WO2023098645A1

WO2023098645A1 - 容器网络配置方法、装置、计算节点、主节点及存储介质

Info

Publication number: WO2023098645A1
Application number: PCT/CN2022/134903
Authority: WO
Inventors: 陈飞
Original assignee: 百果园技术(新加坡)有限公司; 陈飞
Priority date: 2021-12-01
Filing date: 2022-11-29
Publication date: 2023-06-08
Also published as: CN114172802A; CN114172802B

Abstract

本申请实施例提供了一种容器网络配置方法、装置、计算节点及存储介质，该方法应用于Kubernetes集群的任意一个计算节点的代理端中，包括：接收针对目标容器的网络配置请求；响应于所述网络配置请求，生成网络地址分配请求，并将所述网络地址分配请求发送至主节点；接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

Description

容器网络配置方法、装置、计算节点、主节点及存储介质

本公开要求在2021年12月1日提交中国专利局、申请号为202111454884.4的中国专利申请的优先权，以上申请的全部内容通过引用结合在本申请中。

技术领域

本公开涉及云计算技术领域，例如涉及一种容器网络配置方法、装置、计算节点、主节点及计算机可读存储介质。

背景技术

随着云计算的发展，Kubernetes逐渐发展成为用来进行容器编排管理的主力工具。Kubernetes，简称K8S，是一种基于容器的集群管理平台，Kubernetes集群一般包括主节点(Master)，以及分别与主节点通信连接的多个计算节点(Node)，其中，主节点一般用于管理和控制多个计算节点，计算节点作为工作负载节点，其包含直接部署在节点中的原应用程序和多个Pod，每个Pod中封装有至少一个用于承载应用程序的容器(Container)，该至少一个容器共享其所属Pod的网络地址，即网际互连协议(Internet Protocol，IP)地址和端口范围，Pod是Kubernetes的基本操作单元，是最小的可创建、调试和管理的部署单元。

通常，Kubernetes集成容器网络接口(Container Network Interface，CNI)规范，并基于外部CNI网络插件，例如，Calico、Flannel、MacVLAN等网络插件实现针对容器的网络配置。然而，相关技术基于外部CNI网络插件实现容器网络配置的方法或是存在额外网络传输性能损耗的问题，或是存在不能灵活实现容器与容器之间、容器与物理机之间跨机房进行网络通信的问题。

发明内容

本公开实施例提供了一种容器网络配置方法、装置、计算节点及存储介质，可以在不额外损耗性能的情况下灵活的实现容器的网络配置。

本公开的第一方面，提供了一种容器网络配置方法，应用于Kubernetes集群的任意一个计算节点的代理端中，所述方法包括：

接收针对目标容器的网络配置请求，其中，所述目标容器为由所述 Kubernetes集群的主节点调度至所述计算节点运行的任意一容器；

响应于所述网络配置请求，生成网络地址分配请求，并将所述网络地址分配请求发送至所述主节点；

接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；

根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

本公开的第二方面，提供了另一种容器网络配置方法，应用于Kubernetes集群的主节点中，所述方法包括：

接收计算节点中的代理端发送的、针对目标容器的网络地址分配请求，其中，所述计算节点为所述Kubernetes集群中的任意一计算节点；

响应于所述网络地址分配请求，基于预设映射数据，获得目标网络地址，其中，所述预设映射数据反映机房与机房网段的对应关系；

根据所述目标网络地址，生成第一响应消息，并将所述第一响应消息发送至所述代理端，以由所述代理端根据所述第一响应消息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

本公开的第三方面，提供了一种容器网络配置装置，应用于Kubernetes集群的任意一个计算节点的代理端中，所述装置包括：

请求接收模块，设置为接收针对目标容器的网络配置请求，其中，所述目标容器为由所述Kubernetes集群的主节点调度至所述计算节点运行的任意一容器；

请求响应模块，设置为生成网络地址分配请求，并将所述网络地址分配请求发送至所述主节点；

网络信息获得模块，设置为接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；

网络配置模块，设置为根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

本公开的第四方面，还提供了一种Kubernetes集群中的计算节点，包括：

存储器，设置为存储可执行的指令；

处理器，设置为根据所述指令的控制运行所述计算节点执行本公开的第一方面所述的容器网络配置方法。

本公开的第五方面，还提供了一种Kubernetes集群中的主节点，包括：

存储器，设置为存储可执行的指令；

处理器，设置为根据所述指令的控制运行所述计算节点执行本公开的第二方面所述的容器网络配置方法。

本公开的第六方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有可被计算机读取执行的计算机程序，所述计算机程序设置为在被所述计算机读取运行时，执行根据本公开的第一方面或第二方面所述的方法。

