容器网络限流实践

最新推荐文章于 2024-05-12 13:36:26 发布
最新推荐文章于 2024-05-12 13:36:26 发布
阅读量3.5k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M2l0ZgSsVc7r69eFdTj/article/details/86464765
版权
本文介绍了Docker网络中的流量控制策略,包括Policing管制和Shaping整形。Policing用于限制接口的接收速率,通过丢包来实现速率控制,而Shaping则是控制出口流量,通过队列策略确保服务质量。具体应用中,如eth1接口,可以通过设置ingresspolicingrate和ingresspolicingburst来调整收包速率和最大突发流量,以优化网络性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

640?wx_fmt=jpeg


我们需要为“上云“的应用提供流量带宽保证,使其不受到其他应用或其他用户的应用的影响。我们需要提供租户级别或者应用级别的有效隔离。本文分享一下我们为了达到这个目标做了哪些实践工作。
容器平台做容器网络限流的意义

640?wx_fmt=png


无论我们的目标是搭建公有云的容器云平台还是为客户提供容器平台的私有部署或解决方案,我们都会面临一个问题:容器网络限流的问题。在我们实验室的环境下,如果没有对容器带宽进行限制,单Pod使用的最大吞吐量将可以独占整个带宽,从而导致其他应用不能被访问。
单用户单Pod在没有做任何网络带宽限制情况下,网络吞吐量测试结果如下: 
640?wx_fmt=png
我们需要为“上云”的应用提供流量带宽保证,使其不受到其他应用或其他用户的应用的影响。我们需要提供租户级别或者应用级别的有效隔离。今天将分享一下我们为了达到这个目标做了哪些实践工作。
在Kubernetes众多的网络插件中,我们选择使用Open vSwitch容器网络插件。通常情况下,我们根据VNID实现租户间的网络隔离,并且在此基础上我们还可以根据Networkpolicy网络策略提供更细粒度的网络隔离,可以实现Pod之间、跨Namespace的网络访问控制。 
640?wx_fmt=png
使用Open vSwitch容器网络插件如何进行容器网络限流

640?wx_fmt=png


使用Open vSwitch容器网络插件如何进行容器网络限流呢?Open vSwitch本身不实现QoS,它使用Linux内核自带的traffic-control机制进行流量控制。主要两种实现方式:

  • Policing管制:Policing用于控制接口上接收分组(ingress)的速率,是一种简单的QoS的功能,通过简单的丢包机制实现接口速率的限制,它既可以作用于物理接口,也可以作用于虚拟接口。

  • Shaping整形:Shaping是作用于接口上的出口流量(egress)策略,可以实现QoS队列,不同队列里面处理不同策略。


640?wx_fmt=png
Policing的实现
Policing在OVS中采用ingresspolicingrate和ingresspolicingburst两个字段完成ingress入口限速功能,该两个字段放在Interface表中。
入口限速直接配置在网络接口上,命令示例如下: 
 
 
    
  
  1. # ovs-vsctl set interface eth1 ingress_policing_rate=1000
    2. 
  
  2. # ovs-vsctl set interface eth1 ingress_policing_burst=100
    3. 
 
 
 
 
 
    
  
  • eth1:加入OVS桥端口的网络接口名称;
    • 
  
  • ingresspolicingrate:为接口最大收包速率,单位kbps,超过该速度的报文将被丢弃,默认值为0表示关闭该功能;
    • 
  
  • ingresspolicingburst:为最大突发流量大小,单位kb。默认值0表示1000kb,这个参数最小值应不小于接口的MTU,通常设置为ingresspolicingrate的10%更有利于tcp实现全速率;
    • 
 
 
 

通过命令ovs-vsctl list interface eth1可以查看配置:  
 
 
 640?wx_fmt=png 
 
 
 Shaping的实现 
 
Shaping用于实现出口流量的控制,使用了队列Queue,可以缓存和调度数据包发送顺序,比Policing更加精确和有效,在OVS的数据表中主要使用QoS和Queue两张表。 
 
QoS创建命令: 
 
 
 
 
 
    
  
  1. ovs-vsctl set port eth1 qos=@newqos--  
    2. 
  
  2. --id=@newqoscreate qos type=linux-htb queues=0=@q0-- 
    3. 
  
  3. --id=@q0create queue other-config:max-rate=100000000
    4. 
 
 
 
创建Queue: 
 
 
 
 
 
    
  
  1. --id=@q0 create queue other-config:max-rate=100000000
    2. 
 
 
 
创建q0队列,设置最大速率100M,通过ovs-vsctl查看配置的Queue表内容如下: 
 
 
 640?wx_fmt=png 
 
创建Qos规则: 
 
 
 
 
 
    
  
  1. --id=@newqos create qos type=linux-htb queues=0=@q0
    2. 
 
 
 
创建QoS规则newqos,类型为linux-htb,并连接key值为0的队列q0,通过ovs-vsctl查看配置的QoS表内容如下: 
 
 
 640?wx_fmt=png 
 
创建接口Qos: 
 
 
 
 
 
    
  
  1. set port eth1 qos=@newqos
    2. 
 
