摘要:利用以及等操作系統(tǒng)容器���,旨在實現(xiàn)任務(wù)與資源隔離�����。其一設(shè)想由兩家彼此獨立的服務(wù)供應(yīng)程序分別提供地址管理與網(wǎng)絡(luò)隔離服務(wù)���。一容器一服務(wù)的出現(xiàn)使得我們能夠?qū)W(wǎng)絡(luò)隔離進(jìn)行粗粒度與細(xì)粒度調(diào)整。
【編者的話】曾經(jīng)聽到不少運維管理人員抱怨����,Mesos何時可以為同一集群中的每套容器系統(tǒng)提供不同的IP地址���?眾所周知,在網(wǎng)絡(luò)架構(gòu)領(lǐng)域�,沒有哪種方案能夠一勞永逸地適應(yīng)全部具體場景。然而����,Mesos 0.23.0 版本中做出大膽實踐,首次實現(xiàn)一容器一IP機制支持原生 Mesos 容器化方案��,而且可滿足很多特定需求����。
Apache Mesos 利用 Docker 以及 Linux cgroups 等操作系統(tǒng)容器,旨在實現(xiàn)任務(wù)與資源隔離����。盡管這種解決方案能夠在 CPU 以及內(nèi)存等本地資源層面提供良好成效,但卻無法作為切實可行的跨容器網(wǎng)絡(luò)資源管理機制發(fā)揮作用���。有鑒于此�����,Mesos 如今開始為同一集群當(dāng)中的每套容器系統(tǒng)提供不同的 IP 地址(即一容器一 IP 機制)����,這項特性于 Mesos 0.23.0 版本中首次出現(xiàn)�。
如果沒有一容器一 IP 機制 ......
容器實現(xiàn)方案會共享全部主機 IP 地址,并因此共享主機端口���。
這意味著應(yīng)用程序會被分配至非標(biāo)準(zhǔn)端口以避免端口沖突狀況�����,最終導(dǎo)致其實際監(jiān)聽的并非已知端口�。這就阻礙了其服務(wù)發(fā)現(xiàn)能力��,并使得其它應(yīng)用程序很難與容器化應(yīng)用程序進(jìn)行對接���。
列表項目網(wǎng)絡(luò)隔離能力缺失還會給多租戶環(huán)境帶來安全隱患�,尤其是在一套 Mesos 集群會被多種不同類型的應(yīng)用程序所共享的情況下���。
舉例來說�����,如果某家金融企業(yè)同時在單一 Mesos 集群當(dāng)中運行風(fēng)險分析模擬與面向客戶的應(yīng)用程序��,那么相關(guān)管理人員將很難解決惡意應(yīng)用意外訪問到敏感信息的難題����。另外一種風(fēng)險在于,性能不佳的應(yīng)用程序有可能拖累整套網(wǎng)絡(luò)的速度表現(xiàn)���,在這種情況下處于同一節(jié)點之上的關(guān)鍵性任務(wù)應(yīng)用將有可能得不到充足的資源供給���。
最后,每家企業(yè)都擁有不同的網(wǎng)絡(luò)需求�。在網(wǎng)絡(luò)架構(gòu)領(lǐng)域,沒有哪種方案能夠一勞永逸地適應(yīng)全部具體場景���。
為了解決上述難題��,Mesos 社區(qū)已經(jīng)對 Mesos 項目進(jìn)行了強化�,確保一容器一 IP 機制能夠支持原生 Mesos 容器化方案(預(yù)計未來面向 Docker 容器的支持能力也將推出)�。這套可插拔解決方案還允許 Calico、WeaveWorks 以及其它一些第三方網(wǎng)絡(luò)隔離方案供應(yīng)商的產(chǎn)品以插件形式作用于我們的 Mesos 集群���。
如何實現(xiàn)一容器一IP機制支持原生 Mesos 容器化方案���?
