混合工作负载引流方法及计算机集群技术

本发明专利技术提供了一种混合工作负载引流方法及计算机集群，混合工作负载引流方法包括：在安全容器中组建由第一虚拟网卡与第二虚拟网卡共同定义的第一虚拟网线、第二虚拟网线及第一引流网线，并在工作负载与安全容器之间组建执行引流的第二引流网线，第一虚拟网卡配置数据报文检测单元，以由数据报文检测单元对在引流过程中进出工作负载的数据报文执行清洗和/或过滤；下发引流策略至第二虚拟网卡、第一引流网线与第二引流网线部署于工作节点内核空间的内核空间网卡，第一引流网线与第二引流网线基于引流策略择一地或者同时对同一工作节点的工作负载执行引流。本申请实现了对同一工作节点所部署的混合工作负载的引流且避免了单点问题。单点问题。单点问题。

【技术实现步骤摘要】
混合工作负载引流方法及计算机集群


[0001]本专利技术涉及计算机
，尤其涉及一种混合工作负载引流方法及计算机集群。

技术介绍

[0002]CNI（Container Network Interface，容器网络接口）是Kubernetes集群中调用网络实现的接口。CNI 旨在为容器平台提供网络的标准化，为解决容器网络连接和容器销毁时的资源释放，提供了一套框架。CNI 可以支持大量不同的网络模式，并且容易实现。不同的容器平台（例如，Kubernetes、Mesos和RKT）能够通过相同的接口调用不同的网络组件。
[0003]Node作为Kubernetes集群中的工作节点用于运行应用程序，其管理的最小运行单元是Pod。Node（即，工作节点）上运行Kubelet、kube
‑
proxy，以负责执行Pod的创建、启动、监控、重启、销毁、以及实现软件模式的负载均衡。每一个Pod中部署一个或者多个容器（Container）。CNI组件负责为容器创建虚拟网卡，以实现同一工作节点内部署的多个容器之间的通信。CNI组件的实现方式包括Overlay、路由、Underlay，由于现有技术中存在由于CNI组件实现方式存在多样化及不统一的原因，从而导致了通用性不强，因此导致了现有技术中同一工作节点内对业务容器的引流效果不佳。同时，现有的引流技术无法实现对同一个工作节点中同时部署一个或者多个虚拟机与一个或者多个业务容器（均为工作负载的一种下位概念）所形成的混合工作负载场景中时，同时对进出不同类型的工作负载执行数据报文所形成的流量执行引流。
[0004]有鉴于此，有必要对现有技术中的对同一工作节点所部署的虚拟机与容器所组成的混合工作负载进行引流的技术方案予以改进，以解决上述问题。

