摘要:利用以及等操作系统容器,旨在实现任务与资源隔离。其一设想由两家彼此独立的服务供应程序分别提供地址管理与网络隔离服务。一容器一服务的出现使得我们能够对网络隔离进行粗粒度与细粒度调整。
【编者的话】曾经听到不少运维管理人员抱怨,Mesos何时可以为同一集群中的每套容器系统提供不同的IP地址?众所周知,在网络架构领域,没有哪种方案能够一劳永逸地适应全部具体场景。然而,Mesos 0.23.0 版本中做出大胆实践,首次实现一容器一IP机制支持原生 Mesos 容器化方案,而且可满足很多特定需求。
Apache Mesos 利用 Docker 以及 Linux cgroups 等操作系统容器,旨在实现任务与资源隔离。尽管这种解决方案能够在 CPU 以及内存等本地资源层面提供良好成效,但却无法作为切实可行的跨容器网络资源管理机制发挥作用。有鉴于此,Mesos 如今开始为同一集群当中的每套容器系统提供不同的 IP 地址(即一容器一 IP 机制),这项特性于 Mesos 0.23.0 版本中首次出现。
如果没有一容器一 IP 机制 ...... 容器实现方案会共享全部主机 IP 地址,并因此共享主机端口。这意味着应用程序会被分配至非标准端口以避免端口冲突状况,最终导致其实际监听的并非已知端口。这就阻碍了其服务发现能力,并使得其它应用程序很难与容器化应用程序进行对接。
列表项目网络隔离能力缺失还会给多租户环境带来安全隐患,尤其是在一套 Mesos 集群会被多种不同类型的应用程序所共享的情况下。举例来说,如果某家金融企业同时在单一 Mesos 集群当中运行风险分析模拟与面向客户的应用程序,那么相关管理人员将很难解决恶意应用意外访问到敏感信息的难题。另外一种风险在于,性能不佳的应用程序有可能拖累整套网络的速度表现,在这种情况下处于同一节点之上的关键性任务应用将有可能得不到充足的资源供给。
最后,每家企业都拥有不同的网络需求。在网络架构领域,没有哪种方案能够一劳永逸地适应全部具体场景。
为了解决上述难题,Mesos 社区已经对 Mesos 项目进行了强化,确保一容器一 IP 机制能够支持原生 Mesos 容器化方案(预计未来面向 Docker 容器的支持能力也将推出)。这套可插拔解决方案还允许 Calico、WeaveWorks 以及其它一些第三方网络隔离方案供应商的产品以插件形式作用于我们的 Mesos 集群。
如何实现一容器一IP机制支持原生 Mesos 容器化方案?作为 Mesos 当中的一容器一 IP 机制,其设计目标之一在于建立一套可插拔架构,允许用户从现有第三方网络供应商处选择解决方案并作为网络实现基础。为了达成这一目标,其中共包含五项关键性组件:
负责为即将启用的容器指定 IP 要求的框架/调度标签。这是一项可选服务,能够在不带来任何副作用的前提下将一容器一 IP 能力引入现有框架当中。
由一个 Mesos master 节点与一个 Mesos agent 节点共同构建的 Mesos 集群。
套第三方 IP 地址管理(简称 IPAM)服务器,负责根据需要进行 IP 地址分配,并在 IP 地址使用完毕后将其回收。
第三方网络隔离方案供应程序负责对不同容器系统加以隔离,并允许运维人员通过配置调整其可达性及路由方式。
作为轻量级 Mesos 模块被加载至 agent 节点当中的网络隔离模块将负责通过调度程序进行任务要求审查,同时利用 IP 地址管理与网络隔离服务为对应容器提供 IP 地址。在此之后,其会进一步将IP地址交付至 master 节点以及框架。
虽然 IP 分配与网络隔离功能完全可以由单一单元负责实现,不过立足于概念层面,Mesos 提供了两项不同的服务方案。其一设想由两家彼此独立的服务供应程序分别提供IP地址管理与网络隔离服务。举例来说,其中之一利用 Ubuntu FAN 实现 I P地址分配,而另一方则利用 Calico项目进行网络隔离。
一容器一 IP 机制的可选属性使得现有框架能够不受影响,这就使集群滚动升级成为了可能。因此,如果用户以混合模式运行多套容器系统——其中一部分采用一容器一 IP 机制,另一部分则仍按默认方式运行——那么同一集群之内不会出现任何兼容性问题。
一容器一 IP 服务的出现使得我们能够对网络隔离进行粗粒度与细粒度调整。尽管仍然需要依赖于第三方网络隔离方案供应程序,但如果只是单纯希望以粗粒度方式进行网络隔离设置,那么大家完全可以使用网络路由表。
一容器一 IP 机制的最佳实践如果没有一容器一 IP 机制,那么应用程序必须注册
