虚拟云网络系列 | Antrea 应用于 VMware 方案功能简介(二)

已于 2023-03-29 13:46:23 修改
阅读量151 收藏
点赞数
文章标签: Antrea
于 2023-03-29 13:43:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42906753/article/details/129835125
版权

接续前篇《虚拟云网络系列 | Antrea 应用于 VMware 方案功能简介(一)》,这篇推文内我想简单与大家讨论 Antrea 作为 VMware 主要支持的 Container Network Interface,相关的构件以及与其他竞争方案的差异。近几年随着 Kubernetes 的技术发展,Container Network Interface 这边的相关项目也百花齐放,从早期的 Flannel / Weave / OVN 到目前主流的 Calico / Cilium,包含 VMware 本身 NSBU 之前也在 NSX 开发了 NCP (NSX Container Platform),各有各的特长。那目前 VMware / Tanzu 在商用支持上主要采用 Antrea,是因为 Antrea 有哪些优势呢?这篇简单与大家说明。

首先我们看一下 Antrea 的架构,几个重点分别讨论:

在这里插入图片描述

1.Antrea 采用 Open-vSwitch 作为核心网络构件

上面架构图内大家可以看到每个 Kubernetes Node 内都有大大的 OVS (Open-vSwitch) 三个字,这是 Antrea 与其他方案最主要的差别:Antrea 使用 Open vSwitch 做为底层的核心构件。Open vSwitch 是一个开发长久、稳定、可编程的开源方案,具有下列特性:

  • 方案成熟,Open vSwitch 早在 NSX 前身 Nicira 时代就完整商用化,目前也已经是 Linux Kernel 的内建模块。
  • 作为开源 SDN (Software Define Network) 的核心构件,开发者可以很轻易地透过 Open vSwitch(藉由 OVSDB / Openflow)启用多种企业需要的安全及网络功能,远多于原生 Kubernetes 基础定义的需求。
  • 可以运作在 Linux 及 Windows 操作系统,因此具备完整可携性。在客户要将 Kubernetes Cluster 部署于不同公私有云,不同操作系统上时,Antrea 均能轻易支持。

2.Antrea 具备 controller-agent 的控制 / 转发设计

同样在上图,大家可以看到每个 Kubernetes Node 内都有一个 Antrea Agent。这个 Antrea Agent 主要的工作是接收来自 Kubernetes API Server 以及 Antrea Controller 的指示,编写相关的网络与安全需求,再通过本地 OVS 来进行功能实现,比如说 Pod 与 Pod 间要通过 Geneve Tunnel 进行跨 node 网络连线,每个 Pod 本身的 Network Policy 等等。

此外,由于 Antrea 的一个重要功能是进行各个 Pod 间的进阶安全控制,此时需要一个构件能够:

  • 透过 Kubernetes API 收集 Pod/Namespace/Service 的状态。
  • 提供 API 让外部系统可呼叫来配置进阶安全策略。
  • 于此构件将进阶安全策略配送到需求 Kubernetes Node 上的 Antrea Agent,呼叫各自的 OVS 进行安全政策实现。

因此在 Antrea 部署时,除了每个 K8S node 上都会有 Antrea Agent 外,还会于 Master Nodes 上安装一个 Controller Pod。下图是我在 Lab 内建置,具有一个 Master Node,三个 Worker Nodes 的 Kubernetes Cluster。可以看到当 Antrea 安装完成,每个 Node 上面都有一个 Antrea Agent (共四个),除此之外还有一个 antrea-controller pod 配置,负责上述讨论的提供进阶的安全控制与外部系统接取功能。

在这里插入图片描述

如果大家对细部的 Antrea / Kubernetes 构件间关系有兴趣,可以参考下列这张图,包含了 Antrea 各构件、Kubernetes 各构件、甚至包含到外部系统间的完整关联:

在这里插入图片描述

架构面先简单谈到这边,如果大家对相关细节想进一步了解,可以参考下列文章,有详尽讨论:

在这里插入图片描述

这里特别花一篇推文来讨论架构,主要想要强调下面这几点:

  • 透过采用 Open vSwitch 成熟技术作为核心骨干,Antrea 能够容易地做到跨操作系统、甚至在不同公私有云平台的快速支持。
  • 同时,由于之前在 Open vSwitch 上已经累积的大量经验,Antrea 项目能够快速地应用 Open vSwitch 本身已支持的功能,呼应企业需求,在短期内就能够透过 Open vSwitch 现有机制将新功能实现出来。
  • 藉由 Antrea Controller 的设计,能够实作出较传统 Network Policy 远为复杂的安全政策机制,同时也能够很简单地提供外部系统(如后面我们要讨论的 NSX,或整合另一个著名的开源维运工具 OCTANT)来进行政策配置与资讯查找。

虽然不同的 Container Network Interface 方案各有千秋,但 Antrea 具备上述谈到的特性包含构件成熟且功能完整、易于开发、易于整合外部系统的特性,也就成为了 VMware 支持容器方案的首选。尤其 VMware 本身在之前维护 Open vSwitch 开源项目上原本就有投资大量的开发团队与相关经验,继续进行 Antrea 的开发与维护也是水到渠成的。

先谈到这边,下篇我将和大家讨论 Antrea 的安装方式。

内容来源|公众号:VMware 中国研发中心

本文作者:Colin Jao (饶康立), VMware 资深技术顾问,主要负责 VMware NSX 产品线,目前致力于网络虚拟化、分布式安全防护技术与新应用递送方案的介绍与推广。