 
 
设置接口eth1的QoS为newqos,通过ovs-vsctl list port查看配置的port表内容如下: 
 
 
 640?wx_fmt=png 
 
我们采用的技术栈是Golang。我们也可以使用红帽提供的OVS的库github.com/openshift/origin/pkg/util/ovs实现上面Policing和Shaping功能。 
 
代码示意如下: 
 
 
 640?wx_fmt=png 
 640?wx_fmt=png 
 
在Kubernetes上,如果使用Open vSwitch CNI插件,我们可以在创建Pod资源的时候为其配置速率限制。 
 
创建iperf-pod.yaml,并为其配置速率限制: 
 
 
 
 
 
    
  
  1. cat <<EOF >iperf-pod.yaml
    2. 
  
  2. apiVersion: v1
    3. 
  
  3. kind: Pod
    4. 
  
  4. metadata:
    5. 
  
  5.   name: iperf
    6. 
  
  6.   annotations:
    7. 
  
  7.     kubernetes.io/ingress-bandwidth: 3M
    8. 
  
  8.     kubernetes.io/egress-bandwidth: 3M
    9. 
  
  9. spec:
    10. 
  
  10.   containers:
    11. 
  
  11.   -
    12. 
 



                

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    

      

        

            

              
                
                  Docker_
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
k8s在网络限流实践中的应用原理

				
			

			

				

					走向CTO的路上...
				

				

					05-30
					
					615
					
				

			

		

		

			
				
Kubernetes(简称k8s)在网络限流方面有很多应用场景,主要包括以下几个方面:

			
		

	



                

            
              



	

		

			

				
					
Docker容器——网络模式和Cgroup资源限制

					
最新发布

				
			

			

				

					2401_83330816的博客
				

				

					07-16
					
					395
					
				

			

		

		

			
				
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的 Container-IP直接通信。Docker网桥是宿主机虚拟出来的,并不是真实存在的网络设备,外部网络是无法寻址到的,这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部

			
		

	



              


  
              

                


	

		

			

				
					
Docker 守护进程配置之限制默认网桥上容器之间的网络流量

				
			

			

				

					chunqizhi
				

				

					11-22
					
					1404
					
				

			

		

		

			
				
描述
默认情况下,默认网桥上同一主机上的容器之间允许所有网络通信。如果不需要,限制所有的容器间通信,将需要通信的
特定容器链接在一起,或者创建自定义网络,并只加入需要与该自定义网络通信的容器。

安全出发点
默认情况下,默认网桥上同一主机上的所有容器之间启用不受限制的网络通信。因此,每个容器都有可能读取同一主机上
容器网络上的所有包,这可能会导致意外和不必要的信息泄露给其他容器。因此,需要限制默认...

			
		

	





	

		

			

				
					
docker限制容器下载速度

				
			

			

				

					刘贤松的博客
				

				

					04-01
					
					5066
					
				

			

		

		

			
				
限制容器的下载速度,使用tc命令实现上传下载的限制,如要限制容器的上传的速度,需要在应用的容器内安装iproute工具包,使用tc命令在容器启动时限制。

在启动容器时添加标签,org.label-schema.tc.enabled值为1启用限制,非1不启用。
org.label-schema.tc.rate配置最小带宽限制。
org.label-schema.tc.ceil配置最大带宽限制。

			
		

	



		

			
		



	

		

			

				
					
linux如何为网卡限流,Docker网络隔离初步设想

				
			

			

				

					weixin_34965737的博客
				

				

					05-06
					
					718
					
				

			

		

		

			
				
Docker网络现状目前Docker网络隔离是容器化方案中最薄弱的一环,无论是Docker引擎还是各大管理系统如Mesos和K8S都没有提供解决方案。但是如果不隔离,将存在一定的风险,因为如果一个容器的流量过大将占用完网卡,造成其它容器无法被使用。目前是否就有办法在目前的情况下做到网络隔离呢?其实有变通的方式的。PoC 思路和实践过程首先要找到一条思路能够手工做,然后再去考虑如何与容器管理系统集成...

			
		

	





	

		

			

				
					
玩转容器存储QoS

				
			

			

				

					YAN_RONG_TECHNOLOGY的博客
				

				

					10-15
					
					845
					
				

			

		

		

			
				
IT架构的一个发展趋势和技术挑战,就是如何将越来越多的应用运行在灵活、可扩展的统一平台上,同时还必须提升管理和运行的效率。众多的应用运行在同一个资源池中的模式,和以往各个应用具有各自独立的物理计算+存储资源的运行模式有着很大的不同。其中一点不同就是,在以往的IT架构中,各个应用所需的存储容量、性能都是根据其需要独立配置的,很少存在资源抢占的问题。而当众多应用运行在同一个平台上时,不同应用对存储资源...

			
		

	





	

		

			

				
					
微服务和分布式相关基础知识(Spring Could,fastDFS,RocletMQ,熔断机制,Docker容器

				
			

			

				

					xx635457960的博客
				

				

					04-17
					
					1103
					
				

			

		

		

			
				
Spring Clould简介

Spring Clould是微服务架构的集大成者,将一系列优秀的组件进行了整合,基于Spring boot构建



Spring clould 五大常用组件

1、服务发现——Netflix Eureka

实现服务治理(服务注册与发现);

由Eureka服务端和客户端组成;

Eureka服务端用作服务注册中心,支持集群部署;

Eureka客户端是一个j...