在一容器一 IP 机制的支持下,当IP地址被分配至容器且网络隔离与路由功能全部到位,那么Mesos master 与调度程序将会获取到 IP 地址的分配信息。在这种情况下,调度程序能够利用容器 IP 与应用程序相对接。另外,其还可以将这部分信息用于新启动的容器及应用程序。
除此之外,Mesos master 还能够通过自身状态端点实现容器 IP 可用性。这部分信息能够被各DNS服务供应程序所使用,包括 Mesos-DNS 以及 Mesos-Consul ,从而实现域名解析。
凭借着一容器一 IP 地址所带来的诸多助益,每套容器系统都能够拥有与其 IP 相符合的完整端口区间,而且我们无需再为端口冲突之类的状况而劳心费力。在其帮助下,如今应用程序已经可以监听标准端口,并因此得以在无需反向代理辅助的情况下轻松实现服务发现。
期待为用户带来全新感受一容器一 IP 方案允许我们为每套 Mesos 容器系统分配一个惟一的 IP 地址。这不仅解决了长久以来困扰着管理人员的端口冲突问题,允许应用程序对已知常用端口进行监听,同时也能够更为轻松地实现服务发现能力。这套可插拔机制允许用户选择并使用自己喜爱的第三方 IP 地址管理与网络隔离方案,并确保其切实满足自己的特定需求。
有越来越多的朋友体验了 Mesos 的一容器一 IP 机制所带来的全新网络控制感受。大家也不妨去试试,与我们一起交流分享试用经验。
原文链接:
https://mesosphere.com/blog/2015/12/02/ip-per-container-mesos/
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11712.html
摘要:利用以及等操作系统容器,旨在实现任务与资源隔离。其一设想由两家彼此独立的服务供应程序分别提供地址管理与网络隔离服务。一容器一服务的出现使得我们能够对网络隔离进行粗粒度与细粒度调整。 【编者的话】曾经听到不少运维管理人员抱怨,Mesos何时可以为同一集群中的每套容器系统提供不同的IP地址?众所周知,在网络架构领域,没有哪种方案能够一劳永逸地适应全部具体场景。然而,Mesos 0.23.0...
摘要:负责承载操作系统的分布式文件系统只需要使用必要的文件,而且事实上只需要下载并在本地缓存这部分必要数据。而第二项原则在于元数据即与文件存在相关的信息,而非文件内容被优先对待。这套镜像随后可进行任意分发,并被用于启动该项任务。 随着Docker技术的日渐火热,一些容器相关的问题也浮出水面。本文就容器数量激增后造成的分发效率低下问题进行了探讨,并提出了一种新的解决方法。发现问题,解决问题,正...
摘要:今天小数给大家带来一篇技术正能量满满的分享来自社区线上群分享的实录,分享嘉宾是数人云肖德时。第二级调度由被称作的组件组成。它们是最小的部署单元,由统一创建调度管理。 今天小数给大家带来一篇技术正能量满满的分享——来自KVM社区线上群分享的实录,分享嘉宾是数人云CTO肖德时。 嘉宾介绍: 肖德时,数人云CTO 十五年计算机行业从业经验,曾为红帽 Engineering Service ...
摘要:月日数人云在上海举办金融沙龙,邀请上交所和近二十家来自银行保险证券的技术专家一同探讨容器技术在金融业中的最佳实践。数人云肖德时在会上将传统金融行业通过容器可以解决的四大问题做了逐一解读。如何动态的分配,就是刚才上交所介绍的一些治理的方法。 7月29日数人云在上海举办金融沙龙,邀请上交所和近二十家来自银行、保险、证券的IT技术专家一同探讨容器技术在金融业中的最佳实践。数人云CTO肖德时在...
摘要:其次,青云的负载均衡器能感知到容器网络,而传统的方案在内部还需要再做一层虚拟网络,层的负载均衡器无法感知容器网络。 前言 容器技术目前的市场现状是一家独大、百花齐放。 关于容器技术,看看青云QingCloud 王渊命(老王)是如何看待它的,本文来自他在青云QingCloud 深圳站实践课堂的演讲。全文 2780字,阅读时长约为 11 分钟。 容器是什么 容器的概念外延比较广,讨论的时候...
阅读 2397·2021-11-19 09:59
阅读 1917·2019-08-30 15:55
阅读 890·2019-08-29 13:30
阅读 1312·2019-08-26 10:18
阅读 3065·2019-08-23 18:36
阅读 2362·2019-08-23 18:25
阅读 1141·2019-08-23 18:07
阅读 412·2019-08-23 17:15