的流量互通，并将流量卸载到DPU上，能够大大提高部署的灵活性以及对流量的转发处理能力。

第一方面，本申请实施例提供一种流量卸载方法，包括：

创建VPC自定义资源和子网自定义资源，以及创建网关路由器和网关交换机；

根据所述VPC自定义资源，创建第一VPC和第二VPC，将所述第一VPC对应的逻辑路由器连接到第一交换机，所述第二VPC对应虚拟网络的逻辑路由器；将所述逻辑路由器连接到所述第一交换机；

根据所述子网自定义资源，创建子网，所述子网包括第一子网和第二子网，所述第一子网关联第一IP地址和所述第一VPC，所述第二子网关联第二IP地址和所述第二VPC；

在所述子网上创建第一容器，并为所述第一容器分配第三IP地址；

配置所述第一子网和所述第二子网之间的互通策略文件，并根据所述互通策略文件，获得路由配置信息，将所述路由配置信息配置到所述第一VPC和所述第二VPC对应的逻辑路由器上；

将所述第一子网和所述第二子网之间的互通流量，卸载到DPU网卡上。

在一种可能的实现方式中，所述在所述子网上创建第一容器，所述方法还包括：

在第一服务器上选择虚拟功能插入到所述第一容器上，并将所述虚拟功能与所述第三IP地址相关联。

在一种可能的实现方式中，所述第一容器在生命周期内有效。

在一种可能的实现方式中，在所述互通流量卸载到DPU网卡上之后，所述方法还包括：

通过更新操作或删除操作对所述路由配置信息进行更改。

第二方面，本申请实施例提供一种流量卸载装置，包括：

第一创建模块，用于创建VPC自定义资源和子网自定义资源，以及创建网关路由器和网关交换机；

第二创建模块，用于根据所述VPC自定义资源，创建第一VPC和第二VPC，将所述第一VPC对应的逻辑路由器连接到第一交换机，所述第二VPC对应虚拟网络的逻辑路由器；将所述逻辑路由器连接到所述第一交换机；

第三创建模块，用于根据所述子网自定义资源，创建子网，所述子网包括第一子网和第二子网，所述第一子网关联第一IP地址和所述第一VPC，所述第二子网关联第二IP地址和所述第二VPC；

第四创建模块，用于在所述子网上创建第一容器，并为所述第一容器分配第三IP地址；

文件配置模块，用于配置所述第一子网和所述第二子网之间的互通策略文件，并根据所述互通策略文件，获得路由配置信息，将所述路由配置信息配置到所述第一VPC和所述第二VPC对应的逻辑路由器上；

流量卸载模块，用于将所述第一子网和所述第二子网之间的互通流量，卸载到DPU网卡上。

在一种可能的实现方式中，所述装置还包括插入模块，用于：

在一种可能的实现方式中，包括：所述第一容器在生命周期内有效。

在一种可能的实现方式中，所述装置还包括更改模块，用于：

通过更新操作或删除操作对所述路由配置信息进行更改。

第三方面，本申请实施例还提供了一种电子设备，该电子设备包括：

至少一个处理器；

以及与至少一个处理器通信连接的存储器；

其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使电子设备执行如本申请实施例第一方面中任一实施例对应的方法。

第四方面，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如本申请实施例第一方面任一方法。

第五方面，本公开还提供了一种计算机程序产品，该程序产品包含计算机执行指令，计算机执行指令被处理器执行时用于实现如本公开第一方面对应的任意实施例的方法。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的流量卸载方法部署环境流程示意图；

图2为本申请实施例提供的流量卸载方法部署环境拓扑示意图；

图3所示为本申请实施例提供的流量卸载方法流程示意图；

图4为本申请实施例提供的VPC之间Subnet互通配置文件示例图；

图5所示为本申请实施例提供的流量卸载装置示意图；

图6所示为本申请实施例提供的流量卸载电子设备示意图。

具体实施方式

下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式仅是与如所附权利要求书中所详述的、本申请实施例的一些方面相一致的装置和方法的例子。

下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请实施例的实施例进行描述。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

如下对本申请实施例涉及的术语进行示例性解释。

K8S：它的全称是kubernetes，K8S是它的缩写，用“8”字替代了“ubernete”这8个字符。是基于容器的集群管理平台，也可以称为开源的容器编排平台，用于自动化容器化应用程序的部署、扩展和管理。它提供了一种灵活且可扩展的方式来管理容器化应用程序，并提供了一系列功能来简化应用程序的部署、调度、自愈和扩展。

