企業(yè)在上云過程中新的技術(shù)不斷引入，中國信息通信研究院的調(diào)查報告顯示，2019年43.9的被訪企業(yè)已經(jīng)使用容器技術(shù)部署業(yè)務(wù)應(yīng)用，計劃使用容器技術(shù)部署業(yè)務(wù)應(yīng)用的企業(yè)占比為40.8；28.9的企業(yè)已經(jīng)使用微服務(wù)架構(gòu)進行應(yīng)用系統(tǒng)開發(fā)，另外有46.8的企業(yè)計劃使用微服務(wù)架構(gòu)。繼SDN之后容器、微服務(wù)、DevOps等為代表的云原生技術(shù)，大大提高了企業(yè)上云的敏捷性、彈性和云間的可移植性，使其基礎(chǔ)設(shè)施不斷云化的同時不可避免地遇到虛擬網(wǎng)絡(luò)的黑盒難題。容器網(wǎng)絡(luò)固有的波動特性成為監(jiān)控診斷的最大挑戰(zhàn)，CNCF的報告指出，容器的網(wǎng)絡(luò)和安全已成為容器云平臺建設(shè)最主要的挑戰(zhàn)，當(dāng)企業(yè)將重要的核心應(yīng)用遷移至容器平臺，企業(yè)必須獲取全網(wǎng)的流量數(shù)據(jù)并在此基礎(chǔ)上繪制網(wǎng)絡(luò)知識圖譜以實現(xiàn)對全網(wǎng)狀態(tài)的可視化。

為了解決隔離性和跨節(jié)點的容器通信，Overlay Network成為眾多企業(yè)建設(shè)容器網(wǎng)絡(luò)方案的首選。新型容器網(wǎng)絡(luò)分為兩大類——隧道方案和路由方案。目前常見的容器網(wǎng)絡(luò)方案通?；贑NI實現(xiàn)，包括Flannel、Calico、Weave Net、Contiv、NSX-T Container Plugin NCP、OpenShift-SDN等，其中Flannel-VXLAN、Calico-IPIP、Weave Net、Contiv-VXLAN、NCP、OpenShift-SDN都是基于Overlay隧道實現(xiàn)，而Flannel-HostGW、Calico-BGP、Contiv-BGP都是基于路由方式實現(xiàn)。此外，還有完全依賴Underlay實現(xiàn)的網(wǎng)絡(luò)方案，如SR-IOV、MACVLAN、IPVLAN等。隧道方案對底層的網(wǎng)絡(luò)沒有過高的要求，但隨著節(jié)點規(guī)模的增長復(fù)雜度會提升，對網(wǎng)絡(luò)問題的排查將變得更為困難。

企業(yè)上云之后，其業(yè)務(wù)的應(yīng)用架構(gòu)逐漸走向微服務(wù)化/容器化，業(yè)務(wù)和網(wǎng)絡(luò)結(jié)合的越來越緊密。容器云平臺比以往任何的基礎(chǔ)架構(gòu)平臺更加的接近業(yè)務(wù)，同時也包含了更多的層級和組件，因此也帶來了更多的風(fēng)險；在容器云平臺內(nèi)部，默認(rèn)的網(wǎng)絡(luò)模型在東西向訪問隔離方面缺少必要的安全保障。在微服務(wù)架構(gòu)中，服務(wù)間的網(wǎng)絡(luò)監(jiān)控是業(yè)務(wù)保障中重要部分；在容器網(wǎng)絡(luò)中，POD間的網(wǎng)絡(luò)流量迫切需要工具手段進行監(jiān)控保障。獲取完整的網(wǎng)絡(luò)流量尤其是虛擬網(wǎng)絡(luò)和容器網(wǎng)絡(luò)的流量是解決虛擬網(wǎng)絡(luò)黑盒問題、保障業(yè)務(wù)上云的連續(xù)性和安全性的重要前提。企業(yè)需要構(gòu)建統(tǒng)一的云監(jiān)控平臺，使其具備全網(wǎng)流量采集和全面可視化能力，實現(xiàn)業(yè)務(wù)上云后的可視、可管、可控以及快速排障。

