Kube-OVN:大型银行技术团队推荐的金融级云原生网络方案
近日,由TWT社区主办的2021容器云职业技能大赛团队赛的冠军作品:《适用于大中型银行的云原生技术体系建设方案》中,Kube-OVN成为银行技术团队推荐的金融级云原生网络最佳实践。本文部分节选自获奖作品中的网络方案叙述,从打造金融级容器云基建的出发点,为广大金融技术团队提供网络部分改造的路径参考。
方案作者:2021容器云职业技能大赛参赛团队“三地五中心”队员:孙佳明 兴业数金 容器云工程师、李逍 兴业银行应用运维工程师、林钫 兴业数金 系统运维工程师、林鑫 兴业数金 容器云工程师、王嵩阳 兴业银行 质量中心工程师。
大中型银行需要打造金融级容器云基建
银行 IT 基础设施对高可用、稳定可靠有较高的要求,基于传统的IaaS 部署应用已有相对成熟的解决方案,如存储层镜像复制、虚拟机漂移、全局 DNS 切换等。基于容器技术建设的云基础设施具备更优的资源利用率和弹性优势,但云原生技术体系仍在快速发展过程中,如何利用容器技术打造高可用、稳定可靠的IT 基础设施,各企业需求存在不同的解法,本方案设计了多云管理、Runtime 改进、高性能云原生存储、金融级容器网络、容器云容灾系统等系列方案进行容器云基础设施建设,并使其具备支撑企业级 PaaS 的扩展性能力。
图1:本方案设计的云原生技术体系全景
金融级云原生网络方案的设计
在银行进行容器云建设和应用上云,网络一直是难点和关键点,本文作者团队认为主要是以下三点关切:
主流的 K8S 网络方案与数据中心的传统网络架构很难融合,容器网络管理不透明。
多集群环境下,不同业务系统间细粒度的网络管控较难实现。
随着业务系统分布式、微服务转型,应用多活部署,跨集群微服务治理相对困难
本方案将通过设计 Overlay/Underlay 双栈容器网络打通容器云与传统 IaaS 层网络, 使得网络管控更具一致性;并建设高性能全局负载, 满足银行业务系统多活部署需求。
图2:容器云网络整体设计
基于Kube-OVN搭建Overlay/Underlay双栈容器网络
Kube-OVN 是一个由国内公司开源的 K8S CNI 网络插件,本方案基于Kube-OVN作为容器集群网络解决方案,可较好解决上述关切问题。
选用 Kube-OVN 的核心优势如下。方案社区化且可扩展性强,利用社区最为成熟的 OVS 作为网络底座,复用 OVS 社区生态,基于 K8S 架构原生设计。可在容器集群兼容 Overlay/Underlay 两种网络, Overlay 和物理网络保持独立,可进行每个 Namespace 独立网络控制,具备分布式网关/集中式网关/NAT 控制的网络出口控制方式;Underlay 网络和物理网络直接打通,直连底层结构实现高性能,且支持 Pod 运行在不通 VLAN 中,通过 VLAN 实现网络管控,通过annotation 可固定 Pod 的IP/MAC。
图3:Kube-OVN 双栈容器网络架构
另外, OVS 层容器流量可全镜像, 便于安全审计, 流量分析;支持动态 QoS 限制双向带宽,流表实现 Service 避免 Iptables 性能损耗。
图4:通过 OVS 做流量全镜像
基于上述方案, 非核心业务容器可基于 Overlay 网络部署, 节约网络资源,灵活易扩展,关键业务系统容器可采用 Underlay 网络模式,无缝融合数据中心网络管控;Underlay 模式天然实现多集群间 Pod、虚机、物理机网络打通,高性能满足多集群微服务治理需求。
东华软件、东软集团等10余家深耕各行业、各领域的头部ISV企业,作为联盟的初始创立者,还将广泛动员并吸纳拥有独立应用的优秀 ISV、方案商加入联盟,促进会员间的技术交流和业务合作,推动联盟成员资源共享,推进以云原生技术为导向的新型数字生态的健康发展。
总结
作为一款金融级云原生网络方案,Kube-OVN以成熟的OVS用作容器网络底座,通过将OpenStack领域成熟的网络功能平移到Kubernetes,融合了安全强化、智能运维、硬件加速等多方面的特性,极大增强了Kubernetes容器网络的安全性、可运维性、管理性和性能。
在性能层面,Kube-OVN也具备金融级优异表现。通过Kube-OVN调优,可以实现和现有容器网络有同等流量性能。如某股份制银行案例,之前用到Calico方案是最接近于物理网络性能的吞吐量,通过对比,Kube-OVN在性能上与Calico相当,还可支持OVS、DPDK这种自定义协议栈以及硬件加速方案,可以提升整个的容器性能。已经过金融行业核心系统性能的压测,免除金融技术团队后顾之忧。
结合了安全、管控、监管侧的考量,以及在不同的金融机构里落地的经验,Kube-OVN可以有效地帮助金融行业用户构建更加适配金融云原生的高性能容器网络。
祝愿广大金融技术团队,都能够依据自身企业的实际情况,顺利构建高并发、高可用、高性能的云原生容器网络,稳健、高效地实现云原生化转型。
Kube-OVN:大型银行技术团队推荐的金融级云原生网络方案相关推荐
- 网商银行是如何建设金融级云原生分布式架构的?
