1.     軟體定義網路SDN

基礎概念介紹

租戶（Tenant）：在網路資源上完全隔離的一個使用者，在業務上可以代表一個對於網路有隔離和管理需求的部門。一個租戶可以對應多個網路。

網路（Network）：在業務上可以代表一個部門下的一個專案組。一個網路只能掛在一個租戶下面，同時可以有多個子網。

子網（Subnet）：在業務上可以代表一個部門下專案組的一個開發或測試環境。同一個network的subnet之間可以預設配置成隔離或者連通。

預設版本提供：tenant隔離，tenant下的network隔離，network下的subnet全通。（network下的subnet可以由使用者可選配置成隔離）

模組功能概述

軟體定義網路（software-definednetworking,SDN）的核心思想是採用控制和轉發相分離的策略，實現網路和業務的可程式設計，從而實現網路資源的動態管理。使用者可以通過程式動態構建各種特性的資料轉發網路，以達到不同網路對各種應用的承載需求。

雲環境下的網路已經變得非常複雜,特別是在多租戶場景裡,使用者隨時都可能需要建立、修改和刪除網路，網路的連通性和隔離性也不可能通過手工配置來保證了。為快速響應業務的需求，HarmonyCloud提供了軟體定義網路的解決方案，具有非常高的靈活性和自動化優勢。

主要功能：

租戶網路隔離

• 不同租戶之間的網路進行隔離，每個租戶只能訪問自己的網路資源，不可訪問其他租戶的網路資源。

• 解決了租戶與其他租戶服務間的網路隔離問題，保障了租戶對自身服務訪問的合法權益，禁止其他租戶的惡意訪問。

網路的安全性

• 諧雲網絡服務利用Linuxiptables、ACLs特性，實現訪問虛機的安全性。

網路的多粒度隔離控制

• 根據業務需求，通過policy提供網路的多粒度隔離控制。

可以在同一tenant下配置如下6種使用者自定義policy，tenant之間不可配置。

為Kubernetes提供網路服務

• 使用者建立Pod過程中，只需簡單配置便可以為Pod提供網路服務，而無需關心底層實現細節。

• 如網路服務工作流程圖所示，為Pod建立網路是一個非常複雜的過程，使用者一鍵建立網路的背後，後臺卻進行了一系列的操作。諧雲網絡服務首先要建立Network、Subnet等資源，在建立pod時候指定所需網路資源以及networkpolicy策略。

模組功能點實現介紹

HarmonyCloud軟體定義網路解決方案的目標是實現“網路即服務（Networkas a Service）”，在設計上遵循了基於SDN實現網路虛擬化的原則，以開源的calico網路解決方案為基礎進行定製優化。

Calico是一個純三層的資料中心網路方案，而且方便整合OpenStack這種 IaaS雲架構，能夠提供高效可控的VM、容器、裸機之間的通訊。

如圖， Calico的核心元件包括：Felix、etcd、BIRD、BIRD。

Felix，即Calicoagent，跑在kubernetes的node節點上，主要負責配置路由及ACLs等資訊來確保endpoint的連通狀態；

etcd，分散式鍵值儲存，主要負責網路元資料一致性，確保Calico網路狀態的準確性，可以與kubernetes共用；

BGPClient(BIRD), 主要負責把 Felix寫入 kernel的路由資訊分發到當前 Calico網路，確保 workload間的通訊的有效性；

BGPRoute Reflector(BIRD), 大規模部署時使用，摒棄所有節點互聯的mesh模式，通過一個或者多個 BGPRoute Reflector 來完成集中式的路由分發；

通過將整個網際網路的可擴充套件 IP網路原則壓縮到資料中心級別，Calico在每一個計算節點利用 Linuxkernel 實現了一個高效的 vRouter來負責資料轉發，而每個vRouter通過 BGP協議負責把自己上執行的 workload的路由資訊向整個Calico網路內傳播，小規模部署可以直接互聯，大規模下可通過指定的BGProute reflector 來完成。這樣保證最終所有的workload之間的資料流量都是通過 IP包的方式完成互聯的。

Calico節點組網可以直接利用資料中心的網路結構（支援L2或者 L3），不需要額外的NAT，隧道或者VXLANoverlay network。

如上圖所示，這樣保證這個方案的簡單可控，而且沒有封包解包，節約CPU計算資源的同時，提高了整個網路的效能。實驗測試calico網路效能非常接近物理機的效能。

此外，Calico基於iptables還提供了豐富而靈活的網路Policy，保證通過各個節點上的ACLs來提供Workload的多租戶隔離、安全組以及其他可達性限制等功能。