附图说明

图1是本公开实施例提供的一种容器网络配置方法的流程示意图。

图2是本公开实施例提供的Kubernetes集群的架构示意图。

图3是本公开实施例提供的基于位图数据结构管理网络地址的示意图。

图4是本公开实施例提供的计算节点中容器的网络架构示意图。

图5是本公开实施例提供的另一种容器网络配置方法的流程示意图。

图6是本公开实施例提供的一种容器网络配置装置的原理框图。

图7是本公开实施例提供的一种Kubernetes集群中的计算节点的硬件结构示意图。

图8是本公开实施例提供的一种Kubernetes集群中的主节点的硬件结构示意图。

具体实施方式

现在将参照附图来描述本公开的各种示例性实施例。应注意到：除非另外说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有例子中，任何设定值应被解释为仅仅是示例性的。因此，示例性实施例的其他例子可以具有不同的值。

本公开的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦一项在一个附图中被定义，则在随后的附图中不需要对其进行讨论。

<方法实施例一>

在实际中，企业根据业务和灾备的需要通常会在多个地方规划建设网络，企业的一个业务应用往往需要部署在多个机房，同时由于业务应用对网络延迟较为敏感，所以往往还对网络传输性能的要求较高；另一方面由于业务的服务可能部分部署在物理机中，部分部署在Kubernetes集群的容器中，这就要求容器中部署的服务可以与部署在物理机上的服务直接进行通信。

在相关技术中，为了实现容器与容器之间、容器与物理机之间的跨网段、跨机房通信，一般是基于开源CNI网络插件，例如Calico插件和Flannel插件中的虚拟扩展本地局域网(Visual eXtensible Local Area Network，Vxlan)方式来实现，该种方式基于Overlay网络实现，但是该种方式在传输网络包时，需要在发送端先对网络包进行封包，再在接收端进行解包处理，这存在网络传输性能的损耗；而Calico插件和Flannel插件中基于路由实现网络传输的方式，虽然基于Underlay网络实现，但是存在不能跨网段，进而也不能跨机房进行网络通信的问题；另外，开源MacVLAN插件虽然是基于Underlay网络的实现，但是其基于虚拟网卡实现，存在不灵活且不能针对多机房场景进行网络管理的问题。需要说明的是，Underlay网络，是指传统IT基础设施网络，其由交换机和路由器等网络设备组成，借助以太网协议、路由协议和虚拟局域网(Virtual Local Area Network，VLAN)协议等驱动；Overlay网络，是一种软件定义网络，使用软件创建网络抽象层的方法，基于Underlay网络。

为了使得容器可以跨网段、跨机房灵活的进行网络通信，本公开的实施例提供了一种容器网络配置方法，请参看图1，其是本公开实施例提供的容器网络配置方法流程示意图，该方法可以应用于Kubernetes集群中，例如可以应用于Kubernetes集群的任意一个计算节点的代理端中，该代理端负责根据接收到的、针对目标容器的网络配置请求，对目标容器进行网络配置，以使得该目标容器可以灵活的与其他容器或物理机进行通信。

如图1所述，本实施例的方法可以包括如下步骤S1100-S1400。

步骤S1100，计算节点中的代理端接收针对目标容器的网络配置请求，其中，所述计算节点为所述Kubernetes集群中的任意一计算节点，所述目标容器为由所述Kubernetes集群的主节点调度至所述计算节点运行的任意一容器。

网络配置请求，是在目标容器被调度到计算节点之后，由主节点发送至该计算节点的代理端的数据请求，该数据请求用于请求代理端对目标容器进行网络配置。

另外，由于该方法是针对可能处于不同机房内的容器进行网络配置，因此，为了唯一性的标识一个网络，在本公开的实施例中，网络的定义可以为类似(IDC，NetworkName，VLANID，GateWay，Subnet)的形式，其中，IDC为机房标识，NetworkName为网络名称，VLANID为VLAN标识，GateWay是指网关，例如可以为10.10.4.1，Subnet是指网段，例如可以为10.10.4.1/28。

为便于理解，请参看图2，其是本公开实施例提供的Kubernetes集群的架构示意图。如图2所示，本公开实施例提供的Kubernetes集群包括：基于主从架构设置的主节点(Master)和与主节点对应的多个从节点(Slave)，多个计算节点(Node)以及集群配置数据库(Etcd)，其中，每一计算节点中包括用于对该节点中的容器进行网络配置的代理端，即Agent，以及用于实现CNI规范接口的CNI插件，即CNI Plugin。

