企業在上雲過程中新的技術不斷引入,中國信息通信研究院的調查報告顯示,2019年43.9%的被訪企業已經使用容器技術部署業務應用,計劃使用容器技術部署業務應用的企業占比為40.8%;28.9%的企業已經使用微服務架構進行應用系統開發,另外有46.8%的企業計劃使用微服務架構。繼SDN之後容器、微服務、DevOps等為代表的雲原生技術,大大提高了企業上雲的敏捷性、彈性和雲間的可移植性,使其基礎設施不斷雲化的同時不可避免地遇到虛拟網絡的黑盒難題。容器網絡固有的波動特性成為監控診斷的挑戰,CNCF的報告指出,容器的網絡和安全已成為容器雲平台建設最主要的挑戰,當企業将重要的核心應用遷移至容器平台,企業必須獲取全網的流量數據并在此基礎上繪制網絡知識圖譜以實現對全網狀态的可視化。
為了解決隔離性和跨節點的容器通信,Overlay Network成為衆多企業建設容器網絡方案的。新型容器網絡分為兩大類——隧道方案和路由方案。目前常見的容器網絡方案通常基于CNI實現,包括Flannel、Calico、Weave Net、Contiv、NSX-T Container Plugin (NCP)、OpenShift-SDN等,其中Flannel-VXLAN、Calico-IPIP、Weave Net、Contiv-VXLAN、NCP、OpenShift-SDN都是基于Overlay隧道實現,而Flannel-HostGW、Calico-BGP、Contiv-BGP都是基于路由方式實現。此外,還有完全依賴Underlay實現的網絡方案,如SR-IOV、MACVLAN、IPVLAN等。隧道方案對底層的網絡沒有過高的要求,但随着節點規模的增長複雜度會提升,對網絡問題的排查将變得更為困難。
企業上雲之後,其業務的應用架構逐漸走向微服務化/容器化,業務和網絡結合的越來越緊密。容器雲平台比以往任何的基礎架構平台更加的接近業務,同時也包含了更多的層級和組件,因此也帶來了更多的風險;在容器雲平台内部,默認的網絡模型在東西向訪問隔離方面缺少必要的安全保障。在微服務架構中,服務間的網絡監控是業務保障中重要部分;在容器網絡中,POD間的網絡流量迫切需要工具手段進行監控保障。獲取完整的網絡流量尤其是虛拟網絡和容器網絡的流量是解決虛拟網絡黑盒問題、保障業務上雲的連續性和安全性的重要前提。企業需要構建統一的雲監控平台,使其具備全網流量采集和全面可視化能力,實現業務上雲後的可視、可管、可控以及快速排障。
對于建設全網流量監控與可視化方案的介紹請參照雲杉網絡混合雲網絡監控診斷方案的論述。下文将針對容器網絡的流量監控與可視化進行展開。在建設容器網絡流量監控與可視化實踐中需注意以下原則:
a)功能一體化: 在覆蓋容器資源池的同時要能兼容KVM、VMware、公有雲、裸金屬等異構資源池的虛拟網絡,同時兼具多租戶服務能力,避免重複建設和複雜管理。此外,方案須具備容器業務的梳理和畫像能力,為流量可視化奠定基礎。
b)架構雲原生: 監控平台自身必須是雲原生架構,充分考慮和滿足企業上雲的彈性需求,在适配不同容器環境的同時确保對主流私有雲、公有雲等混合雲環境的統一監控。當企業對容器業務進行跨資源池彈性部署時,方案應具備自動跟随能力。
c)部署少侵擾: 整個方案的部署應盡可能地避免對現有生産環境産生影響,對不同的容器環境須采用與之匹配的技術方案,在進行容器流量采集部署時滿足平滑部署且保證業務不間斷,确保對計算資源的消耗安全可控。
d)數據标準化: 企業IT環境往往是複雜和異構的現狀,其監控系統中的工具和數據也多種多樣。容器網絡的流量數據不可避免地要被多類終端或平台消費,因此監控數據須遵循開放标準,确保企業現有的分析工具可以無縫使用。
