CN117255089A - 容器网络***及其使用方法 - Google Patents

Abstract

本申请提供一种容器网络***及其使用方法。该***包括多个分布式可用区，每一分布式可用区包括：NAT网关提供出网通道，以访问客户内网和/或互联网，获取业务需求；基于CLB提供的至少一个入网接口接收业务需求，调用调度策略对云资源实例进行负载均衡处理；VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过虚拟路由器分布式连接；VPC网络模块用于构建虚拟网络环境，以基于业务需求实现对多租户、子网单元、子网单元内部地址、虚拟路由器、互联网协议的管理，控制VPC网络模块连接方式以及黑白名单。这样，基于分布式框架构建NAT网关和CLB，基于出网通道和入网接口满足海量南北向业务访问需求，提高业务处理性能。

Description

容器网络***及其使用方法

技术领域

本申请涉及容器网络技术领域，尤其涉及一种容器网络***及其使用方法。

背景技术

随着数字经济的大力发展，对容器网络需求的多样性和复杂度也在不断上升，通过对业界面向容器网络的算力服务产品的调研，发现在网络资源模型设计、资源域隔离、安全管控、负载均衡、弹性扩展等方面的工作并不完善，不可以完全满足电信运营商数字基础设施对容器网络的算力服务需求。

现有技术中，由于每个容器之间并不是直接通过虚拟网络设备来进行连接的，而是基于Docker创建、管理和编排容器网络，即使用Linux上的网络命名空间和虚拟网络设备，在本地主机和容器内分别创建一个虚拟接口，并将虚拟接口建立连通来实现不同容器之间的通信。

但是，上述基于Docker实现容器之间通信的方式需要对宿主端(主机)的虚拟接口进行管控，管控难度大，导致性能较差。

发明内容

本申请提供一种容器网络***及其使用方法，用以解决基于Docker实现容器之间通信的方式对宿主端(主机)的虚拟接口进行管控，存在管控难度大，导致性能较差的问题。

第一方面，本申请提供一种容器网络***，所述***包括多个分布式可用区，每一分布式可用区包括：网络地址转换NAT网关、云负载均衡器CLB和虚拟私有云VPC网络模块；

所述NAT网关为所述VPC网络模块提供出网通道；所述出网通道用于访问客户内网和/或互联网，以基于目标互联网协议获取业务需求；所述出网通道支持接入多种互联网协议；

所述CLB用于为所述VPC网络模块提供至少一个入网接口，并基于所述至少一个入网接口接收所述业务需求，基于所述业务需求调用调度策略对云资源实例进行负载均衡处理；所述至少一个入网接口支持接入多种互联网协议；所述云资源实例存储于所述VPC网络模块；

所述VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过所述虚拟路由器分布式连接；所述VPC网络模块用于构建虚拟网络环境；所述虚拟网络环境用于基于所述业务需求实现对多租户的管理、对所述多个子网单元的管理、对每一子网单元内部地址的管理、对所述虚拟路由器的管理、对互联网协议接入的管理、对所述VPC网络模块连接方式以及黑白名单的控制。

可选地，如上所述的***，所述NAT网关包括地址转换模块；所述地址转换模块用于实现与客户内网和/或互联网的互通；

所述NAT网关还包括：第一地址管理模块、集群管理模块、第一区域管理模块和虚拟局域网VLAN管理模块；所述第一地址管理模块用于对所述VPC网络模块对应的客户内网地址和/或互联网地址进行新增或删除；所述集群管理模块用于对所述NAT网关部署的集群进行新增或删除；所述第一区域管理模块用于对所述出网通道对应的区域进行新增或删除；所述VLAN管理模块用于对所述出网通道加载的VLAN进行新增或删除。

可选地，如上所述的***，所述CLB还用于提供多种调度策略；所述多种调度策略包括轮询调度策略、优先调度策略和会话保持策略；所述轮询调度策略用于按照时间顺序依次进行云资源实例处理；所述优先调度策略用于基于云资源实例的优先级顺序高低进行处理；所述会话保持策略用于将多个云资源实例建立连接关系，并依次进行处理。

可选地，如上所述的***，所述CLB还用于对所述至少一个入网接口进行异常监控，并在监测到异常的入网接口后，生成提示信息。

可选地，如上所述的***，所述CLB还用于对所述至少一个入网接口进行黑白名单的控制。

可选地，如上所述的***，所述CLB包括硬件负载模块；所述硬件负载模块用于为所述VPC网络模块提供至少一个入网接口；所述CLB还包括：第二地址管理模块、第二区域管理模块和服务发现模块；所述第二地址管理模块用于对所述VPC网络模块的地址进行新增或删除；所述第二区域管理模块用于对所述入网接口对应的区域进行新增或删除；所述服务发现模块用于发现新增的入网接口。

可选地，如上所述的***，所述CLB还包括：四层负载均衡模块、七层负载均衡模块、内负载模块和外负载模块；所述四层负载均衡模块用于基于所述VPC网络模块的地址和所述至少一个入网接口将用户数据报协议UDP流量均匀分发到多个云资源实例，以实现网络负载均衡，所述七层负载均衡模块用于基于资源定位符URL和超文本传输安全协议HTTPS将所述多个云资源实例均匀分发到多个子网单元，以实现应用负载均衡；所述内负载模块用于实现所述多个子网单元的相互访问；所述外负载模块用于实现所述客户内网和/或互联网对所述多个子网单元的访问。