作為 Mesos 當(dāng)中的一容器一 IP 機制���,其設(shè)計目標(biāo)之一在于建立一套可插拔架構(gòu),允許用戶從現(xiàn)有第三方網(wǎng)絡(luò)供應(yīng)商處選擇解決方案并作為網(wǎng)絡(luò)實現(xiàn)基礎(chǔ)��。為了達(dá)成這一目標(biāo)����,其中共包含五項關(guān)鍵性組件:
負(fù)責(zé)為即將啟用的容器指定 IP 要求的框架/調(diào)度標(biāo)簽��。這是一項可選服務(wù)�,能夠在不帶來任何副作用的前提下將一容器一 IP 能力引入現(xiàn)有框架當(dāng)中。
由一個 Mesos master 節(jié)點與一個 Mesos agent 節(jié)點共同構(gòu)建的 Mesos 集群�����。
套第三方 IP 地址管理(簡稱 IPAM)服務(wù)器���,負(fù)責(zé)根據(jù)需要進(jìn)行 IP 地址分配�,并在 IP 地址使用完畢后將其回收����。
第三方網(wǎng)絡(luò)隔離方案供應(yīng)程序負(fù)責(zé)對不同容器系統(tǒng)加以隔離�����,并允許運維人員通過配置調(diào)整其可達(dá)性及路由方式��。
作為輕量級 Mesos 模塊被加載至 agent 節(jié)點當(dāng)中的網(wǎng)絡(luò)隔離模塊將負(fù)責(zé)通過調(diào)度程序進(jìn)行任務(wù)要求審查����,同時利用 IP 地址管理與網(wǎng)絡(luò)隔離服務(wù)為對應(yīng)容器提供 IP 地址����。在此之后,其會進(jìn)一步將IP地址交付至 master 節(jié)點以及框架�。
雖然 IP 分配與網(wǎng)絡(luò)隔離功能完全可以由單一單元負(fù)責(zé)實現(xiàn),不過立足于概念層面�����,Mesos 提供了兩項不同的服務(wù)方案����。其一設(shè)想由兩家彼此獨立的服務(wù)供應(yīng)程序分別提供IP地址管理與網(wǎng)絡(luò)隔離服務(wù)。舉例來說�,其中之一利用 Ubuntu FAN 實現(xiàn) I P地址分配,而另一方則利用 Calico項目進(jìn)行網(wǎng)絡(luò)隔離���。
一容器一 IP 機制的可選屬性使得現(xiàn)有框架能夠不受影響����,這就使集群滾動升級成為了可能。因此�,如果用戶以混合模式運行多套容器系統(tǒng)——其中一部分采用一容器一 IP 機制,另一部分則仍按默認(rèn)方式運行——那么同一集群之內(nèi)不會出現(xiàn)任何兼容性問題��。
一容器一 IP 服務(wù)的出現(xiàn)使得我們能夠?qū)W(wǎng)絡(luò)隔離進(jìn)行粗粒度與細(xì)粒度調(diào)整�。盡管仍然需要依賴于第三方網(wǎng)絡(luò)隔離方案供應(yīng)程序,但如果只是單純希望以粗粒度方式進(jìn)行網(wǎng)絡(luò)隔離設(shè)置��,那么大家完全可以使用網(wǎng)絡(luò)路由表�����。
一容器一 IP 機制的最佳實踐
如果沒有一容器一 IP 機制�,那么應(yīng)用程序必須注冊以實現(xiàn)發(fā)現(xiàn)服務(wù)(包括 Consul 以及 Zookeeper 等等)�。另外,HAProxy 或者類似的反向代理機制必須被部署在每一個計算節(jié)點當(dāng)中�,從而確保流量由 localhost: 指向合適的容器端口。
在一容器一 IP 機制的支持下���,當(dāng)IP地址被分配至容器且網(wǎng)絡(luò)隔離與路由功能全部到位�,那么Mesos master 與調(diào)度程序?qū)@取到 IP 地址的分配信息。在這種情況下���,調(diào)度程序能夠利用容器 IP 與應(yīng)用程序相對接�����。另外���,其還可以將這部分信息用于新啟動的容器及應(yīng)用程序。
除此之外��,Mesos master 還能夠通過自身狀態(tài)端點實現(xiàn)容器 IP 可用性���。這部分信息能夠被各DNS服務(wù)供應(yīng)程序所使用����,包括 Mesos-DNS 以及 Mesos-Consul ����,從而實現(xiàn)域名解析。
憑借著一容器一 IP 地址所帶來的諸多助益���,每套容器系統(tǒng)都能夠擁有與其 IP 相符合的完整端口區(qū)間�,而且我們無需再為端口沖突之類的狀況而勞心費力。在其幫助下����,如今應(yīng)用程序已經(jīng)可以監(jiān)聽標(biāo)準(zhǔn)端口,并因此得以在無需反向代理輔助的情況下輕松實現(xiàn)服務(wù)發(fā)現(xiàn)����。
期待為用戶帶來全新感受
一容器一 IP 方案允許我們?yōu)槊刻?Mesos 容器系統(tǒng)分配一個惟一的 IP 地址。這不僅解決了長久以來困擾著管理人員的端口沖突問題����,允許應(yīng)用程序?qū)σ阎S枚丝谶M(jìn)行監(jiān)聽,同時也能夠更為輕松地實現(xiàn)服務(wù)發(fā)現(xiàn)能力����。這套可插拔機制允許用戶選擇并使用自己喜愛的第三方 IP 地址管理與網(wǎng)絡(luò)隔離方案���,并確保其切實滿足自己的特定需求����。
有越來越多的朋友體驗了 Mesos 的一容器一 IP 機制所帶來的全新網(wǎng)絡(luò)控制感受����。大家也不妨去試試�,與我們一起交流分享試用經(jīng)驗��。
原文鏈接:
https://mesosphere.com/blog/2015/12/02/ip-per-container-mesos/
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/7943.html