CNI/cni：Container Network Interface，是容器网络接口的全称，用于实现多容器通信的网络模型，负责为容器创建和管理网络接口，包括分配IP地址、配置路由、设置网络策略等。CNI插件可以根据不同的网络实现来实现这些功能，例如使用Linux桥接、VLAN、Overlay网络等。

pod：为Point of Delivery的英文缩写，Kubernetes将一个或多个容器封装到一个pod的高级结构中。相同pod中的任何容器都将共享相同的名称空间和本地网络。容器可以很容易地与其他容器在相同的容器中进行通信，就像它们在同一台机器上同时保持一定程度的隔离。

crd：CustomResourceDefinition的英文缩写，自定义资源定义，用于管理一个pod资源的配置。示例性的，一个pod对应一个crd的配置。

PF/pf：是物理功能Physical Funtion的缩写，是指物理网卡的实际功能，它可以直接与物理网络交互。PF负责管理和控制与VF相关的资源，以及处理VF之间的通信。

VPC：Virtual Private Cloud，虚拟私有云环境，是云计算、数据中心领域中的一项核心技术，在云计算环境中，VPC通过虚拟化技术创建了一个类似于传统物理网络的隔离的、虚拟的逻辑网络环境，用户可以在其中构建和管理自己的资源，并且还支持按需扩展、定制网络设置等功能，使用户能够更好地部署和管理云上的资源，提供了强大的灵活性和控制力。

OVN：Open Virtual Network，开放虚拟网络，是一个开源的虚拟化网络项目，它使用OVS作为底层技术，通过在内核态和用户态之间提供一个灵活且可编程的数据通路，实现了虚拟机和容器的网络互联。提供了丰富的网络功能和易用的管理接口，使用户能够构建和管理复杂的虚拟网络环境。

OVS：OpenvSwitch，虚拟转发软件，OVS是一个高质量、多层的虚拟交换软件。它的目的是通过编程扩展支持大规模网络自动化，同时还支持标准的管理接口和协议。

DPU：Data Processing Unit，数据处理单元，作为一种专用硬件加速器，是面向以数据为中心的新一代计算处理器，集成完整的数据中心功能于单芯片，其与CPU和GPU一起构成新型计算的三大支柱。通过使用专门设计的硬件加速器，对进入DPU的数据包进行快速处理，能够减少处理延迟，提高处理吞吐量。

SOC：System On Chip，片上系统，意指它是一个产品，是一个有专用目标的集成电路，其中包含完整系统并有嵌入软件的全部内容。

CIDR：Classless Inter-Domain Routing，无类别域间路由，是一种IP地址分配方法，可提高互联网上的数据路由效率。每台连接到互联网的计算机、服务器和最终用户设备都有一个与之关联的唯一编号，称为IP地址。设备通过使用这些IP地址相互查找和通信。组织使用CIDR在其网络中灵活高效地分配IP地址。

图1为本申请实施例为本申请实施例提供的网关卸载方法部署环境流程示意图，在图1中，包括：

首先准备Master、Host-DPU环境，部署基于DPU的Kubernetes云原生网络系统。在Master上部署控制器组件，在DPU环境上部署ovn-controller容器。其中，部署基于Host-DPU的云原生集群网络环境，OVN(虚拟网络)控制器相关组件部署在master，虚拟转发软件(OVS)部署在DPU Soc，用于转发数据面流量。Host上使用DPU的VF启动Pod，Pod中的流量通过VF走Soc上OVS直接发出服务器。Soc上OVS将数据面流量对应的流表卸载到DPU硬件从而通过硬件查表转发，不论是转发性能、转发效率还是时延，都将远远优于服务器侧上的软件转发。

其次创建多个VPC，Subnet和pod，并配置VPC之间的多子网互通策略。VPC中通过子网(Subnet)来划分IP地址范围，用于将VPC网络进一步细分成更小的网络范围。Subnet用于管理可用的IP地址，每个Subnet都有自己的IP地址范围，这样使VPC中分配和管理IP地址更加灵活和可控。不同的Subnet之间在逻辑上相互隔离，可以实现不同部署环境或应用程序的网络隔离，以便更好地组织和管理云资源。在OVN逻辑网络中，每个VPC对应一个逻辑路由器，每个Subnet对应一个逻辑交换机。