對于建設(shè)全網(wǎng)流量監(jiān)控與可視化方案的介紹請參照云杉網(wǎng)絡(luò)混合云網(wǎng)絡(luò)監(jiān)控診斷方案的論述。下文將針對容器網(wǎng)絡(luò)的流量監(jiān)控與可視化進行展開。在建設(shè)容器網(wǎng)絡(luò)流量監(jiān)控與可視化實踐中需注意以下原則：

a）功能一體化：在覆蓋容器資源池的同時要能兼容KVM、VMware、公有云、裸金屬等異構(gòu)資源池的虛擬網(wǎng)絡(luò)，同時兼具多租戶服務(wù)能力，避免重復(fù)建設(shè)和復(fù)雜管理。此外，方案須具備容器業(yè)務(wù)的梳理和畫像能力，為流量可視化奠定基礎(chǔ)。

b）架構(gòu)云原生：監(jiān)控平臺自身必須是云原生架構(gòu)，充分考慮和滿足企業(yè)上云的彈性需求，在適配不同容器環(huán)境的同時確保對主流私有云、公有云等混合云環(huán)境的統(tǒng)一監(jiān)控。當(dāng)企業(yè)對容器業(yè)務(wù)進行跨資源池彈性部署時，方案應(yīng)具備自動跟隨能力。

c）部署少侵?jǐn)_：整個方案的部署應(yīng)盡可能地避免對現(xiàn)有生產(chǎn)環(huán)境產(chǎn)生影響，對不同的容器環(huán)境須采用與之匹配的技術(shù)方案，在進行容器流量采集部署時滿足平滑部署且保證業(yè)務(wù)不間斷，確保對計算資源的消耗安全可控。

d）數(shù)據(jù)標(biāo)準(zhǔn)化：企業(yè)IT環(huán)境往往是復(fù)雜和異構(gòu)的現(xiàn)狀，其監(jiān)控系統(tǒng)中的工具和數(shù)據(jù)也多種多樣。容器網(wǎng)絡(luò)的流量數(shù)據(jù)不可避免地要被多類終端或平臺消費，因此監(jiān)控數(shù)據(jù)須遵循開放標(biāo)準(zhǔn)，確保企業(yè)現(xiàn)有的分析工具可以無縫使用。

虛擬化在資源使用率、靈活性和彈性方面不如容器，容器在微服務(wù)、DevOps、分布式等方面天生具備優(yōu)勢，因此成為數(shù)據(jù)中心新一代云基礎(chǔ)架構(gòu)的選擇。Kubernetes憑借著其優(yōu)良的架構(gòu)，靈活的擴展能力，豐富的應(yīng)用編排模型，成為了容器編排領(lǐng)域的事實標(biāo)準(zhǔn)，也是企業(yè)進行容器云平臺建設(shè)的首選。

容器環(huán)境中的常見故障一般有三類。應(yīng)用類故障通常表現(xiàn)為應(yīng)用的執(zhí)行狀態(tài)和預(yù)期不符；容器故障通常表現(xiàn)為無法正確的創(chuàng)建、停止或更新容器；集群故障通常表現(xiàn)為不滿足一致性或無法連接。企業(yè)在容器環(huán)境部署及管理方案中，對于系統(tǒng)監(jiān)控報警功能會更多地關(guān)注Prometheus，并結(jié)合Grafana、Zabbix等開源工具以解決容器網(wǎng)絡(luò)監(jiān)控保障的難題，但所能獲取的指標(biāo)數(shù)據(jù)和展示維度相對有限，尤其是當(dāng)容器資源池規(guī)模繼續(xù)擴容后，上述工具的擴展性和部署問題將難以滿足深入的分析需求。以容器Host模式為例，通常每個節(jié)點運行100~200個Pod，獲取每個Pod的網(wǎng)絡(luò)流量并結(jié)合全網(wǎng)流量數(shù)據(jù)，實現(xiàn)秒粒度的查詢分析并不是一件容易的事。