可选地，如上所述的***，所述VPC网络模块还包括弹性网卡，所述弹性网卡用于与所述子网单元内部地址进行绑定，以实现网络互通。

可选地，如上所述的***，所述***还包括驱动器；所述驱动器用于控制所述NAT网关、所述CLB和所述VPC网络模块的接入和配置。

第二方面，本申请提供一种容器网络***的使用方法，所述***包括多个分布式可用区，每一分布式可用区包括：网络地址转换NAT网关、云负载均衡器CLB和虚拟私有云VPC网络模块；所述NAT网关为所述VPC网络模块提供出网通道；所述CLB用于为所述VPC网络模块提供至少一个入网接口；所述VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过所述虚拟路由器分布式连接；所述VPC网络模块用于构建虚拟网络环境；所述方法包括：

基于所述出网通道访问客户内网和/或互联网，并基于目标互联网协议从所述客户内网和/或互联网获取业务需求；

基于所述至少一个入网接口接收所述业务需求，并基于所述业务需求调用调度策略对云资源实例进行负载均衡处理；所述至少一个入网接口支持接入多种互联网协议；所述云资源实例存储于所述VPC网络模块；

基于所述虚拟网络环境对所述业务需求进行多租户的管理、所述多个子网单元的管理、每一子网单元内部地址的管理、所述虚拟路由器的管理、互联网协议接入的管理、所述VPC网络模块连接方式以及黑白名单的控制。

可选地，如上所述的方法，所述方法还包括：

获取对所述业务需求的处理结果，并将所述处理结果进行可视化显示；所述处理结果包括：分配的租户、接入的子网单元、接入的子网单元对应的内部地址、接入的虚拟路由器、接入的互联网协议、具有连接关系的VPC网络模块以及访问的VPC网络模块。

本申请提供的容器网络***及其使用方法，通过采用开源+自主研发，构建容器网络***，包括多个分布式可用区，每一分布式可用区包括虚拟网络三剑客，即虚拟私有云VPC网络模块、网络地址转换NAT网关、云负载均衡器CLB；其中，VPC网络模块可用于不同项目应用在容器平台上快速构建一个隔离的、自主管理的虚拟网络环境，提升云上资源的安全性，并简化应用部署；进一步的，结合NAT网关和CLB，在VPC网络与经典网络间构建高速交换通道，扩展了应用***对外的服务能力，实现了应用更高水平的容错，可满足海量南北向业务访问需求，提高业务处理性能。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的一种应用场景示意图；

图2为本申请实施例提供的一种容器网络***的结构示意图；

图3为本申请实施例提供的一种具体的容器网络***的结构示意图；

图4为本申请实施例提供的一种容器网络***的网络功能全景图；

图5为本申请实施例提供的一种容器网络***的使用方法的流程示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如，第一设备和第二设备仅仅是为了区分不同的设备，并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

下面对本申请涉及到的专业术语进行解释。

云原生：可以指的是基于分布部署和统一运管的分布式云，以容器、微服务、DevOps(Development和Operations的组合)等技术为基础建立的一套云技术产品体系。

“东数西算”战略：可以指的是通过构建数据中心、云计算、大数据一体化的新型算力网络体系，将东部算力需求有序引导到西部，优化数据中心建设布局，促进东西部协同联动。

开放虚拟交换标准，(Open vSwitch，OVS)：可以指的是一款开源的“虚拟交换机”，用于通过编程扩展，使庞大的网络自动化(配置、管理、维护)，同时还支持标准的管理接口和协议。

开放虚拟网络(Open Virtual Network，OVN)：可以指的是OVS提供的原生虚拟化网络方案，OVN在OVS现有功能的基础上原生支持虚拟网络抽象，如虚拟L2，L3覆盖网络以及完全组。

随着数字经济的大力发展，千行百业的数字化转型均已进入深水区，使得容器网络需求的多样性和复杂度在不断上升。由于网络和服务通信对分布式***中一个应用的性能起着至关重要的作用，因此，通过对业界面向容器网络的算力服务产品的调研，发现已有的产品解决方案在网络资源模型设计、资源域隔离、安全管控、负载均衡、弹性扩展等方面做的工作并不完善，不能完全满足电信运营商数字基础设施对容器网络的算力服务需求。

一种可能的实现方式中，由于每个容器之间并不是直接通过虚拟网络设备来进行连接的，而是基于Docker创建、管理和编排容器网络，即使用Linux上的网络命名空间和虚拟网络设备，在本地主机和容器内分别创建一个虚拟接口，并将虚拟接口建立连通来实现不同容器之间的通信。

但是，上述基于Docker实现容器之间通信的方式需要对宿主端(主机)的虚拟接口进行管控，管控难度大，导致性能较差。

需要说明的是，越来越多的项目通过容器进行应用管理，容器网络算力需求的多样性和复杂度都在不断上升，但现有的容器网络方案仍存在诸多问题，大部分应用面临着功能、性能、容量、稳定性、扩展性、故障恢复时间长等诸多问题与挑战，如容器网络突出问题有：容器粒度小以及离散度高；容器规模受网络规格限制；容器频繁调度迁移；容器迁移范围受限和网络隔离数量受限。

本申请提供的容器网络***，旨在解决如上技术问题。具体的，本申请基于“OVN+OVS+智能网卡”构筑新一代云原生数字化网络基座，通过采用开源+自主研发，构建容器网络***，包括多个分布式可用区，每一分布式可用区包括虚拟网络三剑客，即虚拟私有云(Virtual Private Cloud，VPC)网络模块、网络地址转换(Network Address Translation，NAT)网关、云负载均衡器(Classic Load Balancer，CLB)；其中，VPC网络模块可用于不同项目应用在容器平台上快速构建一个隔离的、自主管理的虚拟网络环境，提升云上资源的安全性，并简化应用部署；进一步的，结合NAT网关和CLB，在VPC网络与经典网络间构建高速交换通道，扩展了应用***对外的服务能力，实现了应用更高水平的容错，可满足海量南北向业务访问需求，提高业务处理性能。