需要说明的是，Etcd，是一个高可用的分布式键值(key-value)数据库，用于保存Kubernetes集群所有的网络配置和对象的集群配置数据。

另外，以计算节点运行与Unix操作系统为例，在为每一个计算节点配置如图2所示的CNI插件时，可以通过在/etc/CNI/net.d目录下创建CNI配置文件，并把CNI插件的可执行文件放在/opt/CNI/bin/目录下完成对该CNI插件的配置。

在一个实施例中，在Kubernets创建目标容器并将目标容器调度到一计算节点之后，由于目标容器共享其所属Pod的网络地址，因此，在本公开的实施例中，可以通过对目标容器所属的Pod进行网络配置，使得目标容器可以跨网段、跨机房与其他容器、物理机进行通信。

即，主节点通过与计算节点中的CNI插件通信，将针对目标容器的网络配置请求发送至对应计算节点；计算节点中的CNI插件在接收到该网络配置请求之后，将该网络配置请求转发至计算节点的代理端，以由该代理端对目标容器进行网络配置。

需要说明的是，在Kubernetes集群中，一个Pod中通常可以包括多个容器，但是，为方便管理，通常仅在一个Pod中配置一个容器，因此，在本公开的实施例中，以一个Pod中包含一个容器进行举例说明。

另外，主节点发送至计算节点的网络配置请求可以包含命令类型、用于标识目标容器的容器标识、为目标容器分配的网口的目标网口名称，以及目标容器所处的目标网络命名空间的目标网络命名空间信息等信息，其中，网口，又称网络接口设备，网口名称例如可以为eth0、eth1等名称。

步骤S1200，响应于所述网络配置请求，生成网络地址分配请求，并将所述网络地址分配请求发送至所述主节点。

可选地，计算节点中的代理端在接收到CNI插件转发的网络配置请求之后，通过解析该网络配置请求中的相关参数，例如，可以根据网络配置请求中的命令类型以及容器标识，确定需要对目标容器进行网络配置。

区别于相关技术的每个互联网数据中心(Internet Data Center，IDC)，也即机房通过网络设备单独管理其多个网段，即多个VLANID下的网络地址的方式，在本公开的实施例中，可以由Kubernetes集群的主节点集中管理多个机房中的网络地址，以使得Kubernetes集群可以精细到IP维度进行网络管理。因此，在经过步骤S1100计算节点中的代理端接收到主节点发送的网络配置请求之后，响应于该网络配置请求，可以先向主节点发送网络地址获取请求，以请求主节点为目标容器分配网络地址，即IP地址，以及该网络地址所属的网络的网络信息。

在一个实施例中，所述生成网络地址分配请求，包括：从所述网络配置请求中，获得所述目标容器的目标容器标识；从所述计算节点存储的服务配置信息中，获取所述计算节点所处机房的机房标识；根据所述目标容器标识和所述机房标识，生成所述网络地址分配请求。

即，代理端发送至主节点的网络地址分配请求可以包括该计算节点所处机房的机房标识，以及该目标容器的目标容器标识，即，可以为(IDC，ContainerID)的形式，其中，机房的机房标识可以通过预先设置在计算节点中的配置信息获得。

以下对主节点在接收到代理端发送的网络地址分配请求之后，如何响应该网络地址分配请求进行说明。

在一个实施例中，在代理端向主节点发送网络地址分配请求之后，Kubernetes集群的主节点接收计算节点中的代理端发送的、针对目标容器的网络地址分配请求；响应于该网络地址分配请求，基于预设映射数据，获得目标网络地址，其中，该预设映射数据反映机房与机房网段的对应关系；根据目标网络地址，生成第一响应消息，并将第一响应消息发送至代理端，以由该代理端根据该第一响应消息，基于预设的虚拟网络设备对该目标容器进行网络配置。

在一个实施例中，在该网络地址分配请求包括计算节点所处机房的机房标识和目标容器的目标容器标识的情况下，所述基于预设映射数据，获得目标网络地址，包括：根据机房标识，获得机房对应的网段信息集合，其中，网段信息集合包括机房对应的全部网段的网段信息；从网段信息集合中，获取目标网段中的一个空闲网络地址作为目标网络地址，其中，该空闲网络地址为目标网段中未被分配的网络地址，目标网段为上述网段信息集合中的任意一网段。

即，由于主节点通过机房标识为键值，集中管理不同机房下的网络地址分配情况，因此，在接收到计算节点中的代理端发送的网络地址分配请求的情况下，可以根据该网络地址分配请求中的机房标识，获取一网段下未分配的空闲网络地址作为目标网络地址。需要说明的是，不同机房下不同网段的网络地址的相关信息可以通过添加网络命令预先配置在Kubernetes集群的Etcd中。