技术实现思路

[0005]本专利技术的目的在于揭示一种混合工作负载引流方法及计算机集群，用以实现同一工作节点所部署的虚拟机与业务容器所形成的混合工作负载场景中同时对不同的工作负载实现引流，解决现有技术中使用CNI组件对不同工作负载执行引流过程中所存在的通用性不强的技术问题，避免在对工作负载执行引流过程中对工作负载的虚拟网卡IP地址及MAC地址进行修改，以避免用户感知部署工作负载的工作节点的变化。
[0006]为实现上述目的之一，本专利技术提供了混合工作负载引流方法，对工作节点的工作负载执行引流，包括：在安全容器中组建由第一虚拟网卡与第二虚拟网卡共同定义的第一虚拟网线、第二虚拟网线及第一引流网线，并在工作负载与安全容器之间组建执行引流的第二引流网线，所述第一虚拟网卡配置数据报文检测单元，以由所述数据报文检测单元对在引流过程中进出所述工作负载的数据报文执行清洗和/或过滤；下发引流策略至第二虚拟网卡、第一引流网线与第二引流网线部署于工作节点内核空间的内核空间网卡，所述第一引流网线与第二引流网线基于所述引流策略择一地或者
同时对同一工作节点的工作负载执行引流。
[0007]作为本专利技术的进一步改进，所述第一虚拟网线与第二虚拟网线基于选定的CNI组件在安全容器中予以组建，所述第一引流网线与第二引流网线不依赖所述选定的CNI组件在工作负载与安全容器之间予以组建。
[0008]作为本专利技术的进一步改进，还包括：通过所述数据报文检测单元对进出所述第二虚拟网卡的数据报文基于用户下发的用户规则对进出所述工作负载的数据报文执行清洗和/或过滤，所述用户规则包括防火墙规则。
[0009]作为本专利技术的进一步改进，所述引流策略由部署于安全容器中的引流策略下发单元在对工作负载执行引流之前予以下发，所述引流策略选自tc策略或者流表策略。
[0010]作为本专利技术的进一步改进，还包括：由所述第二虚拟网线对安全容器下发安全规则，并对工作负载在执行引流过程中所形成的流量执行监控。
[0011]作为本专利技术的进一步改进，所述工作节点仅部署一个安全容器及两种工作负载，数据报文进出所述安全容器，所述第一引流网线与第二引流网线基于所述引流策略择一地或者同时对同一工作节点的两种不同的工作负载独立地执行引流。
[0012]作为本专利技术的进一步改进，所述工作负载为业务容器，所述第一引流网线由组建所述第一虚拟网线与第二虚拟网线所依赖的CNI组件在所述业务容器中预先创建的第三虚拟网线后，由所述第三虚拟网线被迁移至所述安全容器所形成，所述第二引流网线由管理员以命令行形式予以创建。
[0013]作为本专利技术的进一步改进，在对业务容器执行引流过程中，当数据报文达到第二虚拟网卡时，触发将所述第三虚拟网线迁移至所述安全容器以形成第一引流网线的修改事件。
[0014]作为本专利技术的进一步改进，在将所述第三虚拟网线迁移至所述安全容器以形成第一引流网线后还包括：下发引流策略至所述第一引流网线，并在将所述第三虚拟网线迁移至所述安全容器以形成第一引流网线过程中，通过所述数据报文检测单元修改第三虚拟网线两端的虚拟网卡的名称，且不修改第三虚拟网线两端的虚拟网卡的MAC地址，所述第一虚拟网线与第一引流网线一端的虚拟网卡部署于安全容器所属工作节点的内核空间，所述第一虚拟网线与第一引流网线另一端的虚拟网卡部署于安全容器所属工作节点的内核空间的外部。
[0015]作为本专利技术的进一步改进，所述工作负载为虚拟机，所述第一引流网线由br
‑
int及连接所述br
‑
int与安全容器的第四虚拟网线组成，所述第二引流网线由QBR、连接所述QBR与安全容器的第五虚拟网线及连接所述虚拟机与所述QBR的第六虚拟网线组成。
[0016]作为本专利技术的进一步改进，所述br
‑
int配置暴露于工作节点的物理网卡，所述QBR配置与虚拟机建立虚拟网络连接的虚拟网络设备，所述虚拟网络设备包括Tap设备或者Tun设备。
[0017]基于相同专利技术思想，本申请还提供了一种计算机集群，包括：控制器，至少一个工作节点及纳管所述工作节点的控制管理平面；所述工作节点仅部署一个安全容器及至少一个工作负载，所述安全容器配置数据报文检测单元及用于下发引流策略的引流策略下发单元；所述工作节点运行如上述任一项专利技术创造所揭示的混合工作负载引流方法，以择
一地或者同时对同一工作节点的工作负载执行引流。
[0018]作为本专利技术的进一步改进，所述工作节点中同时部署一个安全容器，至少一个虚拟机与至少一个业务容器。
[0019]作为本专利技术的进一步改进，所述数据报文检测单元部署于安全容器，或者，所述数据报文检测单元部署于独立于安全容器的数据库。
[0020]作为本专利技术的进一步改进，所述安全容器与创建第二虚拟网线，所述控制管理平面连接所述第二虚拟网线，由所述第二虚拟网线对安全容器下发安全规则，并对工作负载在执行引流过程中所形成的流量执行监控。
[0021]与现有技术相比，本专利技术的有益效果是：首先，在本申请中，基于引流策略通过第一引流网线与第二引流网线对进出工作负载的数据报文执行引流，且组件第一引流网线与第二引流网线不依赖CNI组件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.混合工作负载引流方法，对工作节点的工作负载执行引流，其特征在于，包括：在安全容器中组建由第一虚拟网卡与第二虚拟网卡共同定义的第一虚拟网线、第二虚拟网线及第一引流网线，并在工作负载与安全容器之间组建执行引流的第二引流网线，所述第一虚拟网卡配置数据报文检测单元，以由所述数据报文检测单元对在引流过程中进出所述工作负载的数据报文执行清洗和/或过滤；下发引流策略至第二虚拟网卡、第一引流网线与第二引流网线部署于工作节点内核空间的内核空间网卡，所述第一引流网线与第二引流网线基于所述引流策略择一地或者同时对同一工作节点的工作负载执行引流。2.根据权利要求1所述的混合工作负载引流方法，其特征在于，所述第一虚拟网线与第二虚拟网线基于选定的CNI组件在安全容器中予以组建，所述第一引流网线与第二引流网线不依赖所述选定的CNI组件在工作负载与安全容器之间予以组建。3.根据权利要求1所述的混合工作负载引流方法，其特征在于，还包括：通过所述数据报文检测单元对进出所述第二虚拟网卡的数据报文基于用户下发的用户规则对进出所述工作负载的数据报文执行清洗和/或过滤，所述用户规则包括防火墙规则。4.根据权利要求1所述的混合工作负载引流方法，其特征在于，所述引流策略由部署于安全容器中的引流策略下发单元在对工作负载执行引流之前予以下发，所述引流策略选自tc策略或者流表策略。5.根据权利要求1所述的混合工作负载引流方法，其特征在于，还包括：由所述第二虚拟网线对安全容器下发安全规则，并对工作负载在执行引流过程中所形成的流量执行监控。6.根据权利要求1所述的混合工作负载引流方法，其特征在于，所述工作节点仅部署一个安全容器及两种工作负载，数据报文进出所述安全容器，所述第一引流网线与第二引流网线基于所述引流策略择一地或者同时对同一工作节点的两种不同的工作负载独立地执行引流。7.根据权利要求6所述的混合工作负载引流方法，其特征在于，所述工作负载为业务容器，所述第一引流网线由组建所述第一虚拟网线与第二虚拟网线所依赖的CNI组件在所述业务容器中预先创建的第三虚拟网线后，由所述第三虚拟网线被迁移至所述安全容器所形成，所述第二引流网线由管理员以命令行形式予以创建。8.根据权利要求7所述的混合工作负载引流方法，其特征在于，在对业务容器执行引流过程中，当数据报文达到第二虚拟网卡时，触发将所述第三虚拟...

【专利技术属性】
技术研发人员：请求不公布姓名，
申请(专利权)人：安超云软件有限公司，
类型：发明
国别省市：