[发明专利]一种基于Open vSwitch实现Overlay多租户CNI容器网络的方法

说明书

本发明涉及多租户网络技术领域，公开了一种基于Open vSwitch实现Overlay多租户CNI容器网络的方法。通过本发明创造，提供了一种解决基于Kubernetes的容器PaaS平台的多租户二层网络隔离问题的新方法，可在不同租户之间的进行网络隔离，使每个租户只能访问自己的网络资源，不可访问其他租户的网络资源，从而解决了租户与其他租户服务间的网络隔离问题，保障了租户对自身服务访问的合法权益，禁止其他租户的恶意访问。

技术领域

本发明属于多租户网络技术领域，具体涉及一种基于Open vSwitch实现Overlay多租户CNI容器网络的方法。

背景技术

多租户是一种软件架构,指的是多个、多组不同用户共用一个基础资源池,实现软、硬件资源的共享。对于一个企业来说,多租户系统的意义在于,大家可以共用一套系统,而不是拆分成多个子系统独立管理,造成人力和计算资源的浪费。而多租户网络是云计算数据中心网络的必然需求，它按照云计算资源虚拟化的技术要求，对网络拓扑和链路进行虚拟化，并对网络资源实现按照策略的隔离和共享。

一直以来企业和云服务商一直使用虚拟化的云平台且以虚拟机的方式提供应用程序运行的环境。虚拟机化技术如KVM(Keyboard Video Mouse的缩写，KVM交换机通过直接连接键盘、视频和鼠标的端口，实现访问和控制计算机)、XEN(一个开放源代码虚拟机监视器，由剑桥大学开发，无需特殊硬件支持，就能达到高性能的虚拟化)和VMware技术等提供整个硬件层的虚拟化,虽然实现了资源的隔离与控制,但使用成本较高。目前，容器技术亦能提供资源的隔离与控制,并且更节约成本,所以容器技术必将是未来的应用运行环境的标准。随着容器技术的日益普及,越来越多的应用使用容器(以Docker为代表)的方式开发、部署和运维,给用户提供便捷的服务。

Kubernetes(有时简写K8s)是开源界容器应用管理、自动化部署、弹性伸缩和容器编排的事实标准。其累积了Google在生产容器应用中15年的宝贵经验。主要的功能是在更高的层次对Kubernetes服务和承载服务的实体(container)的部署、配置、可靠性进行管理，对应有Namespace(命名空间)、Pod(安排在节点上，包含一组容器和卷)、Deployment、Service(其定义一系列Pod以及访问这些Pod的策略的一层抽象，主要通过Label找到Pod组)等Kubernetes的资源供Application服务的提供者进行不同粒度上的配置和控制。

在网络层面，Kubernetes没有进入更底层的具体Container的网络互通互联的解决方案的设计中，而是将网络互通功能一分为二，主要关注Kubernetes的服务在网络中的暴露以及Pod本身网络的配置动作，但是Pod具体需要配置的网络参数以及Service与Pod之间的互通互联，则交给CNI来解决。CNI(Container Network Interface)的目的在于定义一个标准的接口规范，使得Kubernetes在增删Pod的时候，能够按照规范向CNI实例提供标准的输入并获取标准的输出，再将输出作为Kubernetes管理这个Pod网络的参考。

由此Kubernetes本身不具有太复杂的网络功能，从而能够将更多的经历投放在Kubernetes服务和承载服务的实体的管理上，最终能够对外呈现一个易于管理、可用性高的应用服务集群。

容器多租户网络(有时也称为多租户容器网络)是基于Kubernetes容器集群技术的PaaS(Platform-as-a-Service，平台即服务，是把应用服务的运行和开发环境作为一种服务提供的商业模式)平台必须要解决问题。现在很多CNI网络方案包括Flannel、Weave等都仅实现了网络的互联，没有解决多租户网络隔离的问题。这将导致各种不安全隐患的存在，以及不同租户之间的应用互相影响。一个应用的网络问题是导致整个集群瘫痪。所以容器多租户网络是一个无法绕行的问题，必须要作为非常重要的课程进行解决。

发明内容