示例性的，图1为本申请实施例提供的一种应用场景示意图，如图1所示，该应用场景包括：客户内网、互联网和容器网络***，该容器网络***多个网络节点和计算节点；每一网络节点包括分布式NAT网关和分布式CLB负载；多个网络节点以第一网络节点和第二网络节点为例，第一网络节点对应企业内网接入分区，第二网络节点对应互联网接入分区；该计算节点为VPC网络模块，包括分布式虚拟路由器和多个子网；该计算节点对应综合业务数据交换分区；每一子网由分布式虚拟交换机和云服务器(Elastic Compute Service，ECS)、弹性容器实例(Elastic Container Instance，ECI)和建筑信息模型(BuildingInformation Modeling，BIM)云平台构成。

需要说明的是，本申请实施例对容器网络***包括的网络节点的数量、计算节点的数量以及每一计算节点中对应的子网的数量不作具体限定，其可以基于业务场景进行确定。

具体的，由于分布式NAT网关提供出网通道，以供容器网络***可以访问客户内网，进一步的，基于分布式CLB负载接收企业发送的业务需求；该业务需求基于客户内网发送，相应的，容器网络***在接收到该业务需求后，发送到VPC网络模块进行处理。

进一步的，将业务需求发送到分布式虚拟路由器，以使分布式虚拟路由器确定处理该业务需求所需的子网，如子网1和子网2；其中，确定子网1和子网2的过程包括对多租户的确定、对子网1和子网2内部地址的确定、对分布式虚拟交换机的确定、对互联网协议接入的确定如确定为互联网协议第6版(Internet Protocol Version 6，IPV6)等；进一步的，基于业务需求还可以确定本次业务处理无需与其他VPC网络模块连接方式以及确定子网1和子网2均位于白名单中。

需要说明的是，确定子网的内部地址，便可以确定相对应的子网，而位于黑名单中的子网，在进行业务处理时，不可以使用，且本申请还可以基于业务需求新增或删除某一子网，本申请实施例对此不作具体限定。

相应的，容器网络***也可以访问互联网，若业务需求对应的网络为互联网，则可以利用分布式NAT网关和分布式CLB负载基于互联网获取业务需求，并在计算节点中进行业务数据的处理；其中，在进行业务数据处理的过程中，可以通过ECS访问ECI中的数据，也可以基于互联网访问ECS中的数据，本申请实施例对此不作具体限定，相应的，在处理基于客户内网对应的业务需求时，也可以基于客户内网访问ECS中的数据，或通过ECS访问ECI中的数据。

需要说明的是，本申请实施例对每一子网中包括的ECS、ECI和BIM的数量和类型不作具体限定，如一个子网中只包括2个ECS和1个ECI。

可以理解的是，本申请可以在通信领域进行大规模商用落地，以加速算力与网络融合，助力“东数西算”战略更好落地。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

图2为本申请实施例提供的一种容器网络***的结构示意图，如图2所示，所述容器网络***包括多个分布式可用区，本申请以2个分布式可用区为例，所述容器网络***包括分布式可用区1和分布式可用区2；每一分布式可用区包括：网络地址转换NAT网关、云负载均衡器CLB和虚拟私有云VPC网络模块；

所述NAT网关为所述VPC网络模块提供出网通道；所述出网通道用于访问客户内网和/或互联网，以基于目标互联网协议获取业务需求；所述出网通道支持接入多种互联网协议；

所述CLB用于为所述VPC网络模块提供至少一个入网接口，并基于所述至少一个入网接口接收所述业务需求，基于所述业务需求调用调度策略对云资源实例进行负载均衡处理；所述至少一个入网接口支持接入多种互联网协议；所述云资源实例存储于所述VPC网络模块；

所述VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过所述虚拟路由器分布式连接；所述VPC网络模块用于构建虚拟网络环境；所述虚拟网络环境用于基于所述业务需求实现对多租户的管理、对所述多个子网单元的管理、对每一子网单元内部地址的管理、对所述虚拟路由器的管理、对互联网协议接入的管理、对所述VPC网络模块连接方式以及黑白名单的控制。

其中，在分布式可用区1中，子网单元1、子网单元2和子网单元3基于虚拟路由器分布式连接；在分布式可用区2中，子网单元4和子网单元5基于虚拟路由器分布式连接。

本申请实施例中，所述NAT网关可为VPC网络模块内的云资源构建高达20Gbit/s的高速出网通道，以满足用户大规模应用场景。

具体的，针对不同的业务需求，可以为VPC网络模块部署多个NAT网关以访问客户内网或互联网，满足应用出网需求多样性。

由于不同的业务需求，可能对应不同的互联网协议，所述互联网协议可以包括网际协议版本4(Internet Protocol version 4，IPv4)和IPV6等，因此，基于业务需求可以确定目标互联网协议。

相应的，NAT网关支持对VPC网络模块对应的客户内网地址和/或互联网地址的转换和管理，也支持NAT网关部署不同的集群，并对集群进行管理，因此，NAT网关可以采用集群形态部署，开箱即用，配置简单，使得运行稳定可靠。

进一步的，基于业务需求可以确定所需的NAT网关以及集群；由于NAT网关还支持加载不同的虚拟局域网(Virtual Local Area Network，VLAN)，因此，不同的NAT网关是隔离分布的，基于业务需求可以多区域的访问至少一个NAT网关。