另外，在本公开的实施例中，为了节省存储空间，主节点在管理不同机房中的网络地址时，可以基于位图(bitSet)数据结构管理一网段下的网络地址。

例如，针对网段10.10.4.1/28，其表示的网络地址范围为10.10.4.1-10.10.4.16，则可以使用一2字节的位图来映射表示该网络地址范围。如图3所示，可以根据该2字节的16个比特位中的比特信息来标识对应网络地址的分配状态。

例如，可以在图3中索引标识为1的比特中的数值为1的情况下，表示该比特位对应的网络地址已分配；这样，通过每次将该网段下的网络地址分配出去一个，即将对应比特位中的比特信息置为1，每次将该网段下的网络地址成功回收一个，即将对应比特位中的比特信息置为0的方式，实现便捷管理网络地址的效果。需要说明的是，在基于该位图数据结构管理网络地址时，比特位映射IP的公式可以为：Dec_IP＝Start_IP+index-1，Dec_IP指待映射获取的IP，Start_IP为对应位图结构所表示的起始IP，index为每一比特位对应的索引标识，例如，图3所示的位图结构对应的Start_IP可以为“10.10.4.1”，索引标识可以为1、2、3…的形式。

根据以上说明可知，在本公开的实施例中，主节点在通过位图数据结构管理每一网段下的网络地址的情况下，所述获取目标网段中的一个空闲网络地址，包括：从目标网段对应的目标位图的多个比特位中，获取对应比特信息表示存在空闲网络地址的目标比特位的索引标识；根据该索引标识，获得上述空闲网络地址，并将该目标比特位中的比特信息设置为表示对应网络地址已被分配的信息。

另外，在主节点获得目标网络地址之后，可以以目标容器标识为键值，将该目标网络地址的分配信息以(ContainerID，NetworkName，IP)的形式写入至Etcd，由于容器的标识作为幂等性设计，因此以容器标识作为键值保存该网络地址的分配信息，可以防止同样的容器被分配二次IP的情况出现。

主节点在获得目标网络地址之后，可以根据该目标容器标识、机房标识、该目标网络地址和该目标网段的网段名称等信息，生成对应上述网址分配请求的第一响应消息，并将该第一响应消息返回至计算节点中的代理端，以由代理端根据通过获取该第一响应信息，并根据该第一响应信息中为目标容器分配的目标网络地址，对目标容器进行网络配置。

在步骤S1200之后，执行步骤S1300，接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；以及执行步骤S1400，根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

在一实施例中，通过在Kubernetes集群的计算节点中设置代理端，并基于代理端接收针对调度至该计算节点中运行的目标容器的网络配置请求；在代理端接收到该网络配置请求之后，区别于相关技术基于开源CNI网络插件完成容器的网络配置的方法，本公开的实施例由该代理端向主节点发送网络地址分配请求，以由统一管理所有机房中不同网段的网络地址的主节点集中的为目标容器分配网络地址；在该代理端接收到主节点返回的第一响应消息之后，通过获取该第一响应消息中的目标网络信息，根据该目标网络信息，基于预设的虚拟网络设备可以以配置路由的形式灵活的对目标容器进行网络配置，以使得目标容器可以实现跨机房、跨网段、跨容器以及跨物理机的进行网络通信。

在一个实施例中，所述根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置，包括：基于预设的虚拟网络设备，创建虚拟设备接口对，其中，虚拟设备接口对包括第一虚拟设备接口和第二虚拟设备接口；根据目标网段信息，配置第一虚拟设备接口所属的网段，并将完成配置的第一虚拟设备接口连接至预设的网桥，其中，预设的网桥基于计算节点中预设的虚拟多层网络交换机创建，且以计算节点的物理网卡作为级联端口；生成目标网络地址对应的目标物理地址，根据目标物理地址，配置第二虚拟设备接口的物理地址信息，并根据目标网络命名空间信息，将完成配置的第二虚拟设备接口移动至目标网络命名空间中；根据目标网口名称，设置第二虚拟设备接口的网口名，以及，配置第二虚拟设备接口的网络地址为目标网络地址并激活第二虚拟设备接口；通过在目标网络命名空间中配置目标容器的默认路由网关为该网段对应的网关，完成针对目标容器的网络配置。

