[发明专利]一种区分混合应用环境的容器的方法及装置

说明书

本发明提供了一种区分混合应用环境的容器的方法及装置，方法包括：从Kubernetes集群中筛选中央网络地址转换节点，并在中央网络地址转换节点上部署keepalived容器；将Kubernetes集群内部的容器发出的因主动访问集群外部产生的请求流量汇流到中央网络地址转换节点；利用中央网络地址转换节点的eIP及网络地址转换方法控制Kubernetes集群内部的容器经由中央网络地址转换节点对集群外部进行访问。本申请提供的方法至少解决了现有技术中由于K8S集群内多个容器共用一个IP而导致K8S集群外部很难通过单一的IP来明确发自集群内的访问流量到底来自哪个容器的问题。

技术领域

本申请属于容器网络技术领域，具体地讲，涉及一种区分混合应用环境的容器的方法及装置。

背景技术

Kubernetes(以下简称K8S)使用Container Network Interface(以下简称容器网络接口)作为容器网络的事实标准。容器网络接口作为标准，对于所有Kubernetes容器网络插件的实现，提出了三个基本的核心约束，即包括：容器它们看自己的IP和外界看它们的IP一致，容器与容器之间的网络通信不需要借助网络地址转换(即NAT)技术，容器与容器所在集群节点间的网络通信不需要借助NAT技术。这三条规则更多的是在描述K8S集群内的容器网络通信的场景并对Kubernetes容器网络插件加以约束，无论是K8S集群内的容器，还是集群内的节点，其IP都是在K8S集群范围内。

而对于与集群外的通信，则需要借助NAT技术(NAT是常用方案，因为就常规数据中心而言，或者就一般公有云环境而言，IP是受管控的；因此像容器这样弹性的资源，其对IP的需求也是弹性的，这种弹性对IP管控带来了挑战。因此，一般也无法使用路由的方式来打通)。因为通常而言，K8S集群的容器会被从私有的虚拟网络中分配IP，而这种IP在K8S集群外是无法直接访问到的，因此一样要在K8S集群的节点上做NAT。对于K8S集群内的容器主动访问集群外节点的场景，一般而言，容器会在宿主节点上通过NAT技术，借助集群的计算节点IP对外发起通信。而对于K8S集群外部访问K8S集群内部容器的情况，K8S提供了hostNetwork以及NodePort等方式来对四层访问提供支持，而对于七层访问则提供了Ingress来提供支持。无论是NodePort还是Ingress的方式，都包含了NAT技术在其中；hostNetwork则因为是的容器可以直接宿主节点的端口，而不需要NAT技术，但相应的也引入了端口局限性。

对于容器集群与集群外部的四层网络通信而言，无论是容器访问集群外部，还是集群外部通过NodePort方式访问集群内部，所借助的NAT技术必然会引入一个问题，即K8S集群是在使用少量的高度重复利用的IP来为来自不同namespace的容器做地址转换。这就意味着，集群外部很难通过单一的IP来明确发起自集群内的流量到底来自哪个namespace，来自哪个租户，这就为网络安全性提出了挑战。因此，对于容器集群内的容器与容器集群外部是通过四层进行网络通信，在安全要求较高的场景下(例如集群外部对于访问其的IP有类似黑白名单的限制时)K8S集群或容器网络接口需要提供一种机制使得容器的IP能够被区别，以区分来自不同namespace的容器流量。

发明内容

本申请提供了一种区分混合应用环境的容器的方法及装置，以至少解决现有技术中由于K8S集群内多个容器共用一个IP而导致K8S集群外部很难通过单一的IP来明确发自集群内的访问流量到底来自哪个容器的问题。

根据本申请的一个方面，提供了一种区分混合应用环境的容器的方法，包括：

从Kubernetes集群中筛选中央网络地址转换节点，并在中央网络地址转换节点上部署keepalived容器，keepalived容器用于管理中央网络地址转换节点的eIP；

将Kubernetes集群内部的容器发出的因主动访问集群外部产生的请求流量汇流到中央网络地址转换节点；