云杉網(wǎng)絡(luò)多年以來專注云數(shù)據(jù)中心網(wǎng)絡(luò)的監(jiān)、管、控方案及SDN軟件產(chǎn)品的研發(fā)。主打產(chǎn)品DeepFlow基于高效的混合云流量全網(wǎng)采集和時序數(shù)據(jù)存儲檢索技術(shù)，為客戶提供混合云全網(wǎng)流量采集與分發(fā)解決方案和混合云網(wǎng)絡(luò)性能監(jiān)控診斷解決方案。在容器網(wǎng)絡(luò)環(huán)境中，應(yīng)用的水平擴展、網(wǎng)絡(luò)的可達性、配置管理、服務(wù)依賴、集群一致性等方面都存在技術(shù)難題，DeepFlow平臺通過對容器平臺（如Kubernetes）進行對接，主動學(xué)習(xí)容器環(huán)境中的相關(guān)信息，包括集群（Cluster）、節(jié)點（Node）、Pod、服務(wù)（Service）、Ingress等；采集器根據(jù)容器環(huán)境共有容器OnVM采集器、容器OnHost采集器兩種規(guī)格，滿足不同容器資源池內(nèi)的流量采集和過濾。在“業(yè)務(wù)畫像”功能中創(chuàng)建業(yè)務(wù)，并加入相關(guān)的資源組、歸類IP、功能服務(wù)、鏈路，描述業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)訪問路徑。采集器將資源池內(nèi)的流量按業(yè)務(wù)畫像梳理出來的規(guī)則過濾，實現(xiàn)業(yè)務(wù)應(yīng)用端到端訪問的網(wǎng)絡(luò)監(jiān)控與診斷。

針對容器中的重點業(yè)務(wù)應(yīng)用，需要將其納入監(jiān)控系統(tǒng)視圖進行持續(xù)關(guān)注；在網(wǎng)絡(luò)圖譜中，從區(qū)域、節(jié)點、Pod、IP等多個維度查詢展示容器業(yè)務(wù)；在整條業(yè)務(wù)路徑中，分段排查網(wǎng)絡(luò)狀態(tài)，快速縮小問題范圍，定位異常原因；回溯定位網(wǎng)絡(luò)流、數(shù)據(jù)包進行分析取證。

??DeepFlow平臺從以下角度對容器網(wǎng)絡(luò)監(jiān)控進行了創(chuàng)新：

首先，針對異構(gòu)資源池，構(gòu)建了統(tǒng)一的采集抽象層。DeepFlow支持主流容器廠商產(chǎn)品、Kubernetes、KVM、ESXi、公有云Workload、專屬服務(wù)器等環(huán)境，滿足企業(yè)一體化監(jiān)控平臺建設(shè)目標(biāo)。

其次，DeepFlow采用開放架構(gòu)設(shè)計，具備良好的可擴展性和兼容性；一套平臺可解決云上網(wǎng)絡(luò)性能監(jiān)控、基礎(chǔ)設(shè)施監(jiān)控、應(yīng)用性能監(jiān)控需求。有利于企業(yè)監(jiān)控體系數(shù)據(jù)標(biāo)準(zhǔn)化的實現(xiàn)。

第三，DeepFlow自主設(shè)計的可視化資源知識圖譜，能從十幾個維度動態(tài)關(guān)聯(lián)監(jiān)控數(shù)據(jù)的屬性，全景展現(xiàn)容器網(wǎng)絡(luò)的運行狀態(tài)。例如容器節(jié)點、命名空間、服務(wù)、Deployment、ReplicaSet、POD、區(qū)域、可用區(qū)、VPC、子網(wǎng)、IP等維度。

云杉網(wǎng)絡(luò)作為國內(nèi)最早的SDN創(chuàng)新企業(yè)，在業(yè)界率先實現(xiàn)了對容器網(wǎng)絡(luò)的監(jiān)控解決方案，并與領(lǐng)先的容器解決方案供應(yīng)商和業(yè)務(wù)應(yīng)用分析廠商達成合作，先后推出了企業(yè)上云聯(lián)合解決方案，滿足市場和客戶的需求。第四，DeepFlow基于云原生方式純軟件部署，監(jiān)控能力真正做到了隨云而動并最大限度降低了對生產(chǎn)環(huán)境的侵入性，自動跟隨機制確保了能完整監(jiān)控容器資源彈性部署時的情況。