需要说明的是，在执行上述处理之前，需要先对物理硬件进行一些预先设置。例如，需要先对每一计算节点的网卡进行配置，以将其配置为支持多VLAN模式，计算节点的网卡不直接分配网络地址，而是使用VLAN子接口的方式配置该计算节点的网络地址；另外，如果计算节点中存在多个网卡，则需要将该多个网卡设置为绑定(bond)模式，例如，假设计算节点中存在eth0和eth1两个物理网卡，则可以创建虚拟网卡bond0绑定eth0和eth1，同时，不为bond0分配网络地址，而是通过创建bond0.xxxVLAN子接口的方式用作该计算节点通信的网络地址，而将bond0配置为该计算节点的网桥的上联端口，也即级联端口，使得在对容器进行网络配置时，可以通过创建虚拟网络接口对，并将虚拟网络接口对中的其中一个虚拟网络接口连接至该网桥的方式，以基于该网桥的级联端口bond0实现对外通信，其中，该网桥可以基于预设的的虚拟多层网络交换机，例如，OVS(Open vSwitch)创建。需要说明的是，OVS是一个用C语言开发的多层虚拟交换机。

另外，还需要预先对每一机房的网络网段预先做好VLAN划分和配置，例如，针对一个待分配网段，配置好对应VLANID和网关出口，并且，物理机使用trunk端口连接交换机。其中，trunk端口，可以允许多个VLAN通过，可以接收和发送多个VLAN报文，trunk端口是交换机之间或者交换机和上层设备之间的通信端口，用于干道链路(trunk link)。

在本公开的实施例中，该预设的虚拟网络设备可以为一种成对出现的虚拟网络设备(Veth-Pair)，其中，Veth-Pair通过创建两个成对的虚拟设备接口，并将一端与网络协议栈连接，另一端彼此相连的方式，以充当网络传输的桥梁。

在一个实施例中，代理端在根据主节点返回的第一响应消息，获得包含目标网络地址的目标网络信息之后，可以先基于虚拟网络设备Veth-Pair创建虚拟设备接口(第一虚拟设备接口vport，第二虚拟设备接口vvport)；之后，通过激活第一虚拟设备接口vport并根据网络配置请求中的目标网口名称，设置第一虚拟设备接口的tag属性值为该目标网口名称，并将VLAN模式选择为访问(access)以加入到基于预设的虚拟多层网络交换机创建的网桥上；之后，可以设置第二虚拟设备接口vvport的最大传输单元(Maximum Transmission Unit，MTU)的大小，并根据目标网络信息中为该目标容器分配的目标网络地址，生成一物理地址，即媒体访问控制(Media Access Control，mac)地址，以配置第二虚拟设备接口的物理地址，之后，将完成上述配置的第二虚拟设备接口移动至目标容器所在的目标网络命名空间，并设置第二虚拟设备接口的接口名为网络配置请求中指定的目标网口名称，再设置该第二虚拟设备接口的网络地址为目标网络地址并激活启动该第二虚拟设备接口；之后，通过到目标容器所处的网络命名空间中配置容器路由，并设置默认网关为目标网段信息所表示的网段对应的网关即可完成对目标容器的网络配置。

为便于理解上述配置，请参看图4，其是本公开实施例提供的计算节点中容器的网络架构示意图。如图4所示，针对计算节点1，即Node1中的容器1和容器2，即Pod1和Pod2，在对其进行网络配置之前，可以先在Node1中基于OVS创建虚拟交换机，也即网桥，以及，通过对Node1中的多个网卡进行绑定，并将绑定得到的虚拟网卡bond0作为该网桥的级联端口，即uplink port；同时，预先对Node1所处的机房中的网段进行划分和配置，并连接物理交换机，交换机包括vlan10和vlan20两个不同的交换机端口；在完成上述预先配置之后，针对待进行网络配置的Pod1和Pod2，可以通过Veth-Pair分别创建虚拟设备接口对vport11-vport12，以及vport21-vport22，通过分别为Pod1和Pod2分配的网络地址例如，10.15.4.30和10.15.8.20，对vport11和vport21进行配置并将其连接至OVS网桥上，而针对vport12和vport22，可以通过分别设置其MTU大小，以及对应设置其物理地址、根据指定的网口名称分别对其命名，例如，均命名为eth0，并对应设置其网络地址为10.15.4.30和10.15.8.20之后，激活启动该两个端口，并对应配置其在网络命名空间中的路由信息，即可完成对Pod1和Pod2的网络配置，使得Pod1和Pod2之间不仅可以跨网段进行通信，还可以跨机房与其他容器或物理机进行通信。

另外，在代理端完成上述网络配置之后，该方法还包括：根据所述目标容器的目标容器标识、所述计算节点的网络地址、所述第一虚拟设备接口的接口信息和所述目标网络地址，生成目标网桥网口信息，并将所述目标网桥网口信息存储至集群配置数据库中。