本申请实施例中，所述CLB可以为VPC网络模块部署多个入网接口，以便从客户内网或互联网接入，且所述CLB可以基于业务需求提供多云网入口，本申请实施例对每个业务需求所需入网接口的数量不作具体限定，其可以基于业务场景确定。

所述CLB还可以支持L4&L7层协议、多种主流调度算法、多类健康检查方式以及粘性会话保持等功能，达到即可即用的效果，所述多种主流调度算法用于实现云资源实例的负载均衡；所述多类健康检查方式用于检测入网接口有无异常；所述粘性会话保持用于将多个VPC网络模块建立连接关系，如在进行业务数据处理时，VPC网络模块2需要访问VPC网络模块1中的数据，因此需要将VPC网络模块1和VPC网络模块2建立连接关系，若在进行业务数据处理，只需访问VPC网络模块1中的数据，则不需要建立VPC网络模块连接方式，其基于业务需求确定，本申请实施例对此不作具体限定。

具体的，所述CLB可以为VPC网络模块、经典网络内的云资源实例提供负载均衡服务，以满足日益复杂的应用场景。

可以理解的是，所述CLB也可以支持IPv4和IPV6等互联网协议，与所述NAT网关相对应。

本申请实施例中，所述VPC网络模块对应的功能有：租户管理，子网管理，地址管理，路由管理，固定网际互连协议(Internet Protocol，IP)地址，分布式网关，统一驱动器，弹性网卡，业务安全组，IPv4/IPV6支持，VPC互连等；所述租户管理用于对业务需求对应的租户进行管理，针对不同的项目，可分配不同的租户；因此，针对云上私密虚拟网络，租户间可以100％隔离，保驾应用安全上云。

所述子网管理用于对子网单元进行管理，即基于业务需求，可以确定所需的子网单元；相应的，所述地址管理，即是对子网管理对应的子网单元内部地址进行管理，基于子网单元内部地址可以确定对应的子网单元。

所述路由管理用于对子网单元对应的虚拟路由器进行确定；所述固定IP地址用于为特定的子网单元设置IP地址，以使进行业务处理时可以直接调用，特定的业务需求对应特定的IP地址，本申请实施例对设定的固定IP地址不作具体限定，其可以基于业务场景设定；所述分布式网关可以为分布式虚拟现实(Distributed Virtual Reality，DVR)网关，用于实现东西向流量的线速转发，即每一ECS、ECI和/或BIM通过虚拟交换机分布式连接，如可以进行ECS的流量转发至ECI。

所述统一驱动器用于实现对NAT网关、CLB和VPC网络模块的统一管理；所述弹性网卡用于提供弹性直通网络(IPVLAN)，进行通路的管理；所述业务安全组用于进行黑白名单的控制，即位于白名单的子网单元才可以访问使用，位于黑名单的子网单元禁止访问使用，提高访问的安全性；所述黑白名单中的子网单元可以提前设定，也可以人为修改，本申请实施例对此不作具体限定，其可以基于业务场景设定。

相应的，所述VPC网络模块也支持IPv4/IPV6等互联网协议；所述VPC互连可以指的是多个所述VPC网络模块进行连接，由于多个VPC网络模块是相互隔离的，若多个VPC网络模块需要互通数据，则需要建立VPC互连。

需要说明的是，本申请实施例对基于业务场景确定的出网通道的类型、入网接口的数量与类型、虚拟路由器以及子网单元的数量不作具体限定，其基于不同的业务需求，可以对应不同的出网通道、入网接口、虚拟路由器以及子网单元。

因此，本申请实施例可以基于NAT网关实现高性能、多出口以及强稳定运行的效果，基于CLB可以实现多入口以及随时调用相应的调度策略，进行应用场景的全覆盖，达到简单易用的效果，基于VPC网络模块实现安全可靠的数据处理和交换，使得在功能、性能、稳定性等层面能够满足大部分应用场景，进而为用户构建高性能网络。

结合上述实施例，图3为本申请实施例提供的一种具体的容器网络***的结构示意图，如图3所示，所述容器网络***可以应用于不同的地域，如地域1至地域N；每一地域的容器网络***可以包括多个分布式可用区，如地域1对应的容器网络***可以包括可用区A和可用区B；在可用区A中，包括2个VPC网络模块，4个NAT网关和4个CLB，每一VPC网络模块对应2个NAT网关和2个CLB，并基于该2个NAT网关和2个CLB进行客户内网或互联网的访问；其中，可用区A中的2个VPC网络模块进行对等连接，即VPC互连；在可用区B中，包括1个VPC网络模块，2个NAT网关和2个CLB，该VPC网络模块对应2个NAT网关和2个CLB，并基于该2个NAT网关和2个CLB进行客户内网或互联网的访问；其中，每一VPC网络模块中包括虚拟路由器、至少一个虚拟交换机以及多个ECS、多个ECI和多个BIM；本申请实施例对每一子网中包括的ECS、ECI和BIM的数量不作具体限定。

需要说明的是，可以基于业务需求确定所需的NAT网关、CLB、VPC网络模块以及VPC网络模块中的子网单元的数量。

可选地，如上所述的***，所述NAT网关包括地址转换模块；所述地址转换模块用于实现与客户内网和/或互联网的互通；

所述NAT网关还包括：第一地址管理模块、集群管理模块、第一区域管理模块和虚拟局域网VLAN管理模块；所述第一地址管理模块用于对所述VPC网络模块对应的客户内网地址和/或互联网地址进行新增或删除；所述集群管理模块用于对所述NAT网关部署的集群进行新增或删除；所述第一区域管理模块用于对所述出网通道对应的区域进行新增或删除；所述VLAN管理模块用于对所述出网通道加载的VLAN进行新增或删除。