VMware中国研发中心
关注
【K8S系列】深入解析k8s 网络插件—Antrea
颜淡慕潇
10-07 6万+
Antrea 是一个 Kubernetes 网络插件,它提供了强大的网络功能,包括网络策略、路由、连接等任务,同时也是一个可观察性解决方案Antrea 基于 Flannel 和 Calico,借用了 Flannel 的网络策略和 Calico 的网络可观察性优势。
虚拟网络系列 | Antrea 用于 VMware 方案功能简介(一)
VMware中国研发中心
03-23 197
在本系列内我想和大家介绍目前 VMware 主要支持的容器网络方案Antrea。在写作时间点,VMware Tanzu 方案使用的主要底层网络构件默认已经都是 Antrea ,VMware 也提供对 Antrea 的企业支持,以及与 VMware NSX (NSX Data Center) 的整合机制。因此,在规划与执行不同的 Kubernetes 项目时,Antrea 本身的功能、配置方式、相关产品整合机制、在网络与安全上的架构设计等,也都会是大家关注的重点。
Antrea-安装与拓扑
weixin_43394724的博客
07-10 1152
测试环境 Antrea安装 下载地址:https://github.com/antrea-io/antrea/releases/tag/v0.13.3,以及安装使用该页面上antrea.yml [root@master-01 ~]# kubectl exec -it antrea-controller-787747dbb7-fck8l -n kube-system -- antctl version antctlVersion: v0.13.3 controllerVersion: v0.13.3 K
antrea:基于Open vSwitch的Kubernetes网络
02-04
安特里亚 总览 Antrea是一个网络解决方案,旨在成为Kubernetes的本机。 它使用作为网络数据平面,在Layer3 / 4上运行,为Kubernetes集群提供网络和安全服务。 Open vSwitch是一种广泛采用的高性能可编程虚拟交换机。 Antrea利用它来实现Pod网络和安全功能。 例如,Open vSwitch使Antrea能够以非常有效的方式实施Kubernetes网络策略。 先决条件 Antrea已通过运行1.16或更高版本的Kubernetes集群进行了测试。 NodeIPAMController必须Kubernetes集群中启用。 使用kubeadm部署集群时,
Antrea-VMware开源CNCF沙箱级项目
weixin_43394724的博客
07-10 494
2021年4月28日,经原生计算基金会(CNCF)技术监督委员会(TOC)投票决议, 开源项目 Antrea 正式成为CNCF沙箱级项目(Sandbox Project)。 Antrea 项目是一个基于 Open vSwitch(OVS)的开源 Kubernetes CNI 网络插件解决方案,旨在为 Kubernetes 集群提供更高效、更安全的跨平台网络和安全策略。 Antrea架构 Antrea 利用 OVS 作为网络数据平面,主要为 Kubernetes 集群提供到四层的网络服务和安全特性。OV
虚拟网络系列 | Antrea 用于 VMware 方案功能简介(七)
VMware中国研发中心
04-10 121
详述在 NSX Distributed Firewall 内进行 Kubernetes Cluster 内的防火墙政策设定
虚拟网络系列 | Antrea 用于 VMware 方案功能简介(四)
VMware中国研发中心
03-30 157
Antrea 的社群版本与商用版本
虚拟网络系列 | Antrea 用于 VMware 方案功能简介(九)
VMware中国研发中心
04-17 150
如何进行 Antrea 整合 NSX 的安装步骤
虚拟网络系列 | Antrea 用于 VMware 方案功能简介(三)
VMware中国研发中心
03-29 117
Antrea的安装
VMware Pivotal容器服务(PKS)入门第1部分:概述
LLYCLOUD的博客
10-15 2013
VMware Pivotal容器服务(PKS)入门第1部分:概述 在过去的一周半中,我花了很多时间使自己熟悉最近发布的VMware Pivotal Container Service解决方案,也简称为VMware PKS(是的,这是K而不是C,这是对Google的容器调度程序Kubernetes)。VMware PKS是我目前正在从事的项目的一部分,我想我将分享在我自己的个人实验室中部署VMwa...
VMWARE NSX-T
07-09
VMware NSX-T Reference Design Guide Table of Contents 1 Introduction 4 1.1 How to Use This Document 4 1.2 Networking and Security Today 5 1.3 NSX-T Architecture Value and Scope 5 2 NSX-T Architecture Components 11 2.1 Management Plane 11 2.2 Control Plane 12 2.3 Data Plane 12 3 NSX-T Logical Switching 13 3.1 The N-VDS 13 3.1.1 Uplink vs. pNIC 13 3.1.2 Teaming Policy 14 3.1.3 Uplink Profile 14 3.1.4 Transport Zones, Host Switch Name 16 3.2 Logical Switching 17 3.2.1 Overlay Backed Logical Switches 17 3.2.2 Flooded Traffic 18 3.2.2.1 Head-End Replication Mode 19 3.2.2.2 Two-tier Hierarchical Mode 19 3.2.3 Unicast Traffic 21 3.2.4 Data Plane Learning 22 3.2.5 Tables Maintained by the NSX-T Controller 23 3.2.5.1 MAC Address to TEP Tables 23 3.2.5.2 ARP Tables 23 3.2.6 Overlay Encapsulation 25 4 NSX-T