[发明专利]一种云平台容器网络限流方法

说明书

本发明特别涉及一种云平台容器网络限流方法。该云平台容器网络限流方法，使用Open vSwitch插件实现流量限制及流量整形，通过CNI插件为创建的Pod设置不同级别的限流措施，对单一Pod的Policing管制和Shaping整形进行配置，以支持不同网络插件的情景。该云平台容器网络限流方法，提供了公有云平台下容器网络的租户级别的流量限制，根据本身网络类型及特性，通过统一的组件进行配置，符合CNI接口标准，同时还根据需求定义了多种admission webhook，具备良好的健壮性和可扩展性。

技术领域

本发明涉及容器和计算机网络技术领域，特别涉及一种云平台容器网络限流方法。

背景技术

虚拟化技术已经成为一种被大家广泛认可的服务器资源共享方式，它可以在按需构建操作系统实例的过程当中为系统管理员提供极大的灵活性。由于hypervisor虚拟化技术仍然存在一些性能和资源使用效率方面的问题，因此出现了一种称为容器(Container)的新型虚拟化技术来帮助解决这些问题。

容器的出现使网络拓扑变得更加动态和复杂，用户需要专门的解决方案来管理容器与容器，容器与其他实体之间的连通性和隔离性。Docker network是Docker原生的网络解决方案。除此之外，还可以采用第三方开源解决方案，例如flannel、weave和calico。不同的方案设计和实现方式不同，各有优势和特定，可以根据实际需要来选型。

无论目标是搭建公有云的容器云平台还是为客户提供容器平台的私有部署或解决方案，用户都会面临一个问题：容器网络限流的问题。在实验环境下，如果没有对容器带宽进行限制，单Pod使用的最大吞吐量将可以独占整个带宽，从而导致其他应用不能被访问。

如今，生产环境下需要为“上云”的应用提供流量带宽保证，使其不受到其他应用或其他用户的应用的影响。因此用户需要提供租户级别或者应用级别的有效隔离。通常情况下，可以根据VNID实现租户间的网络隔离，同时还可以根据Network policy网络策略提供更细粒度的网络隔离，从而实现Pod之间、跨Name space的网络访问控制。

综上所述，网络限流现已成为容器网络的一个重要环节，为数据中心网络资源的公平使用、保障用户业务质量、保护用户权益等方面具有极其重要的意义。目前云计算平台的实现机制缺乏足够的灵活性和可扩展性，不能针对租户级别为其添加限流配置，存在单一Pod独占带宽、网络阻塞的风险。

针对目前在容器平台网络限流的问题，本发明提出了一种云平台容器网络限流方法。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的云平台容器网络限流方法。

本发明是通过如下技术方案实现的：

一种云平台容器网络限流方法，其特征在于：使用Open vSwitch插件实现流量限制及流量整形，通过CNI(Container Network Interface，集群网络接口)插件为创建的Pod设置不同级别的限流措施，对单一Pod的Policing管制和Shaping整形进行配置，以支持不同网络插件的情景。

在Kubernetes上，使用Open vSwitch CNI插件，创建Pod资源时在iperf-pod.yaml中为其配置速率限制，通过Admission webhook组件实现租户层级控制。

所述Admission webhook组件根据公有云平台中的租户等级，为创建的Pod设置不同级别的流量限制。

该云平台容器网络限流方法，包括以下步骤：

S1.Pod.yaml包含限流配置请求到达Kubernetes API Server；

S2.Kubernetes API Server将具体配置转发到Kbelet的CNI network driver；