本申请实施例中，对所述VPC网络模块对应的客户内网地址和/或互联网地址进行新增或删除、对所述NAT网关部署的集群进行新增或删除、对所述出网通道对应的区域进行新增或删除以及对所述出网通道加载的VLAN进行新增或删除，可以响应于用户在终端设备上的操作，分别进行如上新增或删除。

也可以基于不同的业务需求，容器网络***自行的对涉及到的VPC网络模块对应的客户内网地址和/或互联网地址进行新增，或未涉及到的VPC网络模块对应的客户内网地址和/或互联网地址删除；对业务需求所需的NAT网关部署的集群进行新增，或对业务需求不涉及的NAT网关部署的集群进行删除；以及对业务需求涉及的出网通道对应的区域进行新增，或对业务需求未涉及的出网通道对应的区域进行删除；以及对业务需求涉及的出网通道加载的VLAN进行新增，或对业务需求未涉及的出网通道加载的VLAN进行删除，本申请实施例对此上述操作不作具体限定。

其中，NAT网关部署的集群对应为VPC网络模块的集群；由于容器网络***中单集群容量可以支持承载超10W+容器，深度融合计算可秒级启动2000+热容器，因此，所述集群管理模块可以管理超大规模容器网络；进一步的，结合生产对集群进行深度优化，通过集群参数调优、网元整合、架构分组等实现了流表裁剪，在不影响功能情况下可以大大提高集群稳定性和可扩展性；所述集群参数调优即调整优化ECS与ECI之间的参数，可以基于不同集群的ECS访问ECI。

因此，本申请实施例可以对VPC网络模块对应的客户内网地址和/或互联网地址、NAT网关部署的集群、出网通道对应的区域以及网通道加载的VLAN进行刮管理，提高了容器网络***访问网络的灵活性。

可选地，如上所述的***，所述CLB还用于提供多种调度策略；所述多种调度策略包括轮询调度策略、优先调度策略和会话保持策略；所述轮询调度策略用于按照时间顺序依次进行云资源实例处理；所述优先调度策略用于基于云资源实例的优先级顺序高低进行处理；所述会话保持策略用于将多个云资源实例建立连接关系，并依次进行处理。

示例性的，针对不同的业务需求，可以确定不同的调度策略；若基于业务需求确定的调度策略为轮询调度策略，则可以基于接收业务需求的时间先后顺序或访问客户内网和/或互联网的时间先后顺序依次对云资源实例进行处理，以达到负载均衡；若基于业务需求确定的调度策略为优先调度策略，则可以获取业务需求对应的优先级，基于接收的业务需求的优先级顺序对云资源实例进行处理，以达到负载均衡；或对所述业务需求对应的VPC网络模块连接数量进行排序，优先处理最小数量连接的业务需求对应的云资源实例；若基于业务需求确定的调度策略为会话保持策略，则可以基于接收业务需求确定对应的VPC网络模块连接关系，基于所述连接关系将多个云资源实例也建立连接关系，并依次进行处理。

其中，所述负载均衡包括四/七层负载均衡、内/外负载均衡等，所述四层负载均衡用于实现网络负载均衡；所述七层负载均衡用于实现应用负载均衡；所述内负载均衡用于实现VPC网络模块内部访问的均衡；所述外负载均衡用于实现客户内网和/或互联网访问VPC网络模块内部的均衡；本申请实施例对负载均衡对应的具体内容不作限定。

因此，本申请实施例可以支持多种调度策略实现负载均衡，满足不同的业务场景，提高业务应用的灵活性。

可选地，如上所述的***，所述CLB还用于对所述至少一个入网接口进行异常监控，并在监测到异常的入网接口后，生成提示信息。

本申请实施例中，所述CLB包括健康检查模块，所述健康检查模块用于对所述至少一个入网接口进行异常监控，并在监测到异常的入网接口后，生成提示信息，进一步的，可以将所述提示信息进行可视化显示，以供用户查看。

需要说明的是，本申请实施例对所述提示信息的显示内容以及显示形式不作具体限定，其可以以消息框的形式显示“入网接口1异常，请检修或更换入网接口”。

可选的，本申请提供的所述健康检查模块在进行健康检测时，还可以确定异常问题以及基于异常问题确定解决方案，本申请实施例对具体的确定流程不作限定，其可以参照现有方法。

因此，本申请实施例可以进行入网接口的异常监控，保障了云上应用的稳定运行。

可选地，如上所述的***，所述CLB还用于对所述至少一个入网接口进行黑白名单的控制。

本申请实施例中，所述CLB包括访问控制模块，所述访问控制模块用于控制访问VPC网络模块的入网接口，即将允许使用的入网接口存储于白名单，不允许使用的入网接口存储于黑名单；所述黑白名单可以存储入网接口的地址。

具体的，在接收业务需求时，在黑白名单中查找可以使用的至少一个入网接口的地址，并基于该至少一个入网接口的地址确定相应的入网接口，以接收业务需求，进而实现业务需求的安全接收。

需要说明的是，所述黑白名单中存储的入网接口的地址可以提前存储，也可以人为进行修改，本申请实施例对此不作具体限定。

因此，本申请实施例可以基于黑白名单确定允许使用的入网接口，实现业务需求的安全传输。

可选地，如上所述的***，所述CLB包括硬件负载模块；所述硬件负载模块用于为所述VPC网络模块提供至少一个入网接口；所述CLB还包括：第二地址管理模块、第二区域管理模块和服务发现模块；所述第二地址管理模块用于对所述VPC网络模块的地址进行新增或删除；所述第二区域管理模块用于对所述入网接口对应的区域进行新增或删除；所述服务发现模块用于发现新增的入网接口。