在本公开的实施例中，可以将为目标容器分配的目标网桥网口信息以(目标容器标识，计算节点的网络地址，第一虚拟设备接口的接口信息，目标网络地址)的形式保存在Etcd中，以便于在目标容器出现异常或者网络出现异常的情况下，可以根据该目标网桥网口信息及时进行异常恢复。此外，在完成上述网络配置之后，还可以将处理完成结果返回对应CNI插件，以由CNI插件将结果输出至标准输出，Kubernetes集群在接收到目标容器的网络配置完成的执行结果之后，可以根据该执行结果，继续执行容器的创建工作。

在完成针对目标容器的网络配置之后，在需要删除容器时，本公开的实施例可以通过以下步骤对该目标容器的网络进行回收：在接收到针对目标容器的网络配置删除请求的情况下，生成网络地址回收请求，并将所述网络地址回收请求发送至主节点；接收主节点返回的、与网络地址回收请求对应的第二响应消息；在第二响应消息表示成功回收目标网络地址的情况下，删除预设的网桥上的第一虚拟设备接口，删除虚拟设备接口对，以及，删除集群配置数据库中的上述目标网桥网口信息。

在一个实施例中，计算节点中的代理端在接收到针对目标容器的网络配置删除请求的情况下，可以先以机房标识、目标容器标识作为参数，向主节点发送网络地址回收请求；主节点在接收到该网络地址回收请求之后，可以通过目标容器标识，查找为该容器分配的目标网络地址，通过将该目标网络地址映射回存储该网络地址的位图数据结构的对应比特位，并在将该对应比特位中的比特信息设置为目标网络地址未分配的信息，例如设置为0之后，表示成功回收该目标网络地址，之后，可以删除Etcd中存储的为目标容器分配的容器网络信息，并将网段信息以类似(IDC，NetworkName，VLANID，Gateway，Subnet)的形式回写至Etcd；再之后，将表示成功回收网络地址的第二响应消息返回至该代理端；以由代理端继续在本地执行针对目标容器的网络配置删除处理。

在本公开的实施例中，代理端在接收到的第二响应消息表示成功回收目标网络地址的情况下，可以先连接预设的网桥，例如OVS网桥，并删除连接至该网桥上的第一虚拟设备接口，之后，删除为该目标容器创建的虚拟设备接口对，以及删除Etcd中存储的对应该目标容器的目标网桥网口信息等信息，即成功清理掉针对目标容器的网络配置，在完成上述清理处理之后，代理端可以将执行结果返回至对于CNI插件，以由该CNI插件根据规范结果输出至标准输出；主节点在获取到该标准输出之后，可以根据其所表示的执行成功或失败状态，决定是否进行下一步清理容器的工作或者根据预设失败重试机制，再次进行网络配置清理处理。

综上可知，本公开实施例提供的容器网络配置方法，通过由设置在计算节点中的代理端向主节点发送网络地址分配请求，以由统一管理所有机房中不同网段的网络地址的主节点集中的为目标容器分配网络地址；在代理端接收到主节点返回的第一响应消息之后，通过获取该第一响应消息中的目标网络信息，根据该目标网络信息，基于预设的虚拟网络设备可以以配置路由的形式灵活的对目标容器进行网络配置，以使得目标容器可以实现跨机房、跨网段、跨容器以及跨物理机的进行网络通信。该方法通过以Kubernetes集群中的主节点为中心管理网络，相对相关技术可以精细到IP维度管理，以达到按需分配不浪费IP地址的效果；同时通过以机房为维度管理多个网络，可以允许不同机房之间VLANID相同，以减少VLAN号(只能在1-4096)可能存在的不足问题。另外，通过设置在计算节点中的代理端读取本机的机房信息并结合主节点的机房网段管理，能够准确的将不同机房不同网段进行正确的分配。此外，该方法通过在所有计算节点中均基于单独的CNI插件实现Kubernetes CNI规范的方式，可以降低系统的耦合性，便于系统的迭代升级。

<方法实施例二>

与上述方法实施例一相对应，在本实施例中，还提供另一种容器网络配置方法，请参看图5，其是本公开实施例提供的另一种容器网络配置方法的流程示意图。该方法可以应用于Kubernetes集群的主节点中，如图5所示，本实施例的方法可以包括如下步骤S5100-S5300。

步骤S5100，所述Kubernetes集群的主节点接收计算节点中的代理端发送的、针对目标容器的网络地址分配请求，其中，所述计算节点为所述Kubernetes集群中的任意一计算节点。

