跨Antrea集群的服务发现和安全控制方案

跨Antrea集群的服务发现和安全控制方案技术创新，变革未来多集群相关背景常见用户案例Antrea多集群功能Antrea多集群架构现状越来越多的容器应用部署在多个K8s集群提升服务扩展弹性满足地域限制要求解除云服务商锁定提高应用负载隔离性痛点多集群管理引入大量人工配置多集群间应用的通信配置管理复杂度提高多集群间的安全问题突出Kubefed以集群管理为中心的解决方案以网络管理为中心的解决方案©Cluster

1Pod

A1172.16.1.2Service:

foo.ns.cluster1.localPod

A2172.16.1.3Cluster

2Service:

foo.ns.cluster2.localAppAppPod

B110.10.1.2Pod

B210.10.1.3支持服务HA提高服务弹性多地点部署©Pod

A1Log

servicePod

A2SharedLog

ServicePodA2172.16.1.3PodA2172.16.1.3Cluster

1Pod

B1Log

servicePod

B2Cluster

2Cluster

3减少运维成本支持服务隔离©减少安全配置重复性支持远程服务的访问隔离Pod

A1Pod

A2Cluster

1ANPPod

A3Service

APod

B1Pod

B2Cluster

2ANPPod

B3Service

BPod

C1Pod

C2Cluster

3ANPPod

C3Service

C©概述©K8s-native多集群服务通信用户能够像访问本地服务一样访问来自其他集群的服务K8s-native多集群负载通信用户可以通过Antrea多集群网关直接从本地Pod访问其他集群的PodK8s-native多集群安全控制用户可以构建应用于多个集群的统一网络策略，同时可以定义多个集群之间的流量访问控制策略多集群Gateway高可用集群间的Gateway支持主备模式的高可用Chained

CNI模式支持支持公有云平台上以NetworkPolicyOnly模式运行多集群服务集群组(ClusterSet)Leader

clusterMember

cluster成员声明(ClusterClaim)自定义资源（CRD）©集群间服务资源交换

(KEP-1645)ServiceExportServiceImport集群间信息交换GatewayClusterInfoImport集群资源封装ResourceExportResourceImport自定义资源（CRD）©MemberCluster

Cpod-c172.16.1.2Service:foo.ns.cluster1.local(10.13.1.13)AppMemberCluster

Bpod-b192.168.1.2Service:foo.ns.cluster2.local(10.12.1.12)AppMemberCluster

AService:

antrea-mc-foo.ns.cluster3.local(10.13.1.13)pod-aEndpoints10.12.1.1210.13.1.13Exported

ServicePodMCS

Service©©AntreaClusterNetworkPolicy

”toService”

EgressAntrea

ClusterNetworkPolicy

AntreaStretchedNetworkPolicy

(v1.10)©antctlmc

deployantctlmcdeployleadercluster-nantrea-multicluster--antrea-version

$TAGantctlmcdeploymembercluster-nkube-system

--antrea-version$TAGantctlmc

initantctlmcinit--clustersettest-clusterset--clusteridtest-cluster-leader-nantrea-multicluster--create-token-j

join-config.ymlantctlmc

joinantctlmcjoin--clusteridtest-cl