容器云集群多租户场景中的VPC互通网络，通过扩展VPC CRD资源的字段来定义和配置Subnet级别的网络连接信息，可以在集群级别配置并管理VPC之间的互通网络。当创建或更新VPC CRD资源时，同时将VPC互通字段包含在内，然后根据这些信息进行相应的操作。集群中的网络控制器会自定创建或更新路由策略。从而充分利用Kubernetes的灵活性、可扩展性和管理性，并通过硬件加速提供更好的性能和安全性。

最后打开DPU卸载网关卸载数据面流量，进行流量卸载验证。

图2为基于图1的部署，生成的流量卸载拓扑网络关系图。在图2中，以一个Master(第二服务器)，两个worker node(第一服务器)为例，其中worker node包括node1和node2；以一个默认VPC ovn-default(第一VPC)，两个自定义VPC(第二VPC)为例，两个自定义VPC包括vpc-test1和vpc-test2。根据上述的部署和配置关系，对本申请实施例提供的流量卸载方法进行示例性说明。

可以理解的，本申请实施例涉及的node可以为多个，VPC也可以为多个，上述仅是以两个为例进行示例性说明，本申请实施例对node的个数和VPC的个数不做限定。在实际应用过程中，可根据业务需求对node和VPC进行配置。

图3为本申请实施例提供的流量卸载方法流程示意图。在图3中，包括步骤S301至步骤S306。如下对各个步骤进行详细说明。

S301、创建VPC自定义资源和子网自定义资源，以及创建网关路由器和网关交换机；

在一种可能的实现方式中，在创建VPC自定义资源和子网自定义资源之前，部署基于OVN的Kubernetes云原生网络系统，部署CNI插件，master(第二服务器)上部署集群控制器，每个worker node(第一服务器)上装有一个DPU，DPU Soc上部署OVS。

可以理解的，将VPC自定义资源和子网自定义资源部署应用到Kubernetes集群中。

S302、根据所述VPC自定义资源，创建第一VPC和第二VPC，将所述第一VPC对应的逻辑路由器连接到第一交换机，所述第二VPC对应虚拟网络的逻辑路由器；将所述逻辑路由器连接到所述第一交换机；

在本申请实施例中，结合图2，第一VPC为默认VPC，默认VPC为VPC ovn-cluster；第二VPC为自定义VPC。自定义VPC包括vpc-test1和vpc-test2，第一交换机为join switch。

示例性的，创建自定义VPC，以创建2个自定义VPC为例，vpc-test1和vpc-test2，每创建一个VPC，会对应的创建一个OVN的logical_router(逻辑路由器)，将自定义VPC对应的logical_router连接到join switch，用于网络连接。

S303、根据所述子网自定义资源，创建子网，所述子网包括第一子网和第二子网，所述第一子网关联第一IP地址和所述第一VPC，所述第二子网关联第二IP地址和所述第二VPC；

在本申请实施例中，第一子网为默认子网，结合图2，默认子网为Subnet ovn-default，默认子网关联默认VPC，其CIDR为10.244.0.0/16。

可以理解的，系统会为每个worker node创建一个gw router(网关路由器)和一个gw switch(网关交换机)，同时创建一个默认VPC ovn-cluster(逻辑路由器)，连接到joinswitch，一个默认Subnet ovn-default，其VPC为默认VPC，CIDR为10.244.0.0/16。

示例性的，创建子网Subnet，以每个VPC两个Subnet为例进行说明。如图2所示，创建net1、net2、net3、net4、net5，其中：

net1：VPC ovn-cluster CIDR 10.16.0.1/16；

net2：VPC vpc-test1 CIDR 10.0.0.1/16；

net3：VPC vpc-test1 CIDR 100.0.0.1/16；

net4：VPC vpc-test2 CIDR 10.1.0.1/16；

net5：VPC vpc-test2 CIDR 100.1.0.1/16。

S304、在所述子网上创建第一容器，并为所述第一容器分配第三IP地址；

示例性的，创建第一容器Pod，以每个Subnet上创建一个Pod为例，Subnet会为Pod分配一个CIDR内可用的IP地址(第三IP地址)，创建Pod时，会从worker node节点上选一个虚拟功能VF插入到pod中，这个IP地址最终配置给所选的VF，而且仅在Pod的生命周期内有效，即在删除pod时，释放VF。

S305、配置所述第一子网和所述第二子网之间的互通策略文件，并根据所述互通策略文件，获得路由配置信息，将所述路由配置信息配置到所述第一VPC和所述第二VPC对应的逻辑路由器上；