本申请实施例中，所述硬件负载模块实现软件和硬件结合，通过与物理机交换，提供为VPC网络模块提供至少一个入网接口，提高CLB的性能。

具体的，对VPC网络模块的地址进行新增或删除、对所述入网接口对应的区域进行新增或删除，可以响应于用户在终端设备上的操作，分别进行如上新增或删除，也可以基于不同的业务需求，容器网络***自行的新增或删除，其描述可参照上述实施例对第一地址管理模块、第一区域管理模块的描述，第二地址管理模块和第二区域管理模块与其类似，在此不再赘述，二者只是对应的地址和区域不同。

需要说明的是，所述服务发现模块用于发现新增的入网接口，如某个业务需求需要入网接口1、入网接口2和入网接口3这3个入网接口，但是，入网接口1切换为入网接口4，此时仍有3个入网接口，相应的，服务发现模块用于发现入网接口4，提高确定入网接口的准确性。

因此，本申请实施例可以对VPC网络模块的地址、入网接口对应的区域进行管理并发现新增的入网接口，提高了容器网络***接入网络的灵活性。

可选地，如上所述的***，所述CLB还包括：四层负载均衡模块、七层负载均衡模块、内负载模块和外负载模块；所述四层负载均衡模块用于基于所述VPC网络模块的地址和所述至少一个入网接口将用户数据报协议UDP流量均匀分发到多个云资源实例，以实现网络负载均衡，所述七层负载均衡模块用于基于资源定位符URL和超文本传输安全协议HTTPS将所述多个云资源实例均匀分发到多个子网单元，以实现应用负载均衡；所述内负载模块用于实现所述多个子网单元的相互访问；所述外负载模块用于实现所述客户内网和/或互联网对所述多个子网单元的访问。

本申请实施例中，所述四层负载均衡模块仅用于对传输控制协议(TransmissionControl Protocol，TCP)、用户数据报协议(User Datagram Protocol，UDP)流量进行处理；具体的，所述四层负载均衡在转发中基于VPC网络模块的地址和至少一个入网接口等信息将UDP流量均匀分发到多个云资源实例，即在三层负载均衡的基础上,通过VPC网络模块的地址，加上至少一个入网接口来决定哪些流量需要做负载均衡，对需要处理的流量进行NAT处理，并转发至后台服务器，并记录下这个TCP或者UDP的流量是由哪台服务器处理的。

所述七层负载均衡模块支持超文本传输安全协议(Hypertext TransferProtocol Secure，HTTPS)、安全套接层(Secure Socket Layer，SSL)、安全传输层协议(Transport Layer Security，TLS)等协议的处理；所述七层负载均衡模块在转发中可以利用应用层的信息，如HTTPS的请求头部和统一资源定位***(uniform resource locator，URL)将多个云资源实例均匀分发到多个子网单元，即基于虚拟的URL或主机IP实现负载均衡；所述主机IP对应有URL。

由于子网单元是相互隔离的，因此，所述内负载模块用于实现VPC网络模块的内部访问均衡，即ECS访问ECI的均衡；所述外负载模块用于实现客户内网和/或互联网对VPC网络模块的访问均衡，即客户内网和/或互联网访问ECS的均衡。

结合上述描述，可以理解的是，所述四层负载均衡模块对应的功能有UDP负载；所述七层负载均衡模块对应的功能有HTTPS负载和URL负载。

需要说明的是，由于CLB中的负载均衡模块，使得最小集群单元可以支持1000W+并发连接，还可进行线性扩展，以满足海量业务访问需求。

因此，本申请实施例基于分布式框架构建的CLB云负载均衡器，可以支持千万级并发，进而满足海量南北向业务访问需求，带来了性能的线性扩展，提高运行的稳定性。

可选地，如上所述的***，所述VPC网络模块还包括弹性网卡，所述弹性网卡用于与所述子网单元内部地址进行绑定，以实现网络互通。

本申请实施例中，所述弹性网卡是VPC网络模块中的虚拟网络接口，用于连接云服务器ECS与专有网络，每个弹性网卡都有一个交换机地址范围内的私有IPV4地址或IPV6地址，通过为弹性网卡绑定一个或者多个弹性公网IP，可以用于公网通信。

可选的，在创建弹性网卡时可以指定主私网地址，如果不指定，则可以随机分配；还可以为弹性网卡分配一个或者多个辅助私有IPv4地址或IPV6地址，随后回收该辅助私有IP地址，再分配给其他弹性网卡，进而提高网络性能；其中，弹性网卡的IP地址数量可以由云资源实例的规格决定，本申请实施例对此不作具体限定。

因此，本申请实施例可以通过提供弹性直通网络，支持分配多个内网IP地址，提高复用的灵活性，且不同弹性网卡可以分别承载公网、内网和管理网业务流量，提高了应用的稳定性和安全性。

可选地，如上所述的***，所述***还包括驱动器；所述驱动器用于控制所述NAT网关、所述CLB和所述VPC网络模块的接入和配置。

具体的，所述驱动器可以控制NAT网关、CLB和VPC网络模块的接入数量、接入区域以及接入类型，还可以对接入的NAT网关、CLB和VPC网络模块进行配置，如删除等处理。

