技术博客
, EVP, CTO
技术博客
借助 Contrail 解决大规模 Kubernetes 网络和安全挑战
Dec 10, 2019

现代应用是基于微服务的分布式事务,涉及跨多个故障域运行的多种工作负载。事实上,Kubernetes 已经成为云原生应用的编排器,生态系统丰富而且仍在不断增长,但同时挑战依然存在。根据用户调查,主要存在安全、网络和分析方面的挑战。 

 

瞻博网络致力于解决当今行业面临的棘手问题,将帮助用户直面这些挑战。在今天的 KubeCon 上,我们将发布新开发的解决方案,以帮助客户大规模实现安全至简的云原生运维。

 

在最近的博客中,我们介绍了微服务,对 Kubernetes 而言,这是动机也是优势,是机遇也是挑战。   让我们来了解一下瞻博网络的云原生解决方案,探究它能给您的微服务应用用户带来哪些益处。

 

进入 Contrail 企业多云时代

 

尽管 Kubernetes 使大规模的计算和存储工作负载的编排变得轻而易举,但它依赖于通过 CNI API 展现的强大网络解决方案来实现这种神奇效果。不幸的是,我们很难为 Kubernetes 构建这样一个可靠的网络堆栈。

 

Contrail 企业多云是一款软件定义网络解决方案,经实践检验,可在超大规模环境下运行,从而攻克了前述网络难题。即使网络端点由世界各地的多个名称空间和基础架构提供商提供,组织也能在一个域中运维整个网络。借助 Contrail,组织可以为多个租户实现网络虚拟化,并能保护其网络免受威胁。

 

Contrail 已经为微服务应用提供了卓越的深度防御。此安全保护能力是 Contrail 嵌入式容器服务链接功能发挥的作用,使组织能够在应用层之间调配安全功能,例如,深度数据包检测 (DPI) Web 应用防火墙 (WAF)。现在,Contrail 可以提供更多功能。

 

更多安全微服务

 

在今天的产品发布后,Contrail 现在支持在 Kubernetes 节点之间加密。对于在不受信任的环境、公共云环境或必须遵循严格安全合规规则的环境中运维实例的组织而言,这是一个非常重大的功能。

 

我们最近还增加了对裸机网关的支持,可以更高效地将流量转发到 Kubernetes 群集中运行的应用。这可以防止默认 CNI 存在的双重转发情况,并使组织能够为最终用户提供响应速度更快的应用体验。最后,由于随着应用的扩展,需要的计算和网络资源减少,因而有助于降低基础架构成本。

 

Contrail 的网络叠加可帮助 DevOps 团队维护复杂的分布式应用,即使这些应用中的服务实例具有重叠的 IP 也不受影响。借助 Contrail,组织可以在整个网络中应用一致且精细的安全和网络策略。使用这些策略控制,基础架构管理员还可以在单个群集中创建多租户,并在租户之间实现完全隔离。同时,Contrail 超越了简单的策略实施,允许组织将容器化的新一代防火墙(例如 Juniper cSRX)直接插入数据路径,从而增强了对横向威胁的防护。

 

除此以外,Contrail 还添加了网络和安全可视化功能,使 DevOps 团队可以轻松查看流量和策略实施情况。在对应用进行故障排除时,或者向审计师或 SOC 证明应用符合安全策略规定时,有这种能力和没有这种能力之间存在巨大差异,不可同日而语。

 

现在,Contrail 已是一款功能强大、极其安全的 Kubernetes 网络解决方案 (K8 CNI)。它有许多成功的应用案例,可为企业提供经过时间考验的替代方案,可支持更多新兴产品。更重要的是,无论是否有部分服务实例在虚拟机上或裸机服务器上运行,组织都能在实例之间创建安全的进程间通信。

 

添加一些裸机

 

除了在组织的整个 IT 基础架构中实现安全网络扩展,Contrail 还可以将负载平衡的路由馈送到路由器(如瞻博网络 MX 系列),以在硬件中实现有效的负载平衡和安全。Contrail 的做法是,在 vRouter 和控制器中使用基于标准的网络,以实现 Kubernetes 固有的负载平衡。

 

这种做法的最终结果是,来自 Kubernetes 群集外部的请求直接传递到目标 Kubernetes 节点或 Pod,从而提高了应用的性能和效率。从长远来看,随着应用的扩展,我相信这可以节省计算和网络资源。

 

安全、可扩展、深入洞察

 

我们衷心希望您能莅临我们的 KubeCon 展位 (P22),与我们共同探讨瞻博网络如何为您的工作负载(数据中心或云原生、裸机或基于虚拟机)提供先进的网络连接、安全性、存储和分析功能。

 

您也可以访问 juniper.net/cloud-native 了解更多信息,并在随取即用的个人虚拟实验室中试用 Contrail  Kubernetes

0 Kudos