步骤S5200，响应于所述网络地址分配请求，基于预设映射数据，获得目标网络地址，其中，所述预设映射数据反映机房与机房网段的对应关系。

步骤S5300，根据所述目标网络地址，生成第一响应消息，并将所述第一响应消息发送至所述代理端，以由所述代理端根据所述第一响应消息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

在一个实施例中，所述网络地址分配请求包括所述计算节点所处机房的机房标识和待进行网络配置的目标容器的目标容器标识；所述基于预设映射数据，获得目标网络地址，包括：根据所述机房标识，获得所述机房对应的网段信息集合，其中，所述网段信息集合包括所述机房对应的全部网段的网段信息；从所述网段信息集合中，获取目标网段中的一个空闲网络地址作为所述目标网络地址，其中，所述空闲网络地址为所述目标网段中未被分配的网络地址，所述目标网段为所述网段信息集合中的任意一网段。

在一个实施例中，所述主节点通过位图数据结构管理每一网段下的网络地址；所述获取目标网段中的一个空闲网络地址，包括：从所述目标网段对应的目标位图的多个比特位中，获取对应比特信息表示存在所述空闲网络地址的目标比特位的索引标识；根据所述索引标识，获得所述空闲网络地址，并将所述目标比特位中的比特信息设置为表示对应网络地址已被分配的信息。

在一个实施例中，所述根据所述目标网络地址，生成第一响应消息，包括：根据所述目标容器标识、所述机房标识、所述目标网络地址和所述目标网段的网段名称，生成所述响应消息。

<装置实施例>

与上述方法实施例一相对应，在本实施例中，还提供一种容器网络配置装置，可以应用于Kubernetes集群的任意一个计算节点的代理端中。如图6所述，该装置600可以包括请求接收模块610、请求响应模块620、网络信息获得模块630和网络配置模块640。

该请求接收模块610，设置为接收针对目标容器的网络配置请求，其中，所述目标容器为由所述Kubernetes集群的主节点调度至所述计算节点运行的任意一容器；该请求响应模块620，设置为生成网络地址分配请求，并将所述网络地址分配请求发送至所述主节点；该网络信息获得模块630，设置为接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；该网络配置模块640，设置为根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。

<设备实施例一>

在本实施例中，还提供一种Kubernetes集群中的计算节点，如图7所述，该计算节点700还可以包括处理器720和存储器710，该存储器710设置为存储可执行的指令；该处理器720设置为根据指令的控制运行计算节点以执行根据本公开实施例一所述的方法。

<设备实施例二>

在本实施例中，还提供一种Kubernetes集群中的主节点，如图8所述，该主节点800还可以包括处理器820和存储器810，该存储器810设置为存储可执行的指令；该处理器820设置为根据指令的控制运行主节点以执行根据本公开实施例二所述的方法。

<介质实施例>

与上述方法实施例对应，在本实施例中，还提供一种计算机可读存储介质，该计算机可读存储介质存储有可被计算机读取并运行的计算机程序，所述计算机程序设置为在被所述计算机读取运行时，执行如本公开以上任意实施例所述的方法。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含至少一个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。对于本领域技术人员来说公知的是，通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。

Claims

一种容器网络配置方法，应用于Kubernetes集群的任意一个计算节点的代理端中，所述方法包括：

接收针对目标容器的网络配置请求，其中，所述目标容器为由所述Kubernetes集群的主节点调度至所述计算节点运行的任意一容器；

响应于所述网络配置请求，生成网络地址分配请求，并将所述网络地址分配请求发送至所述主节点；

接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；

根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。
根据权利要求1所述的方法，其中，所述网络配置请求中包括所述目标容器对应的目标网口名称和所述目标容器所处的目标网络命名空间的目标网络命名空间信息，所述目标网络信息包括为所述目标容器分配的目标网络地址和表示所述目标网络地址所处网段的目标网段信息；

所述根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置，包括：

基于所述预设的虚拟网络设备，创建虚拟设备接口对，其中，所述虚拟设备接口对包括第一虚拟设备接口和第二虚拟设备接口；

根据所述目标网段信息，配置所述第一虚拟设备接口所属的网段，并将完成所述配置的第一虚拟设备接口连接至预设的网桥，其中，所述预设的网桥基于所述计算节点中预设的虚拟多层网络交换机创建，且以所述计算节点的物理网卡作为级联端口；

生成所述目标网络地址对应的目标物理地址，根据所述目标物理地址，配置所述第二虚拟设备接口的物理地址信息，并根据所述目标网络命名空间信息，将完成所述配置的第二虚拟设备接口移动至所述目标网络命名空间中；