因此，本申请实施例通过驱动器实现对NAT网关、CLB和VPC网络模块的统一管理，便于推动实现对容器的多功能、性能、容量以及故障监测的管理。

结合上述实施例，图4为本申请实施例提供的一种容器网络***的网络功能全景图，如图4所示，所述容器网络***包括NAT网关、CLB、VPC网络模块、网络安全模块和基座网络模块；其中，所述VPC网络模块对应的功能有租户管理，子网管理，地址管理，路由管理，固定IP，分布式网关，统一驱动器，弹性网卡，业务安全组，IPV6支持，VPC互连等；所述NAT网关对应的功能有地址转换，地址管理，集群管理，区域管理，VLAN管理，IPV6支持等；所述CLB对应的功能有硬件负载，调度策略，健康检查，服务发现，访问控制，地址管理，区域管理，四/七负载，内/外负载，URL负载，UDP负载，HTTPS负载，IPV6支持等；所述NAT网关、所述CLB、所述VPC网络模块均默认支持IPV4，且每一功能的具体描述可参照上述实施例中相应的描述，在此不再赘述。

所述网络安全模块对应的功能有Web应用防护***(Web Application Firewall，WAF)火墙和网络蜜罐；所述WAF火墙可以指的是一种安全软件或硬件组件，用于过滤来自客户端的HTTPS流量，以保护服务器免受恶意流量的侵害；所述网络蜜罐可以指的是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，并通过技术和管理手段来增强实际***的安全防护能力。

可选的，所述CLB还对应有经典网络负载、HTTPS证书加密和HTTP URL转发等功能；所述HTTPS证书加密用于基于加密算法实现对HTTPS的加密，本申请实施例对经典网络负载和加密算法对应的具体内容不作限定，其可以参照现有技术。

所述基座网络模块对应的功能有子网管理，地址管理，出口管理，入口管理，内/外负载，管理网，IPV6支持等，对应所述NAT网关、所述CLB、所述VPC网络模块中的功能。

所述容器网络***还包括OVN，OVS和智能网卡，用于提供运行基础能力；基于OVN+OVS+智能网卡，可以构筑新一代云原生数字化网络基座；所述容器网络***还包括资源管理器(Custom Resource Definition，CRD)；所述容器网络***可以支持高级精简指令集(Advanced RISC Machine，ARM)、POWER(Performance Optimization With EnhancedRISC)、SW64等指令集的芯片，以及多种操作***，为***自主可控提供坚实基础；且还支持普通容器、安全容器、虚拟机主流工作负载。

需要说明的是，容器网络***可以应用于裸金属服务器，裸金属服务器可以指的是一台既具有传统物理服务器特点的硬件设备，又具备云计算技术的虚拟化服务功能，是硬件和软件优势结合的产物。可以为企业提供专属的云上物理服务器，为核心数据库、关键应用***、高性能计算、大数据等业务提供卓越的计算性能以及数据安全。

进一步的，容器网络***可以围绕编排引擎+微服务+弹性容器，以应用为中心，推动实现多租户、富功能、高性能、可扩展、易维护的电信数据中心级规模的容器网络OVN商用实践落地。

因此，本申请提供的容器网络***，基于DVR分布式网关、VPC对等连接、弹性直通网络、策略路由、网络多出/入口、IPV4/IPV6双栈、四/七层负载分离、经典网络负载、HTTPURL转发以及HTTPS证书加密等热点功能，使得业务场景可以进一步趋于完善，提高了容器粒度，每一容器相互隔离，基于业务需求还可以建立连接关系，结合云网关NAT+云负载均衡器CLB，在VPC网络与经典网络间构建高速交换通道，使得容器规模和网络隔离数量的不受网络规格限制，提高容器迁移范围的灵活性，以及减少对宿主端口管控力度。

示例性的，基于上述对容器网络***的描述，本申请实施还提供一种容器网络***的使用方法，图5为本申请实施例提供的一种容器网络***的使用方法的流程示意图，如图5所示，所述***包括多个分布式可用区，每一分布式可用区包括：网络地址转换NAT网关、云负载均衡器CLB和虚拟私有云VPC网络模块；所述NAT网关为所述VPC网络模块提供出网通道；所述CLB用于为所述VPC网络模块提供至少一个入网接口；所述VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过所述虚拟路由器分布式连接；所述VPC网络模块用于构建虚拟网络环境；所述方法包括如下步骤：

S501、基于所述出网通道访问客户内网和/或互联网，并基于目标互联网协议从所述客户内网和/或互联网获取业务需求。

S502、基于所述至少一个入网接口接收所述业务需求，并基于所述业务需求调用调度策略对云资源实例进行负载均衡处理；所述至少一个入网接口支持接入多种互联网协议；所述云资源实例存储于所述VPC网络模块。

S503、基于所述虚拟网络环境对所述业务需求进行多租户的管理、所述多个子网单元的管理、每一子网单元内部地址的管理、所述虚拟路由器的管理、互联网协议接入的管理、所述VPC网络模块连接方式以及黑白名单的控制。

需要说明的是，上述容器网络***的使用方法的实现原理及有益效果可以参照图2所示的实施例，在此不再赘述。

可选地，如上所述的方法，所述方法还包括：

获取对所述业务需求的处理结果，并将所述处理结果进行可视化显示；所述处理结果包括：分配的租户、接入的子网单元、接入的子网单元对应的内部地址、接入的虚拟路由器、接入的互联网协议、具有连接关系的VPC网络模块以及访问的VPC网络模块。

本申请实施例中，在生产驱动下，可以基于处理结果对容器网络***进行多轮产品优化，进而使得容器网络***在功能、性能、稳定性等层面能够满足大部分应用场景，为用户构建高性能网络，因此，可以为容器网络***添加监控***及自动化可视运维平台，使得用户可以实时进行监测以及查看业务需求的处理结果。

这样，本申请基于运管平台实现了云网络的轻量、高效、可视化运维与监控，进一步保障了云上应用的高效稳定运行。

以上所述，仅为本申请实施例的具体实施方式，但本申请实施例的保护范围并不局限于此，任何在本申请实施例揭露的技术范围内的变化或替换，都应涵盖在本申请实施例的保护范围之内。因此，本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (11)