			
		

	





	

		

			

				
					
容器网络最佳实践.docx

				
			

			

				

					10-11
				

			

		

		

			
				
容器网络最佳实践主要聚焦于如何在容器环境中有效地管理和配置网络,以便容器间的通信以及与外部世界的交互。在本文中,我们将探讨容器网络的基本概念、Kubernetes 的角色、AWS VPC 路由表的运用,以及网络数据包的...

			
		

	





	

		

			

				
					
使用docker-tc对host容器进行限流

				
			

			

				

					qq_33709998的博客
				

				

					04-02
					
					1513
					
				

			

		

		

			
				
docker-tc是一个github开源项目,项目地址是。在容器中配置对其进行限速,限速为1mbit/s。运行docker-tc。不行,这个东西很吃内存。

			
		

	





	

		

			

				
					
Docker容器镜像安全最佳实践指南

				
			

			

				

					神棍之路
				

				

					01-17
					
					1507
					
				

			

		

		

			
				
0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置为info2.3 允许 docker 更改iptables2.4 不使用不安全的镜像仓库2.5 建议不使用aufs存储驱动程序。

			
		

	





	

		

			

				
					
docker中的Nginx限流、nginx+redies+lua动态黑名单ip封禁

				
			

			

				

					baidu_39340547的博客
				

				

					11-09
					
					3651
					
				

			

		

		

			
				
nginx限流
在http设置中添加限流的设置,20r/s 每个ip每秒允许20次访问。
设置完成后再需要限流的接口中调用该设置。
http{
	limit_req_zone $uri zone=api_read:20m rate=20r/s;
}
server{
location /test/api {  
	limit_req zone=api_read burst=5 nodelay;
}

nginx配合redis实现ip自动封禁
前提:nginx加载了lua模块   实现lua的docker镜像(

			
		

	





	

		

			

				
					
docker高级应用之网络资源限制

				
			

			

				

					weixin_34018202的博客
				

				

					05-04
					
					587
					
				

			

		

		

			
				
最近我这里docker单机平台正式上线使用,使用中有很多问题都一样解决,在给一个游戏项目做测试的时候,此项目由于8080端口对公网全部开放,并且安全策略没有做好(默认的tomcat模板没有删除),导致被人进行webshell,跑了很多的流量,为了解决此问题我针对tc与openvswitch本身的qos做了深入研究,最后选择openvswitch的qos作为容器网络资源限制方法。docker本身仅...

			
		

	





	

		

			

				
					
Docker 网络 和 资源限制

				
			

			

				

					段小宝的博客
				

				

					07-26
					
					5388
					
				

			

		

		

			
				
目录前言一、Docker 网络实现原理Docker网络模式:Docker 资源限制2.1 设置CPU使用率上限
前言
一、Docker 网络实现原理
Docker使用Linux桥接,在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据 Docker网桥的网段分配给容器一个IP地址,称为 Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的 Container-IP直接通信。

默认情

			
		

	





	

		

			

				
					
直播 | 容器网络限流实践

				
			

			

				

					Docker的专栏
				

				

					01-07
					
					449
					
				

			

		

		

			
				

  
    
                    

                    

                    
                    
                    分享时间:1月8日 20:30分享主题:容器网络限流实践分享人介绍:范彬,现电信云容器项目研发组长。对技术保有一颗热衷的心。自2016年起开始一直从事容器、微服务等方面的...

			
		

	





	

		

			

				
					
如何设计一个可扩展的限流算法

				
			

			

				

					Docker的专栏
				

				

					02-29
					
					385
					
				

			

		

		

			
				
限流(Rate Limiting,即速率限制)通过限制每个用户调用API的频率来防止API被过度使用,这可以防止他们因疏忽或恶意导致的API滥用。在没有速率限制的情况下,每个用户可以随心...

			
		

	





	

		

			

				
					
docker 资源限制

				
			

			

				

					凤凰涅槃而生
				

				

					05-12
					
					1989
					
				

			

		

		

			
				
docker 限制Docker是一个开源的应用容器引擎,允许开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙盒机制,相互之间不会有任何接口。在进行资源管理和限制方面,Docker提供了多种机制来限制容器的资源使用,包括CPU、内存、磁盘I/O以及网络带宽。

			
		

	





	

		

			

				
					
Docker--限制容器的资源使用

				
			

			

				

					小李学不完的博客
				

				

					05-02
					
					4740
					
				

			

		

		

			
				
容器所用内存资源的限制、用户内存限制、内核内存限制、设置内存预留实现软限制。容器所用CPU资源的限制:CPU份额限制、CPU周期限制、CPU放置限制、CPU配额限制。容器所y用块I/O宽带限制:设置块I/O权重、限制设备读写速率。资源限制的实现机制。示例:验证分析容器资源限制的实现机制、动态更改容器的资源限制。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值