前回の記事「Virtual Cloud Networkシリーズ|AntreaのVMwareソリューションへの応用機能紹介(1)」に引き続き、今回のツイートではAntreaがVMwareがサポートするメインのコンテナネットワークインターフェースであること、関連するコンポーネントについて簡単に触れておきたいと思いますと他の競合ソリューションの違い。近年、Kubernetesの技術発展に伴い、初期のFlannel/Weave/OVNから現在主流のCalico/Ciliumまで、VMware自身も含めてContainer Network Interface関連のプロジェクトが盛んに行われ、NSBUはNCP(NSX Container Platform)も開発し、それぞれに独自の強みがあります。現在、VMware/Tanzu は主に商用サポートで Antrea を採用していますが、Antrea の利点は何ですか? これは誰にとっても簡単な説明です。
まず、Antrea のアーキテクチャを見て、いくつかの重要なポイントについて説明します。
1. Antrea はコア ネットワーク コンポーネントとして Open-vSwitch を使用します。
上のアーキテクチャ図では、各 Kubernetes ノードに OVS (Open-vSwitch) という大きな単語があることがわかります.これが、Antrea と他のソリューションとの主な違いです.Antrea は Open vSwitch を基盤となるコア コンポーネントとして使用します. Open vSwitch は、次の特徴を備えた長期的に安定したプログラム可能なオープン ソース ソリューションです。
- ソリューションは成熟しており、Open vSwitch は NSX の前身である Nicira の時点ですでに完全に商用化されており、現在は Linux カーネルの組み込みモジュールになっています。
- オープン ソース SDN (Software Define Network) のコア コンポーネントとして、開発者は Open vSwitch (OVSDB / Openflow 経由) を簡単に使用して、ネイティブ Kubernetes によって定義された要件をはるかに超える、企業が必要とするさまざまなセキュリティおよびネットワーク機能を有効にすることができます。財団。
- Linux および Windows オペレーティング システムで実行できるため、完全な移植性があります。お客様がさまざまなパブリック クラウドとプライベート クラウド、およびさまざまなオペレーティング システムに Kubernetes クラスターを展開したい場合、Antrea はそれらを簡単にサポートできます。
2. Antrea はコントローラエージェント制御/転送設計を持っています
また、上の図では、各 Kubernetes ノードに Antrea エージェントがあることがわかります。この Antrea Agent の主な仕事は、Kubernetes API サーバーと Antrea Controller から指示を受け取り、関連するネットワークとセキュリティの要件を記述し、ローカル OVS を介して機能を実装することです. たとえば、Pod は Geneve Tunnel を介してノード ネットワーク全体に接続する必要があります.行、各ポッド独自のネットワーク ポリシーなど。
さらに、Antrea の重要な機能は Pod 間の高度なセキュリティ制御を実行することであるため、次のコンポーネントが必要です。
- Kubernetes API を介して Pod/Namespace/Service のステータスを収集します。
- 外部システムが高度なセキュリティ ポリシーを構成するために呼び出す API を提供します。
- このコンポーネントでは、高度なセキュリティ ポリシーが必要な Kubernetes ノードの Antrea エージェントに配布され、それぞれの OVS が呼び出されてセキュリティ ポリシーが実装されます。
したがって、Antrea がデプロイされると、各 K8S ノードの Antrea Agent に加えて、コントローラー Pod もマスター ノードにインストールされます。下の図は、ラボで作成した 1 つのマスター ノードと 3 つのワーカー ノードを含む Kubernetes クラスターです。Antrea をインストールすると、各ノードに Antrea エージェント (合計 4 つ) が存在し、前述の高度なセキュリティ制御と外部システム インターフェイスを提供する antrea-controller ポッド構成もあることがわかります。フェッチ機能。
Antrea/Kubernetes コンポーネント間の詳細な関係に関心がある場合は、次の図を参照してください。これには、Antrea の各コンポーネント、Kubernetes の各コンポーネント、さらには外部システムの間の完全な関係が含まれています。
Let's talk about the architecture first. 関連する詳細について詳しく知りたい場合は、次の記事で詳細な説明を参照できます。
これは、アーキテクチャについて議論するための特別なツイートです。主に次の点を強調したいと思います。
- Antrea は、Open vSwitch の成熟したテクノロジーをコア バックボーンとして採用することで、クロス オペレーティング システムを容易に実現し、さまざまなパブリックおよびプライベート クラウド プラットフォームでの迅速なサポートを実現できます。
- 同時に、Open vSwitch で蓄積された豊富な経験により、Antrea プロジェクトは、Open vSwitch 自体がサポートする機能を迅速に適用し、企業のニーズに対応し、Open vSwitch の既存のメカニズムを通じて新しい機能を短時間で実現できます。期間。
- Antrea Controller の設計により、従来のネットワーク ポリシーよりもはるかに複雑なセキュリティ ポリシー メカニズムを実装できると同時に、外部システム (後で説明する NSX など) を簡単に提供したり、別のシステムをうまく統合したりできます。 -既知のオープン ソース メンテナンス ツール OCTANT) を使用して、ポリシー構成と情報検索を行います。
さまざまなコンテナ ネットワーク インターフェイス ソリューションには独自の長所と短所がありますが、Antrea には、成熟したコンポーネント、完全な機能、容易な開発、外部システムの容易な統合など、上記の特徴があり、コンテナ ソリューションをサポートするための VMware の最初の選択肢となっています。特に、VMware 自体は Open vSwitch オープン ソース プロジェクトの維持に多くの開発チームと関連する経験を投資しており、Antrea の開発と維持を継続することは当然です。
最初にこれについて話しましょう。次の記事では、Antrea のインストール方法について説明します。
コンテンツソース|パブリック アカウント: VMware China R&D Center
この記事の著者: Colin Jao (Rao Kangli) は、VMware のシニア テクニカル コンサルタントであり、主に VMware NSX 製品ラインの責任者であり、現在はネットワーク仮想化、分散型セキュリティ保護テクノロジ、および新しいアプリケーションの導入と促進に取り組んでいます。配信ソリューション。