网络云原生
网络重构已经成为电信领域的热点,5G多样化业务场景的逐步商用落地和OTT垂直行业业务融合,更加速了网络重构的进程,运营商亟需构建更加弹性的网络来获得核心竞争力。经过近几年的“网络云化”商用实践,全球主流运营商66%已经或正在进行云化部署(HIS报告),此阶段以通用硬件承载、虚拟化平台部署、虚拟资源云化编排为内容,网络功能虚拟化以vEPC、vIMS、物联网为代表。“网络云原生”作为网络重构的深入演进阶段,在“网络云化”的基础上进一步追求敏捷业务部署、高效资源利用、低成本运营和能力开放。容器天生具有的轻量化、敏捷性、无状态、自包含等特性,使其成为“网络云原生”阶段支撑基础设施轻量化、业务架构服务化、编排管理DevOps的焦点和最佳技术实践。
容器技术并不是一个新兴技术,在IT和云服务领域已经有着广泛和成熟的应用,全球TOP5公有云服务商都已推出了容器服务。容器行业生态在2017年进一步成熟。
● CNCF(Cloud Native Computing Fundation)社区2017年在云原生领域取得了瞩目的成就,Kubernetes成为容器编排和管理领域的事实标准,云原生周边生态进一步丰富;
● OpenStack、ONAP、OPNFV等开源社区也纷纷拥抱容器,OCI(Open Container Initiative)规范的成熟催生了“2018容器运行时元年”,各类适应不同场景应用的容器引擎获得了业界的关注,例如Kata Container、gVisor、Containerd;
● 处于ICT融合和数字化转型风口的电信运营商在2017年纷纷参与其中,容器技术在下一代电信基础设施数据中心(NGDC)的落地、支撑网络功能虚拟化架构的可行性调研和商用试点呈现爆发态势;
● ETSI、SDN/NFV、CCSA等行业标准组织开始关注并立项相关容器课题,推动容器技术在NFV领域的标准化。
面向网络云原生演进,中兴通讯2017年推出电信级容器云平台产品TECS OpenPalette,并与主流运营商开展了小规模商用和相关试点推进工作,网络功能以5G核心网、vEPC、物联网为主。
TECS OpenPalette容器云平台产品
TECS OpenPalette以主流开源容器引擎Docker和容器编排管理系统Kubernetes为基础进行电信级增强,满足电信级业务高性能和高可靠性要求(见图1)。
开源开放
OpenPalette以开源项目为核心构建,通过无侵入式修改,提供电信级增强特性,对外提供原生API和增强API接口。OpenPalette以Kubernetes CRI(Container Runtime Interface)标准接口为基础,支持多种容器运行时引擎,满足不同应用场景需求。支持主流Docker容器引擎、Kata container轻量级安全容器引擎、Virtlet虚拟机运行时满足虚机应用统一管理。同时,我们也与开源项目积极合作,推进增强特性回馈社区。
高性能
OpenPalette在容器技术的原生高效特性基础上进一步提升性能,通过支持CPU Pinning、NUMA亲和等特性提升容器应用计算性能;通过CNI-Knitter(中兴通讯基于Kuberenetes CNI框架下的开源网络插件)支持SR-IOV、DPDK等特性提升容器应用网络性能;通过自研通用高性能中间件(HSMQ、SLB等)为容器应用编排提供组件支撑;通过支持GPU、FPGA等加速硬件资源进一步满足容器应用性能提升需求。
高可靠
OpenPalette在开源Kubernetes提供的容器应用和容器集群高可用框架基础上,提供容器级、集群节点级、平台组件级、整系统级,多层完善的高可用解决方案,实现应用和系统的零损失。
全面安全
OpenPalette依据容器技术特点,多维度加固系统安全性。支持内核能力机制和SElinux增强安全机制,严格控制容器权限分配,保障主机安全;支持名字空间/控制组、核隔离/绑定、全系统资源配额监管等机制,确保资源隔离安全;支持镜像数字签名、安全扫描服务,确保应用镜像安全;支持容器网络多平面隔离,确保网络隔离安全;支持基于角色的访问控制系统提供统一的权限管理和用户管理机制,分布式软件防火墙等安全组件防止DDOS攻击,确保访问安全;支持Kata container安全容器技术,提升虚拟化安全;提供完善的日志审计和监控功能,满足GDPR隐私保护要求。
集成与解耦
OpenPalette产品构建之初就坚持采用微服务架构和DevOps理念,使得产品支持更高效的组件定制化部署和灰度发布,确保解决方案高效集成。OpenPalette依托成熟领先的电信级云平台产品TECS,提供OpenStack和Kubernetes双核引擎,能充分共享数据中心基础设施和管理系统,为用户提供高效的云网融合解决方案。同时也支持裸金属、第三方IaaS云、公有云(AWS、alicloud等)部署场景,实现整系统分层解耦,确保厂家和技术栈无锁定(no lock-in)。
容器引入场景
容器作为一种虚拟化技术,与Hypervisor一样向上层应用提供虚拟化资源和管理能力,支持网络功能虚拟化。当前NFV架构以虚拟机承载为主,容器在NFV架构的引入应属于NFVI层面,存在两种场景(见图2)。
场景一:基于虚机资源池构建容器云平台
原有NFVi/VIM范畴增加容器集群管理系统(OpenPalette Master),向上提供容器资源管理,且围绕Kubernetes提供一定的软件层面微服务支撑能力。NFVO/VNFM与OpenPalette Master对接完成容器化VNF的编排管理。容器化VNF作为容器集群的租户应用,使用容器资源服务和微服务支撑能力。容器云平台作为现有虚拟机资源池上的一个租户存在,独占DC或与现有虚机租户共享DC,使用虚机作为容器云平台的基础设施,由原有NFVi/VIM完成底层硬件和虚拟机资源的管理。此场景适合于大区/中心级数据中心,充分利用现有基础设施,统一编排管理入口。
场景二:基于裸机资源构建高效容器云平台
容器云平台直接部署在裸机资源上,不依赖底层Hypervisor硬件辅助虚拟化,进一步提升性能和资源利用率。由容器云平台完成底层硬件资源管理和能力虚拟化,与场景一致向上提供容器资源管理和一定的软件层面微服务支撑能力。此场景适合于区域/边界级数据中心,对性能、资源利用率要求较高的业务场景,例如边缘计算。
容器云平台以容器和Kubernetes为核心,使其从一开始就围绕云原生应用生命周期来构建管理系统,而不仅仅是围绕资源。容器云平台将逐步从IaaS向PaaS属性演进,不断丰富底层平台的软件支撑能力,支撑上层网络功能服务化架构演进和差异化业务敏捷管理。
容器技术在NFV领域还处于商用试点推进阶段,在关键技术验证、标准化以及场景价值等方面还需要产业上下游更广泛的合作。作为网络云化的积极探索者和引领者,中兴通讯与全球运营商、主流开源项目将继续展开广泛合作,共同促进容器技术在NFV领域的成熟和应用,协助运营商实现云原生网络演进、重构核心竞争力,实现数字化转型升级。