虛拟化在資源使用率、靈活性和彈性方面不如容器,容器在微服務、DevOps、分布式等方面天生具備優勢,因此成為數據中心新一代雲基礎架構的選擇。Kubernetes憑借着其優良的架構,靈活的擴展能力,豐富的應用編排模型,成為了容器編排領域的事實标準,也是企業進行容器雲平台建設的。
容器環境中的常見故障一般有三類。應用類故障通常表現為應用的執行狀态和預期不符;容器故障通常表現為無法正确的創建、停止或更新容器;集群故障通常表現為不滿足一緻性或無法連接。企業在容器環境部署及管理方案中,對于系統監控報警功能會更多地關注Prometheus,并結合Grafana、Zabbix等開源工具以解決容器網絡監控保障的難題,但所能獲取的指标數據和展示維度相對有限,尤其是當容器資源池規模繼續擴容後,上述工具的擴展性和部署問題将難以滿足深入的分析需求。以容器Host模式為例,通常每個節點運行100~200個Pod,獲取每個Pod的網絡流量并結合全網流量數據,實現秒粒度的查詢分析并不是一件容易的事。
雲杉網絡多年以來專注雲數據中心網絡的監、管、控方案及SDN軟件産品的研發。主打産品DeepFlow®基于高效的混合雲流量全網采集和時序數據存儲檢索技術,為客戶提供混合雲全網流量采集與分發解決方案和混合雲網絡性能監控診斷解決方案。在容器網絡環境中,應用的水平擴展、網絡的可達性、配置管理、服務依賴、集群一緻性等方面都存在技術難題,DeepFlow®平台通過對容器平台(如Kubernetes)進行對接,主動學習容器環境中的相關信息,包括集群(Cluster)、節點(Node)、Pod、服務(Service)、Ingress等;采集器根據容器環境共有容器OnVM采集器、容器OnHost采集器兩種規格,滿足不同容器資源池内的流量采集和過濾。在“業務畫像”功能中創建業務,并加入相關的資源組、歸類IP、功能服務、鍊路,描述業務應用的網絡訪問路徑。采集器将資源池内的流量按業務畫像梳理出來的規則過濾,實現業務應用端到端訪問的網絡監控與診斷。
針對容器中的重點業務應用,需要将其納入監控系統視圖進行持續關注;在網絡圖譜中,從區域、節點、Pod、IP等多個維度查詢展示容器業務;在整條業務路徑中,分段排查網絡狀态,快速縮小問題範圍,定位異常原因;回溯定位網絡流、數據包進行分析取證。
DeepFlow®平台從以下角度對容器網絡監控進行了創新:
首先,針對異構資源池,構建了統一的采集抽象層。DeepFlow®支持主流容器廠商産品、Kubernetes、KVM、ESXi、公有雲Workload、專屬服務器等環境,滿足企業一體化監控平台建設目标。
其次,DeepFlow®采用開放架構設計,具備良好的可擴展性和兼容性;一套平台可解決雲上網絡性能監控、基礎設施監控、應用性能監控需求。有利于企業監控體系數據标準化的實現。
第三,DeepFlow®自主設計的可視化資源知識圖譜,能從十幾個維度動态關聯監控數據的屬性,全景展現容器網絡的運行狀态。例如容器節點、命名空間、服務、Deployment、ReplicaSet、POD、區域、可用區、VPC、子網、IP等維度。

雲杉網絡作為國内最早的SDN創新企業,在業界率先實現了對容器網絡的監控解決方案,并與的容器解決方案供應商和業務應用分析廠商達成合作,先後推出了企業上雲聯合解決方案,滿足市場和客戶的需求。第四,DeepFlow®基于雲原生方式純軟件部署,監控能力真正做到了随雲而動并限度降低了對生産環境的侵入性,自動跟随機制确保了能完整監控容器資源彈性部署時的情況。