适用于大中型银行的云原生网络体系建设方案攻略

近日，由TWT社区主办的2021容器云职业技能大赛团队赛的冠军作品：《适用于大中型银行的云原生技术体系建设方案》中，高性能CNI网络方案已经成为大型银行金融机构首选。本文部分节选自获奖作品中的网络方案叙述，从打造金融级容器云基建的出发点，为广大金融技术团队提供网络部分改造的路径参考。

方案作者：2021容器云职业技能大赛参赛团队“三地五中心”队员：孙佳明 兴业数金 容器云工程师、李逍 兴业银行应用运维工程师、林钫 兴业数金 系统运维工程师、林鑫 兴业数金 容器云工程师、王嵩阳 兴业银行 质量中心工程师。

转载来源：本文部分节选自“twt企业IT社区”公众号《适用于大中型银行的云原生技术体系建设方案》

大中型银行需要打造金融级容器云基建

银行 IT 基础设施对高可用、稳定可靠有较高的要求，基于传统的IaaS 部署应用已有相对成熟的解决方案，如存储层镜像复制、虚拟机漂移、全局 DNS 切换等。基于容器技术建设的云基础设施具备更优的资源利用率和弹性优势，但云原生技术体系仍在快速发展过程中，如何利用容器技术打造高可用、稳定可靠的IT 基础设施，各企业需求存在不同的解法，本方案设计了多云管理、Runtime 改进、高性能云原生存储、金融级容器网络、容器云容灾系统等系列方案进行容器云基础设施建设，并使其具备支撑企业级 PaaS 的扩展性能力。

图1：本方案设计的云原生技术体系全景

金融级云原生网络方案的设计

在银行进行容器云建设和应用上云，网络一直是难点和关键点，本文作者团队认为主要是以下三点关切：

• 主流的 K8S 网络方案与数据中心的传统网络架构很难融合，容器网络管理不透明。

• 多集群环境下，不同业务系统间细粒度的网络管控较难实现。

• 随着业务系统分布式、微服务转型，应用多活部署，跨集群微服务治理相对困难。

本方案将通过设计 Overlay/Underlay 双栈容器网络打通容器云与传统 IaaS 层网络， 使得网络管控更具一致性；并建设高性能全局负载， 满足银行业务系统多活部署需求。

图2：容器云网络整体设计

 

如何通过CNI搭建Overlay/Underlay双栈容器网络

本方案采用热门CNI网络方案Kube-OVN，社区化且可扩展性强，利用成熟的 OVS 作为网络底座，复用 OVS 社区生态，基于 K8S 架构原生设计。可在容器集群兼容 Overlay/Underlay 两种网络， Overlay 和物理网络保持独立，可进行每个 Namespace 独立网络控制，具备分布式网关/集中式网关/NAT 控制的网络出口控制方式；Underlay 网络和物理网络直接打通，直连底层结构实现高性能，且支持 Pod 运行在不通 VLAN 中，通过 VLAN 实现网络管控，通过annotation 可固定 Pod 的IP/MAC。

图3：Kube-OVN 双栈容器网络架构

另外， OVS 层容器流量可全镜像， 便于安全审计， 流量分析；支持动态 QoS 限制双向带宽，流表实现 Service 避免 Iptables 性能损耗。

图4：通过 OVS 做流量全镜像

基于上述方案， 非核心业务容器可基于 Overlay 网络部署， 节约网络资源，灵活易扩展，关键业务系统容器可采用 Underlay 网络模式，无缝融合数据中心网络管控；Underlay 模式天然实现多集群间 Pod、虚机、物理机网络打通，高性能满足多集群微服务治理需求。

以上就是更适用于大中型银行的金融级云原生网络体系的构建方案，通过将OpenStack领域成熟的网络功能平移到Kubernetes，融合了安全强化、智能运维、硬件加速等多方面的特性，增强了Kubernetes容器网络的安全性、可运维性、管理性和性能，并且已经过金融行业核心系统性能的压测，可以更大程度地免除金融技术团队后顾之忧。

最后祝愿广大金融技术团队，都能够依据自身企业的实际情况，顺利构建高并发、高可用、高性能的云原生容器网络，稳健、高效地实现云原生化转型。