[发明专利]一种CaaS平台中容器网络插件的实现方法和系统

说明书

本发明公开一种CaaS平台中容器网络插件的实现方法和系统，其中，CaaS平台中容器网络插件的实现系统包括：多个容器，每个容器包含有对应容器网卡；分别与每个容器网卡一一对应相连的多个虚拟路由转发vrf路由域；以及，与多个vrf路由域相连的macvlan父接口；其中，每个vrf路由域，包括：与容器网卡对应相连的虚拟网络设备veth接口，其中，veth接口配置有虚拟IP地址；与veth接口相连的macvlan子接口，macvlan子接口配置有与容器网卡相同的IP地址和mac地址。本发明的技术方案能解决现有技术无法同时实现容器之间的流量隔离和K8sservice功能的问题。

技术领域

本发明涉及CaaS技术领域，尤其涉及一种CaaS平台中容器网络插件的实现方法和系统。

背景技术

CaaS(Container as a Service，容器即服务)，其基本资源为容器，能够进行基于容器的抽象管理和应用部署，是云原生应用和微服务的常见部署机制。此外，CaaS还能够提高应用环境之间的可移植性，无论是混合环境还是多云环境。

如图1所示，传统的CaaS平台的结构包括：容器101、节点网卡102、kubelet103、kube-proxy104和节点110；其中，节点110是承载容器的虚拟机，所有节点均为kubernetes节点；容器101中运行有实际业务；网卡102是节点110和容器101对外的数据通路。kubelet103是K8s用来管理节点的模块，kube-proxy104是网络代理组件，用于维护节点上的网络规则。为了实现CaaS平台中容器与外界的网络通信，需要用到容器网络插件CNI。CNI的工作流入如下：1.用户发起创建容器指令；2.Kubelet103接收创建容器指令，调用容器运行时插件CRI创建Pause容器；3.使用CRI调用CNI，并将容器相关参数传递至CNI的相关模块；4.CNI收到创建容器指令之后，将设置节点网卡的容器IP，配置容器网络的连通性，然后添加路由等网络设备，最终返回创建结果。

另外，容器网络插件CNI的实现包括MacVlan和Linux Bridge等多种方案。其中，Macvlan架构如图2所示：MacVlan方案在节点210的网卡eth0202上直接创建macvlan1和macvlan2两个macvlan子接口203，数据直接从容器201直通到网卡外部的交换设备。LinuxBridge方案如图3所示，该架构在节点310中，使用Linux自带的Bridge模块301作为容器303的转发面，通过bridge-nftables的upcall，在二层转发中调用iptable模块302的三层iptables规则，从而实现K8s的service规则。

然而，在MacVlan方案中容器数据直通到节点外部，不经过节点的协议栈，所以容器无法和iptables交互实现K8s service功能；Linux Bridge方案可以通过bridge-nftables实现K8s service的相关功能，但是bridge内部流量可以直接互相转发，因此无法实现容器之间的流量隔离。综上，现在亟需能够实现容器间流量隔离的容器网络插件。

发明内容

本发明提供一种CaaS平台中容器网络插件的实现方法和系统，旨在解决现有技术无法实现容器之间的流量隔离的问题。

为实现上述目的，根据本发明的第一方面，本发明提出了一种CaaS平台中容器网络插件的实现系统，包括：

多个容器，每个容器包含有对应的容器网卡；

分别与每个容器网卡一一对应相连的多个虚拟路由转发vrf路由域；

以及，与多个vrf路由域相连的macvlan父接口；

其中，每个vrf路由域，包括：

与容器网卡对应相连的虚拟网络设备veth接口，其中，veth接口配置有虚拟IP地址；