本發(fā)明公開(kāi)了一種基于網(wǎng)絡(luò)命名空間管控的IP監(jiān)控和回收系統(tǒng)與方法，系統(tǒng)包括IP分配管理服務(wù)器、IP分配管理代理器、多個(gè)容器組、容器引擎、集群API服務(wù)器、數(shù)據(jù)庫(kù)，所述容器組與所述容器引擎創(chuàng)建連接實(shí)現(xiàn)數(shù)據(jù)交互，所述IP分配管理服務(wù)器分別與所述容器引擎、所述集群API服務(wù)器、所述數(shù)據(jù)庫(kù)創(chuàng)建連接實(shí)現(xiàn)數(shù)據(jù)交互，所述IP分配管理代理器分別與所述容器引擎、所述集群API服務(wù)器創(chuàng)建連接進(jìn)行監(jiān)控與確認(rèn)；能夠通過(guò)網(wǎng)絡(luò)命名空間的監(jiān)控獲取了容器和網(wǎng)絡(luò)命名空間的對(duì)應(yīng)關(guān)系，在容器刪除后，可以監(jiān)控?cái)?shù)據(jù)回收已經(jīng)不再使用的網(wǎng)絡(luò)命名空間，保證被刪除的容器組的IP是一定被釋放的，不會(huì)異常泄露，以保證與后續(xù)分配的IP不會(huì)出現(xiàn)沖突的情況。

技術(shù)領(lǐng)域

本發(fā)明涉及基于Kubernetes的容器云平臺(tái)的網(wǎng)絡(luò)管理功能，具體涉及一種基于網(wǎng)絡(luò)命名空間管控的IP 監(jiān)控和回收系統(tǒng)與方法。

背景技術(shù)

容器云平臺(tái)的網(wǎng)絡(luò)是平臺(tái)的基石，容器組 IP 地址管理是應(yīng)用對(duì)外提供服務(wù)的基礎(chǔ)，在運(yùn)維管理過(guò)程中，IP的分配、管理、監(jiān)控不僅僅關(guān)系到集群的對(duì)外服務(wù)，還涉及到安全審計(jì)等功能的實(shí)現(xiàn)；

在基于Kubernetes的容器云平臺(tái)解決方案中，雖然Kubernetes擁有原生的MacVlan等 CNI 網(wǎng)絡(luò)支持，也提供了默認(rèn)的 IPAM 選項(xiàng)，例如：

DHCP（Dynamic Host Configuration Protocol 動(dòng)態(tài)主機(jī)配置協(xié)議）：顧名思義就是動(dòng)態(tài)分配的意思，無(wú)法指定分配，監(jiān)控功能也是缺失的；

Host Local：可以為每個(gè)節(jié)點(diǎn)定制不同的網(wǎng)段，指定網(wǎng)段的起始和結(jié)束的 IP地址以及網(wǎng)關(guān)、子網(wǎng)、默認(rèn)路由，并且支持 ipv4 和 ipv6。Host-local 會(huì)在配置的范圍內(nèi)，主機(jī)決定分配的 IP 地址，因?yàn)?host-local是本地靜態(tài)配置，無(wú)法對(duì)可以動(dòng)態(tài)飄移的應(yīng)用進(jìn)行IP分配，主機(jī)也不支持多 vlan 的場(chǎng)景，監(jiān)控功能也是缺失的；

Ptp（point-to-point 點(diǎn)對(duì)點(diǎn)）：通過(guò)veth pair 網(wǎng)卡對(duì)的方式為容器和主機(jī)進(jìn)行配置，僅支持子網(wǎng)網(wǎng)段配置。無(wú)法滿足應(yīng)用 IP 分配管理的功能。監(jiān)控功能也是缺失的；

現(xiàn)有方案中， Kubernetes 的IP分配只管理到容器組 Pod 層面，而 Docker 負(fù)責(zé)具體的網(wǎng)絡(luò)配置和 IP 回收，集群網(wǎng)絡(luò)控制器關(guān)注于容器組的創(chuàng)建刪除，這些創(chuàng)建和刪除的操作都是由節(jié)點(diǎn)的 Docker守護(hù)進(jìn)程完成的，而對(duì)于 Docker 的運(yùn)行情況和異常情況處理，平臺(tái)層面的網(wǎng)絡(luò)控制器通常無(wú)法顧及到，而對(duì)于 Docker 來(lái)說(shuō)，本地的容器啟動(dòng)刪除事件會(huì)被上報(bào)，其他信息不會(huì)被節(jié)點(diǎn)的 kubelet 上報(bào)，諸如一些極端情況下，引發(fā)內(nèi)存的OOM，導(dǎo)致出現(xiàn)意外 kill 容器的一些核心進(jìn)程（ docker-containerd-shim， docker-containerd ），此時(shí)會(huì)導(dǎo)致網(wǎng)絡(luò)NS殘留；

因此容器實(shí)際的網(wǎng)絡(luò)命名空間的創(chuàng)建刪除情況，并不能即時(shí)并且完整的上報(bào)到網(wǎng)絡(luò)控制器組件，這也是為什么網(wǎng)絡(luò)控制器導(dǎo)致 IP 沖突的原因；IP 沖突問(wèn)題在實(shí)際生產(chǎn)環(huán)境中也變得越來(lái)越常見(jiàn)，IP 使用情況的監(jiān)控管理也會(huì)在規(guī)模擴(kuò)大后陷入到維護(hù)成本極高的情景，其中最常見(jiàn)的問(wèn)題就是容器組關(guān)閉 IP 回收不徹底的問(wèn)題；

傳統(tǒng)的 IP 分配和回收?qǐng)鼍爸校琄ubernetes 控制器和網(wǎng)絡(luò)管理控制器只會(huì)關(guān)注容器組的創(chuàng)建和刪除，而實(shí)際容器的網(wǎng)絡(luò)命名空間（NS）是 Docker 進(jìn)行創(chuàng)建和管理的，兩者的割裂也就帶來(lái)了網(wǎng)絡(luò)命名空間殘留會(huì)導(dǎo)致集群的 IP 沖突風(fēng)險(xiǎn)，因此需要一種網(wǎng)絡(luò)命名空間的管控機(jī)制，確保云平臺(tái)的容器組的 IP 地址不發(fā)生沖突，使得應(yīng)用可以穩(wěn)定運(yùn)行和確保平臺(tái)安全可控。

發(fā)明內(nèi)容