1.一种容器网络***，其特征在于，所述***包括多个分布式可用区，每一分布式可用区包括：网络地址转换NAT网关、云负载均衡器CLB和虚拟私有云VPC网络模块；

所述NAT网关为所述VPC网络模块提供出网通道；所述出网通道用于访问客户内网和/或互联网，以基于目标互联网协议获取业务需求；所述出网通道支持接入多种互联网协议；

所述CLB用于为所述VPC网络模块提供至少一个入网接口，并基于所述至少一个入网接口接收所述业务需求，基于所述业务需求调用调度策略对云资源实例进行负载均衡处理；所述至少一个入网接口支持接入多种互联网协议；所述云资源实例存储于所述VPC网络模块；

所述VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过所述虚拟路由器分布式连接；所述VPC网络模块用于构建虚拟网络环境；所述虚拟网络环境用于基于所述业务需求实现对多租户的管理、对所述多个子网单元的管理、对每一子网单元内部地址的管理、对所述虚拟路由器的管理、对互联网协议接入的管理、对所述VPC网络模块连接方式以及黑白名单的控制。

2.根据权利要求1所述的***，其特征在于，所述NAT网关包括地址转换模块；所述地址转换模块用于实现与客户内网和/或互联网的互通；

所述NAT网关还包括：第一地址管理模块、集群管理模块、第一区域管理模块和虚拟局域网VLAN管理模块；所述第一地址管理模块用于对所述VPC网络模块对应的客户内网地址和/或互联网地址进行新增或删除；所述集群管理模块用于对所述NAT网关部署的集群进行新增或删除；所述第一区域管理模块用于对所述出网通道对应的区域进行新增或删除；所述VLAN管理模块用于对所述出网通道加载的VLAN进行新增或删除。

3.根据权利要求1所述的***，其特征在于，所述CLB还用于提供多种调度策略；所述多种调度策略包括轮询调度策略、优先调度策略和会话保持策略；所述轮询调度策略用于按照时间顺序依次进行云资源实例处理；所述优先调度策略用于基于云资源实例的优先级顺序高低进行处理；所述会话保持策略用于将多个云资源实例建立连接关系，并依次进行处理。

4.根据权利要求1所述的***，其特征在于，所述CLB还用于对所述至少一个入网接口进行异常监控，并在监测到异常的入网接口后，生成提示信息。

5.根据权利要求1所述的***，其特征在于，所述CLB还用于对所述至少一个入网接口进行黑白名单的控制。

6.根据权利要求1所述的***，其特征在于，所述CLB包括硬件负载模块；所述硬件负载模块用于为所述VPC网络模块提供至少一个入网接口；所述CLB还包括：第二地址管理模块、第二区域管理模块和服务发现模块；所述第二地址管理模块用于对所述VPC网络模块的地址进行新增或删除；所述第二区域管理模块用于对所述入网接口对应的区域进行新增或删除；所述服务发现模块用于发现新增的入网接口。

7.根据权利要求6所述的***，其特征在于，所述CLB还包括：四层负载均衡模块、七层负载均衡模块、内负载模块和外负载模块；所述四层负载均衡模块用于基于所述VPC网络模块的地址和所述至少一个入网接口将用户数据报协议UDP流量均匀分发到多个云资源实例，以实现网络负载均衡，所述七层负载均衡模块用于基于资源定位符URL和超文本传输安全协议HTTPS将所述多个云资源实例均匀分发到多个子网单元，以实现应用负载均衡；所述内负载模块用于实现所述多个子网单元的相互访问；所述外负载模块用于实现所述客户内网和/或互联网对所述多个子网单元的访问。

8.根据权利要求1所述的***，其特征在于，所述VPC网络模块还包括弹性网卡，所述弹性网卡用于与所述子网单元内部地址进行绑定，以实现网络互通。

9.根据权利要求1-8任一项所述的***，其特征在于，所述***还包括驱动器；所述驱动器用于控制所述NAT网关、所述CLB和所述VPC网络模块的接入和配置。

10.一种容器网络***的使用方法，其特征在于，所述***包括多个分布式可用区，每一分布式可用区包括：网络地址转换NAT网关、云负载均衡器CLB和虚拟私有云VPC网络模块；所述NAT网关为所述VPC网络模块提供出网通道；所述CLB用于为所述VPC网络模块提供至少一个入网接口；所述VPC网络模块包括虚拟路由器和多个子网单元，每一子网单元通过所述虚拟路由器分布式连接；所述VPC网络模块用于构建虚拟网络环境；所述方法包括：

基于所述出网通道访问客户内网和/或互联网，并基于目标互联网协议从所述客户内网和/或互联网获取业务需求；

基于所述至少一个入网接口接收所述业务需求，并基于所述业务需求调用调度策略对云资源实例进行负载均衡处理；所述至少一个入网接口支持接入多种互联网协议；所述云资源实例存储于所述VPC网络模块；

基于所述虚拟网络环境对所述业务需求进行多租户的管理、所述多个子网单元的管理、每一子网单元内部地址的管理、所述虚拟路由器的管理、互联网协议接入的管理、所述VPC网络模块连接方式以及黑白名单的控制。

11.根据权利要求10所述的方法，其特征在于，所述方法还包括：

获取对所述业务需求的处理结果，并将所述处理结果进行可视化显示；所述处理结果包括：分配的租户、接入的子网单元、接入的子网单元对应的内部地址、接入的虚拟路由器、接入的互联网协议、具有连接关系的VPC网络模块以及访问的VPC网络模块。