广州凡科互联网科技有限公司

营业时间
MON-SAT 9:00-18:00

全国服务热线
18720358503

公司门店地址
广州市海珠区工业大道北67号凤凰创意园

为何隧道施工封裝是Docker大部分互联网新项目的

日期:2021-03-14 浏览:

为何隧道施工封裝是Docker大部分互联网新项目的相互挑选


为何隧道施工封裝是Docker大部分互联网新项目的相互挑选 大家都了解docker器皿能够运作在公有制云、独享云、虚似化和裸机上。以便互联网的安全性,这些自然环境上都应当有严苛的安全性组和防火墙设定来确保仅有合理合法总流量可以根据端口号。这些带来了互联网安全性的另外,也给docker 器皿的布署和可挪动性带来了不便。

情况

在我以前weave的运作基本原理的文章内容中,详细介绍到 weave在跨主机的器皿通讯全过程中,会应用pcap截获器皿推送和接受的 互联网包,随后依照自定的文件格式将这些包再次封裝为UDP报文格式再度引入到bridge上的插口推送出去。具体上这并不是weave特有的挑选,CoreOS的 fannel互联网新项目也是1样的方式。近期被docker企业回收的初创期新项目socketplane,选用根据openvswitch的vxlan的隧道施工技术性来完成同样的全过程。那末,就有1个疑惑:具体上要是应用主机port mapping或是将docker原生态网桥docker0的上行路由协议连接网卡,器皿的总流量都可以以从主机推送出去,为何这么多的docker互联网新项目都不谋而合地挑选应用隧道施工技术性将互联网负载再度封裝推送,接受的情况下再解封裝呢?

分析缘故

隧道施工封裝是现阶段最简易的穿透docker器皿繁杂互联网自然环境安全性设定的方式

具体上这个难题最关键的缘故是与docker器皿运作自然环境的多样繁杂性是立即有关的。大家都了解docker器皿能够运作在、独享云、虚似化和裸机上。以便互联网的安全性,这些自然环境上都应当有严苛的安全性组和防火墙设定来确保仅有合理合法总流量可以根据端口号。这些带来了互联网安全性的另外,也给docker 器皿的布署和可挪动性带来了不便。每次布署起动1个器皿,就要将其相应应用的端口号上的安全性设定升级为对外开放。特别是情景下这个难题就更加不便了。我举1个实际的事例:当今许多的PaaS服务出示商都沒有自身的,她们立即从公有制云的IaaS出示商那里得到虚似机,那末这个情况下就必须PaaS出示方启用公有制云IaaS出示方的互联网安全性设定的API来开启端口号。PaaS出示商是不容易把自身关联死的,会挑选多家公有制云的 IaaS(AWS,GCE,Azure等),这些IaaS出示商的API统统不1样,这很多不便啊。这都还没考虑到独享云,自身数据信息管理中心的虚似化和裸机自然环境的端口号ACL设定的繁杂。

互联网安全性的设定还不仅仅有这些,例如最多见的ip与mac关联,这是openstack的默认设置设定,要改动能够,一样也要启用openstack neutron的API提升端口号容许的ip-mac pair。这里附加提1下,docker主机的port mapping方法因为限定了器皿挪动后的可浏览性,不被大多数数跨主机docker互联网新项目选用,大部分新项目還是期待能给每一个器皿1个ip,器皿间浏览应用这个ip,而并不是docker器皿所属主机的ip。

结果

根据上面的分析,能够想像,假如是在混和云情景下,应用隧道施工封裝技术性后,从虚似机流出的总流量ip和mac全是唯1的,且只应用固定不动的端口号,那docker器皿运作自然环境的安全性设定便可以固定不动下来,简单多了。

实际上,docker互联网中应用隧道施工封裝技术性还能够有益于1些别的难题的处理:

1. 器皿相较于虚似机在1台主机上的密度大大提升,最少多出1个量级,要说两个量级我也信。在这样的状况下机架上的接入互换机的port-mac表容量是不是充足呢,这里应用了隧道施工封裝了负载后,就无需担忧这个难题了。

2. 另外,就好似虚似机应用了vxlan后1样,有益于摆脱ip详细地址网段对2层互联网经营规模的限定,打造出1个大2层的互联网。


2019-07⑵9 19:48:40 云计算技术 全世界公有制云销售市场近5年趋于集中化,微软、谷歌败北亚马逊 近日,亚马逊AWS、微软Azure和谷歌云为首的3大云服务商公布了全新财报。


新闻资讯

联系方式丨CONTACT

  • 全国热线:18720358503
  • 传真热线:18720358503
  • Q Q咨询:2639601583
  • 企业邮箱:2639601583@qq.com

首页
电话
短信
联系