示例性的，创建VPC之间Subnet互通策略，本说明以ovn-default、net2、net4三个Subnet可以两两互通、与其他Subnet不通为例，配置文件如图4所示。

S306、将所述第一子网和所述第二子网之间的互通流量，卸载到DPU网卡上。

可以理解的，控制器通过解析VPC之间Subnet互通策略配置文件，将配置转换为策略路由配置到VPC对应的logical_router上，从而实现互通功能，而其他没有配置互通的Subnet则不通，路由配置示例如图2所示。打开DPU上OVS的流量卸载开关，将VPC的Subnet互通流量卸载到DPU，这样，数据流量首包会上送DPU Soc进行软转发，之后触发卸载将表项下发到硬件，则该条流的后续流量报文根据硬件中转发规则进行转发，从而加速报文的转发，提高吞吐和时延。

通过更新操作或删除操作对所述路由配置信息进行更改。

示例性的，在本申请实施例中，可以的VPC，Subnet进行更新和删除，当用户更新或删除VPC、Subnet时，将之前配置的路由和卸载表项进行相应的更新和删除，避免残留。

图5为本申请实施例提供一种流量卸载装置，包括：

第一创建模块501，用于创建VPC自定义资源和子网自定义资源，以及创建网关路由器和网关交换机；

第二创建模块502，用于根据所述VPC自定义资源，创建第一VPC和第二VPC，将所述第一VPC对应的逻辑路由器连接到第一交换机，所述第二VPC对应虚拟网络的逻辑路由器；将所述逻辑路由器连接到所述第一交换机；

第三创建模块503，用于根据所述子网自定义资源，创建子网，所述子网包括第一子网和第二子网，所述第一子网关联第一IP地址和所述第一VPC，所述第二子网关联第二IP地址和所述第二VPC；

第四创建模块504，用于在所述子网上创建第一容器，并为所述第一容器分配第三IP地址；

文件配置模块505，用于配置所述第一子网和所述第二子网之间的互通策略文件，并根据所述互通策略文件，获得路由配置信息，将所述路由配置信息配置到所述第一VPC和所述第二VPC对应的逻辑路由器上；

流量卸载模块506，用于将所述第一子网和所述第二子网之间的互通流量，卸载到DPU网卡上。

在一种可能的实现方式中，所述装置还包括插入模块507，用于：

在第一服务器上选择第一虚拟功能插入到所述第一容器上，并将所述虚拟功能与所述第三IP地址相关联。

在一种可能的实现方式中，所述装置还包括更改模块508，用于：

通过更新操作或删除操作对所述路由配置信息进行更改。

图6为本申请实施例提供的一个电子设备的结构示意图，如图6所示，该电子设备600包括：存储器610和处理器620。

其中，存储器610存储有可被至少一个处理器620执行的计算机程序。该算机程序被至少一个处理器620执行，以使电子设备实现如上任一实施例中提供的方法。

其中，存储器610和处理器620可以通过总线630连接。

相关说明可以对应参见方法实施例所对应的相关描述和效果进行理解，此处不予赘述。

本申请实施例一个实施例提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行以实现如图2至图4对应的任意实施例中提供的方法。

其中，计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本申请实施例一个实施例提供了一种计算机程序产品，其包含计算机执行指令，该计算机执行指令被处理器执行时用于实现如图2至图4对应的任意实施例中提供的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

本领域技术人员在考虑说明书及实践这里公开的公开后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围由权利要求书指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。

Claims

1.一种流量卸载方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述在所述子网上创建第一容器，所述方法还包括：

3.根据权利要求1或2所述的方法，其特征在于，包括：所述第一容器在生命周期内有效。

4.根据权利要求1-3任一项所述的方法，其特征在于，在所述互通流量卸载到DPU网卡上之后，所述方法还包括：

通过更新操作或删除操作对所述路由配置信息进行更改。

5.一种流量卸载装置，其特征在于，包括：

6.根据权利要求5所述的装置，其特征在于，所述装置还包括插入模块，用于：

7.根据权利要求5或6所述的装置，其特征在于，包括：所述第一容器在生命周期内有效。

8.根据权利要求5-7任一项所述的装置，其特征在于，所述装置还包括更改模块，用于：

通过更新操作或删除操作对所述路由配置信息进行更改。

9.一种电子设备，其特征在于，包括：

至少一个处理器；

以及与所述至少一个处理器通信连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述电子设备执行如权利要求1至4中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的方法。