根据所述目标网口名称，设置所述第二虚拟设备接口的网口名，以及，配置所述第二虚拟设备接口的网络地址为所述目标网络地址并激活启动所述第二虚拟设备接口；

通过在所述目标网络命名空间中配置所述目标容器的默认路由网关为所述网段对应的网关，完成所述网络配置。
根据权利要求2所述的方法，在完成所述网络配置之后，所述方法还包括：

根据所述目标容器的目标容器标识、所述计算节点的网络地址、所述第一虚拟设备接口的接口信息和所述目标网络地址，生成目标网桥网口信息，并将所述目标网桥网口信息存储至集群配置数据库中。
根据权利要求3所述的方法，在完成所述网络配置之后，所述方法还包括：

在接收到针对目标容器的网络配置删除请求的情况下，生成网络地址回收请求，并将所述网络地址回收请求发送至所述主节点；

接收所述主节点返回的、与所述网络地址回收请求对应的第二响应消息；

在所述第二响应消息表示成功回收所述目标网络地址的情况下，删除所述预设的网桥上的所述第一虚拟设备接口，删除所述虚拟设备接口对，以及，删除所述集群配置数据库中的所述目标网桥网口信息。
根据权利要求1所述的方法，其中，所述生成网络地址分配请求，包括：

从所述网络配置请求中，获得所述目标容器的目标容器标识；

从所述计算节点存储的服务配置信息中，获取所述计算节点所处机房的机房标识；

根据所述目标容器标识和所述机房标识，生成所述网络地址分配请求。
一种容器网络配置方法，应用于Kubernetes集群的主节点中，所述方法包括：

接收计算节点中的代理端发送的、针对目标容器的网络地址分配请求，其中，所述计算节点为所述Kubernetes集群中的任意一计算节点；

响应于所述网络地址分配请求，基于预设映射数据，获得目标网络地址，其中，所述预设映射数据反映机房与机房网段的对应关系；

根据所述目标网络地址，生成第一响应消息，并将所述第一响应消息发送至所述代理端，以由所述代理端根据所述第一响应消息，基于预设的虚拟网络设备对所述目标容器进行网络配置。
根据权利要求6所述的方法，其中，所述网络地址分配请求包括所述计算节点所处机房的机房标识和待进行网络配置的目标容器的目标容器标识；

所述基于预设映射数据，获得目标网络地址，包括：

根据所述机房标识，获得所述机房对应的网段信息集合，其中，所述网段信息集合包括所述机房对应的全部网段的网段信息；

从所述网段信息集合中，获取目标网段中的一个空闲网络地址作为所述目标网络地址，其中，所述空闲网络地址为所述目标网段中未被分配的网络地址，所述目标网段为所述网段信息集合中的任意一网段。
根据权利要求7所述的方法，其中，所述主节点通过位图数据结构管理每一网段下的网络地址；

所述获取目标网段中的一个空闲网络地址，包括：

从所述目标网段对应的目标位图的多个比特位中，获取对应比特信息表示存在所述空闲网络地址的目标比特位的索引标识；

根据所述索引标识，获得所述空闲网络地址，并将所述目标比特位中的比特信息设置为表示对应网络地址已被分配的信息。
根据权利要求7所述的方法，其中，所述根据所述目标网络地址，生成第一响应消息，包括：

根据所述目标容器标识、所述机房标识、所述目标网络地址和所述目标网段的网段名称，生成所述第一响应消息。
一种容器网络配置装置，应用于Kubernetes集群的任意一个计算节点的代理端中，所述装置包括：

请求接收模块，设置为接收针对目标容器的网络配置请求，其中，所述目标容器为由所述Kubernetes集群的主节点调度至所述计算节点运行的任意一容器；

请求响应模块，设置为生成网络地址分配请求，并将所述网络地址分配请求发送至所述主节点；

网络信息获得模块，设置为接收所述主节点返回的、与所述网络地址分配请求对应的第一响应消息，并根据所述第一响应消息，获得所述目标容器对应的目标网络信息；

网络配置模块，设置为根据所述目标网络信息，基于预设的虚拟网络设备对所述目标容器进行网络配置。
一种Kubernetes集群中的计算节点，包括：

存储器，设置为存储可执行的指令；

处理器，设置为根据所述指令的控制运行所述计算节点执行如权利要求1-5任意一项所述的方法。
一种Kubernetes集群中的主节点，包括：

存储器，设置为存储可执行的指令；

处理器，设置为根据所述指令的控制运行所述主节点执行如权利要求6-9任意一项所述的方法。
一种计算机可读存储介质，所述计算机可读存储介质存储有可被计算机读取执行的计算机程序，所述计算机程序设置为在被所述计算机读取运行时，执行根据权利要求1-9中任意一项所述的方法。