2. 程式人生 > >張華:OpenStack與Docker整合

張華:OpenStack與Docker整合

阿新 發佈:2018-12-29

OpenStack與Docker整合

張華 zhhuabj, http://blog.csdn.net/quqi99, 2014年12月19日。

Agenda

  • 一些有利於理解的原理
  • 高密度容器下網路設計的主要挑戰
  • Neutron L2pop特性
  • Open questions
網路虛擬化技術演進基本思想
  • 資料包從虛擬機器到物理機的路徑是:虛擬機器程序(使用者空間) -- 虛擬TAP網絡卡(使用者空間)-- Hypervisor層 -- 網橋(核心空間) -- 物理網絡卡
  • 總的原則:減少層數,讓虛擬網絡卡趨近物理網絡卡的效能

virtio,vhost,vhost-user|snabb,openonload

物理網絡卡的發展

  • VMDQ將原來VMM中L2 virtual switch實現的佇列功能通過硬體實現, 軟體交換機無需排序和路由操作
  • SR-IOV更徹底,將二層交換的功能也通過硬體實現,並且建立不同的虛擬功能(VF)的方式,呈現給虛機的就是具有獨立的中斷號的物理網絡卡,因為虛機直接和物理網絡卡通訊,不需要經過軟體交換機, 虛機與VF之間通過DMA傳輸。

核心態協議棧 & 使用者態協議棧

  • 協議棧的主要處理開銷:中斷處理、記憶體拷貝、系統呼叫、協議處理
  • 千兆萬兆網路出現後,更加頻繁的硬體中斷、軟中斷及上下文切換都會佔據大量的CPU週期。
  • 傳統協議棧針對通用性設計,區分核心空間和使用者空間,應用無法直接訪問協議棧的地址空間,因此協議棧的安全性較高。有資料表明,在Linux協議棧中,資料包通過socket從核心緩衝區複製到使用者空間的時間佔到了整個資料包處理時間的57.1%。
  • 系統呼叫是核心態向用戶態提供的一組API集,一般通過軟中斷實現,會產生較大的上下文 開銷。
  • 協議處理,耗時主要包括:校驗和計算,定時器管理,IP分片/重組,可靠傳輸機制,擁塞控制等。

雲作業系統 OSv, CoreOS, Ubuntu Core

  • 單核心減小IPC呼叫,每個CPU核上單執行緒
  • 最小化系統,去掉Shell, 去掉不必要的庫,去掉不必要的開機服務,減小容器共享核心的攻擊面
  • 使用systemd/upstart加速啟動,認為shell拖累啟動
  • 基於容器技術
  • 雲作業系統image檔案小,應用的檔案也小,有的可以delta分發
  • 裝載容器,在應用分發上做文章, Ubuntu Core使用了基於事務的包管理工具snappy, 且使用了微核心由vendor來實現snappy應用
  • 在升級方面,Ubuntu Core基於事務升級,要不升級成功,要不升級不成功但不影響原有系統;CoreOS更絕採用兩個root檔案系統,有一個用於升級
  • 在配置 管理方面,OSv是零配置無狀態;CoreOS使用共享的etcd;Ubuntu Core採用Snappy打包
  • 在安全方面,容器間的共享的核心受到攻擊後對容器威脅很大,Ubuntu Core採用apparmor來對程式進行資源的訪問控制
  • 核心方面,CoreOS與Ubuntu Core基於Linux核心,OSv無使用者空間減少了使用者態核心態切換的開銷
  • CoreOS實現了HA容器,有點兒入侵了Neutron的地盤啊 :)

容器,Linux容器(LXC), Docker

容器的優點:

  • 密度大,啟動快,因為它省去了一個作業系統棧,正是這點,給網路設計帶來了挑戰
  • 容器解偶了應用與作業系統,為應用的分發提供了可能,更適合SaaS。它使用namespace程序資源隔離(IPC,NET,PID,UTS,NS,USER);使用chroot隔離根檔案系統;使用cgroup做資源限制; 
  • 所有容器共享相同的核心,便於維護。但同時也帶來了安全性風險
容器的缺點:
  • 容器共享核心帶來了安全性風險,所以雲OS應該是最小化作業系統,減小攻擊面
  • 隔離性還不如虛機,如netlink暫時不支援namespace所以導致不支援iSCSI儲存
  • 線上遷移,所以LXD要在LXC上再新增這樣更等價虛機的功能
  • 更高密度帶來的網路挑戰
Docker基於LXC基礎上繼續:
  • 封裝了REST API,交叉式Shell, 日誌功能
  • 採用CoW建立根檔案系統,讓映象變得Delta,部署極其快捷
  • 類似於OpenStack的映象及排程管理
  • 應用分發機制

應用分發機制,以 Ubuntu Core為例

高密度容器帶來的網路挑戰

  • 沒有控制平面,高密度直接要求必須禁掉ARP廣播,改由地址學習。neutron的資料庫是一個學習的好地方,neutron l2pop特效能允當控制平面。
  • 高密度要求網路資源必須充足,像limit, namespace, neighbor table size, vlan等,Linux是一個通用的作業系統,不是為雲設計的
  • 容器的快速啟動特性要求dnsmasq支援HUP訊號持HUP訊號
...