Logical Routing 26 4.1 Logical Router Components 27 4.1.1 Distributed Router (DR) 27 4.1.2 Services Router 32 4.2 Two-Tier Routing 36 VMware NSX-T Reference Design Guide 2 4.2.1 Interface Types on Tier-1 and Tier-0 Logical Routers 37 4.2.2 Route Types on Tier-1 and Tier-0 Logical Routers 38 4.2.3 Fully Distributed Two Tier Routing 39 4.3 Edge Node 41 4.3.1 Bare Metal Edge 42 4.3.2 VM Form Factor 46 4.3.3 Edge Cluster 48 4.4 Routing Capabilities 49 4.4.1 Static Routing 49 4.4.2 Dynamic Routing 50 4.5 Services High Availability 53 4.5.1 Active/Active 53 4.5.2 Active/Standby 54 4.6 Other Network Services 56 4.6.1 Network Address Translation 56 4.6.2 DHCP Services 56 4.6.3 Metadata Proxy Service 57 4.6.4 Edge Firewall Service 57 4.7 Topology Consideration 57 4.7.1 Supported Topologies 57 4.7.2 Unsupported Topologies 59 5 NSX-T Security 60 5.1 NSX-T Security Use Cases 60 5.2 NSX-T DFW Architecture and Components 62 5.2.1 Management Plane 62 5.2.2 Control Plane 62 5.2.3 Data Plane 63 5.3 NSX-T Data Plane Implementation - ESXi vs. KVM Hosts 63 5.3.1 ESXi Hosts- Data Plane Components 64 5.3.2 KVM Hosts- Data Plane Components 64 5.3.3 NSX-T DFW Policy Lookup and Pa
NSX-T 为vSphere with Tanzu提供网络支撑
weixin_43394724的博客
06-19 1559
vSphere with Tanzu是VMware太平洋计划的后续命名,我们在前面的讨论过WCP平台的安装,即是现在的vSphere with Tanzu。该平台是vSphere 7+和NSX-T共同形成,本文我们主要讨论NSX-T在本平台的网络功能和特性。 整体架构 vSphere with Tanzu 解决方案的基础是由 vSphere 7+、NSX-T 和 Storage 组成的 VMware SDDC 堆栈。该解决方案将 vSphere 集群转换为工作负载平台,每个 vSphere 集群都具有 K
Open vSwitch的安装与运行
热门推荐
witton的专栏
06-17 1万+
在看《Docker 容器与容器(第2版)》一书时,文章中有介绍到Docker的相关网络知识,其中使用到Open vSwitch,它是一个开源的虚拟交换机,支持VLAN,Qos等,功能相当强大。
NCP作Router加入网络
风尘叹
03-23 608
首先清除设备上的网络信息 network leave 请求加入网络,下面两条命令任选一个。 network join 21 0 0x2ADC//加入指定网络 plugin network-steering start 1//扫描信道加入网络 注意要配置zigbee的网络协议版本,主要是下面三个参数。 emAfCurrentZigbeeProNetwork//网络协议版本的句柄 en...
在Linux虚拟机下测试TCP/IP连接
L-75的专栏
11-26 5050
两台主机可以互通的条件是: 两台主机在一个网段中。 如何判断两台电脑是否在一个网段中: 1、发送方将目的ip与自己的子网掩码进行&运算,如何与自己ip运算结果相同,则在同一个网段中 2、接收方将发送方ip与自己的子网掩码进行&运算,如何与自己ip运算结果相同,则在同一个网段中 当双方都判断在同一网段中,才会互通。 网关: 如果发送方与接收方不在同一网段中,则把数据包交给网关,网关会发
Antrea-数据流分析
weixin_43394724的博客
07-11 771
本实验接上一篇Antrea-安装与拓扑 本篇讨论在该拓扑下数据流情况 本实验地址表 Name Port IP Addr MAC Note worker-01 br-int(OVS) turn0(1) N/A 06:c6:e4:f2:94:51 worker-01 br-int(OVS) gw0(2) 10.211.1.1 36????6b:31:0c:75 worker-01 br-int(OVS) veth(15) N/A 86:e0:33:27:a8:c0 to pod fr
excel常用快捷键大全(比较全).pdf
最新发布
12-05
excel常用快捷键大全(比较全).pdf
昆虫检测5-YOLO(v5至v9)、COCO、CreateML、Darknet、Paligemma、TFRecord、VOC数据集合集.rar
12-05
昆虫检测5-YOLO(v5至v9)、COCO、CreateML、Darknet、Paligemma、TFRecord、VOC数据集合集.rarAAAAAA-V3 2024-03-07 7:27 PM ============================= *与您的团队在计算机视觉项目上合作 *收集和组织图像 *了解和搜索非结构化图像数据 *注释,创建数据集 *导出,训练和部署计算机视觉模型 *使用主动学习随着时间的推移改善数据集 对于最先进的计算机视觉培训笔记本,您可以与此数据集一起使用 该数据集包括8640张图像。 AAAAAAAAA以可可格式注释。 将以下预处理用于每个图像: 没有用图像增强技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值