网商银行从诞生之日起就是一家将核心系统架构在云上的银行,经过多年建设,逐步完成了两地三中心架构到异地多活云单元架构的升级.中国人民银行出台的<金融科技(Fin-Tech)发展规划(2019-20 ...
- 适用于大中型银行的云原生网络体系建设方案攻略
近日,由TWT社区主办的2021容器云职业技能大赛团队赛的冠军作品:<适用于大中型银行的云原生技术体系建设方案>中,高性能CNI网络方案已经成为大型银行金融机构首选.本文部分节选自获奖作品 ...
- 中原银行“新一代信贷业务平台”荣获“十大云原生行业落地典范”,成唯一获奖金融机构
中原银行"新一代信贷业务平台"荣获"十大云原生行业落地典范",成唯一获奖金融机构 "打造成为具备金融属性的科技公司",中原银行正在朝着这一愿 ...
- 见证技术的力量!火山引擎云原生计算入选 InfoQ 年度十大技术团队
近日,以"深入数字经济·洞见技术价值"为主题的"InfoQ 2022 中国技术力量年终榜单"颁奖典礼正式召开,火山引擎云原生计算团队凭借在企业数字化转型过程中体 ...
- 重塑技术引擎 阿里落地全球最大规模云原生实践支撑双11
4982亿,2020年天猫双11再创消费新纪录.58.3万笔/秒,双11交易峰值再创新高,阿里云又一次扛住全球最大规模流量洪峰.这一切背后支撑的"技术引擎"又是如何为近十亿全球购物 ...
- eBPF技术应用云原生网络实践系列之基于socket的service | 龙蜥技术
简介:如何使用 socket eBPF进一步提升Service 网络的转发性能? 背景介绍 Kubernetes 中的网络功能,主要包括 POD 网络,service 网络和网络策略组成.其中 POD ...
- 百度创新发布“炫瞳活体”技术!起底金融级人脸实名认证方案背后的硬实力
人工智能视觉技术迭代发展,"刷脸"场景日益普及,在金融支付.医疗政务.保险理财等等领域广泛应用开来.而新技术带来便利的同时,也需要更加关注安全保障.因此,在人脸识别应用中,更安全的 ...
- 软件技术团队员工能力考核标准和具体实施方案
针对公司软件技术部门所有技术工种的一个考核标准以及具体的实施方案. 下载地址
- 【岗位更多了】蚂蚁金服云原生团队招聘~欢迎加入我们
蚂蚁金服核心技术团队又招人啦~期待你的加入. 蚂蚁金服 PaaS 团队 - 研发技术专家/研发工程师/产品经理 base:上海 / 杭州 蚂蚁金服中间件团队 - 消息系统研发工程师/专家 base:杭 ...
- 【岗位又增了】蚂蚁金服云原生团队招聘~欢迎加入我们
蚂蚁金服核心技术团队又招人啦~期待你的加入. 蚂蚁金服中间件团队 - 消息系统研发工程师/专家 base:杭州 / 北京 蚂蚁金服数据中间件团队 - 研发工程师/专家 base:杭州 / 北京 / 成 ...
最新文章
- SQL Server 2005 Express附加(Attach)的数据库为“只读”的解决方法
- 从零开始打造自己的PHP框架――第2章
- JWT:我应该使用哪种签名算法?
- C#LeetCode刷题之#290-单词模式(Word Pattern)
- mfc远程连接mysql数据库连接_MFC连接mysql数据库(十分钟搞定)
- UML中的用例间关系图示
- A股开盘:深证区块链50指数跌0.94%,美邦服饰涨停
- 谷歌弃用 APK 格式!替代品 AAB 有何优势?
- 《软件构架实践》(六) —— 构架编档
- java开发面试项目经验
- 锂电池欧姆内阻和极化内阻
- 如何注册谷歌账号、邮箱(22.8.23亲测可用)
- 搜狗浏览器 中文显示乱码
- android stdio findViewById(R.id.报错
- 微信SDK非ipad协议
- [Android]天气App 1
- 转载~高德地图绘制图形并得到面积
- 拜登承诺将把GDP的“近2%”用于科学研究;机器学习显示出增强量子信息传输的潜力|全球量子科技与工业快讯第十四期
- 联想yoga11装linux,Yoga PC阻止用户安装Linux 联想:微软的锅feilianmeidong
- 自定义圆形ImageView(仿QQ头像)