快速搭建可執行的環境 - devstack

計算節點 (LXC+ OVS)

網路節點

網路拓撲圖

Neutron L2pop

相關推薦

OpenStackDocker整合

OpenStack與Docker整合 張華 zhhuabj, http:

Docker(十三)OpenStack部署Docker集群實戰

-a 模塊 -1 -name nbsp col arm ons http 1、介紹   本教程使用Compose、Machine、Swarm工具把WordPress部署在OpenStack上。   本節采用Consul作為Swarm的Discovery Service模塊,

springbootdocker整合三部曲之docker安裝

springboot專案與docker整合,首先需要的是安裝docker,這裡介紹在windows上安裝docker。 windows上安裝docker,其實是藉助virtualbox安裝了一個boot2docker-vm的虛擬機器,另外提供了一個類linux的命令列工具m

springbootdocker整合三步曲之專案打包部署

前面我們構建了jdk執行環境的映象,這裡我們只需要將springboot專案打包到該映象中,形成一個新的映象springboot-docker,到時候,利用這個映象啟動容器。再做埠對映,就可以訪問我們部署在docker中的springboot專案了。 1、構建springb

Spring Boot專案Docker整合完成打包,打映象及推送至映象庫的功能

Spring Boot與Docker整合完成一站式打包到推送至映象庫,減少部署的過程,下面主要來介紹一下,如何整合Docker: 1.在Spring Boot專案的pom.xml檔案中做以下配置: <build> <plugins> &l

SSHStruts2Spring整合核心配置及Jar包引用

關於Spring ApplicationContext 1.        從字面上看ApplicationContext就是Application級別的Context(上下文,上下文一般會包含系統級別的請求引數,自定義的資料物件等等),在Spring中Applicati

Storm Kafka Integration (0.10.x+)官方文件翻譯stormkafka整合

Storm Kafka Integration (0.10.x+) 相容性 Apache Kafka版本0.10以上 向kafka寫資料作為拓撲的一部分 你可以建立一個org.apache.storm.kafka.bolt.KafkaBolt的例項,

CXF系列之JAX-RSCXFspring整合釋出REST服務

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transition

【一起學原始碼-微服務】Ribbon 原始碼三RibbonEureka整合原理分析

前言 前情回顧 上一篇講了Ribbon的初始化過程,從LoadBalancerAutoConfiguration 到RibbonAutoConfiguration 再到RibbonClientConfiguration,我們找到了ILoadBalancer預設初始化的物件等。 本講目錄 這一講我們會進一步往下

Docker逃逸防護策略” – 運維派

由工業和資訊化部指導,中國資訊通訊研究院主辦,業界知名組織雲端計算開源產業聯盟(OSCAR)承辦的2017全球雲端計算開源大會於4月19日-20日在北京國家會議中心順利召開。本文為本屆大會嘉賓分享的大會演講速記內容,敬請瀏覽。 嘉賓介紹:張謙 公司職務:奇虎360科技有限公司安全研究員 大會演講速

docker編排部署小神器>>Compose概念篇

docker compose docker compose docker編排 docker-compose是什麽 Compose是定義和運行多容器Docker應用程序的工具。 使用Compose,您可以使用YAML文件來配置應用程序的服務。 然後,使用單個命令,您可以創建並啟動配置中的所有服

借AI穿透萬物為P20AI攝影大師改變的遊戲規則

華為P20華為P20發布之後,第一個刷屏的事件,就是DxOMark居然被“屠榜”了。本來我們以為手機行業今年的任務是DxO達到100分,結果沒想到才開年不久相機評分就被華為P20 Pro刷到了114……當然,在刷榜的碾壓局背後其實有更多值得我們關註的東西。比如DxOMark在評測報告的結尾中是這樣寫的:“P2

為綜合實驗STPVRRP技術

VLAN STP RIP VRRP NAT 本實驗使用華為eNSP模擬器,采用了VLAN技術、MSTP技術、VRRP技術、RIP等技術,搭建了一個簡單的公司內網環境,實現網絡的冗余及負載均衡實驗環境如下:在sw1上配置<Huawei>system-view [Huawe

實際生產環境項目——EMC UNITY 400存儲OpenStack Ocata Cinder整合

EMC存儲與Openstack整合?這段時間做了個小項目,給客戶部署了一套基於OpenStack Hypervisor的私有雲環境。其中涉及到一臺獨立的存儲設備——EMC UNITY 400,因此需要與OpenStack Ocata Cinder進行整合。 ?目前整合完成,經測試一切正常!現把所參考的官方配

技術分享OpenStack DVR部署分析

network 所有 emc 狀態 是把 oca l3-agent meta 進入 概述 為了提高neutron網絡服務的魯棒性與性能,OpenStack從J版開始正式加入的DVR(Distributed Virtual Router)服務,它將原本集中在網絡節點的部分服務

一種古老的技術axis1.4操作WebService,實現Spring整合

這是pom檔案中需要的axis需要的依賴 <dependency> <groupId>org.springframework</groupId> <artifactId>spr

分享《深度學習原理應用實踐》+PDF+重生

ofo 51cto 經典 mar src mage 詳細 深度學習 目錄 下載:https://pan.baidu.com/s/1LmlYGbleDhkDAuqoZ2XjAQ更多資料分享:http://blog.51cto.com/14087171 《深度學習:原理與應用實

SpringMyBatis整合錯誤nested exception is java.lang.NoClassDefFoundError

最近在學習整合Spring與MyBatis時,出現了以下異常: Error creating bean with name 'sqlSessionFactoryBean' defined in class path resource [application-mybatis

jenkins、gitlab、docker整合其一配合nginx實現靜態頁面部署

一. 安裝配置Git 1. 安裝Git           直接使用yum安裝:yum install git           注意:git安裝於docker伺服器 2. 配置賬號密碼:配置賬號密碼使之能夠克隆庫時免於輸入 (1)cd ~/ &&

Java進階學習第二十四天(Spring框架事務管理、SpringHibernate整合

一、事務控制 1、引入 使用者訪問 > Action > Service > Dao 如何保證: 在service中呼叫2次dao,其中一個dao執行失敗,整個操作要回滾 2、事務控制概述 ① 程式設計式事務控制:自己手動控制事務 Jdbc程式