[发明专利]一种基于网络命名空间管控的IP监控和回收系统与方法

说明书

本发明公开了一种基于网络命名空间管控的IP监控和回收系统与方法，系统包括IP分配管理服务器、IP分配管理代理器、多个容器组、容器引擎、集群API服务器、数据库，所述容器组与所述容器引擎创建连接实现数据交互，所述IP分配管理服务器分别与所述容器引擎、所述集群API服务器、所述数据库创建连接实现数据交互，所述IP分配管理代理器分别与所述容器引擎、所述集群API服务器创建连接进行监控与确认；能够通过网络命名空间的监控获取了容器和网络命名空间的对应关系，在容器删除后，可以监控数据回收已经不再使用的网络命名空间，保证被删除的容器组的IP是一定被释放的，不会异常泄露，以保证与后续分配的IP不会出现冲突的情况。

技术领域

本发明涉及基于Kubernetes的容器云平台的网络管理功能，具体涉及一种基于网络命名空间管控的IP 监控和回收系统与方法。

背景技术

容器云平台的网络是平台的基石，容器组 IP 地址管理是应用对外提供服务的基础，在运维管理过程中，IP的分配、管理、监控不仅仅关系到集群的对外服务，还涉及到安全审计等功能的实现；

在基于Kubernetes的容器云平台解决方案中，虽然Kubernetes拥有原生的MacVlan等 CNI 网络支持，也提供了默认的 IPAM 选项，例如：

DHCP（Dynamic Host Configuration Protocol 动态主机配置协议）：顾名思义就是动态分配的意思，无法指定分配，监控功能也是缺失的；

Host Local：可以为每个节点定制不同的网段，指定网段的起始和结束的 IP地址以及网关、子网、默认路由，并且支持 ipv4 和 ipv6。Host-local 会在配置的范围内，主机决定分配的 IP 地址，因为 host-local是本地静态配置，无法对可以动态飘移的应用进行IP分配，主机也不支持多 vlan 的场景，监控功能也是缺失的；

Ptp（point-to-point 点对点）：通过veth pair 网卡对的方式为容器和主机进行配置，仅支持子网网段配置。无法满足应用 IP 分配管理的功能。监控功能也是缺失的；

现有方案中， Kubernetes 的IP分配只管理到容器组 Pod 层面，而 Docker 负责具体的网络配置和 IP 回收，集群网络控制器关注于容器组的创建删除，这些创建和删除的操作都是由节点的 Docker守护进程完成的，而对于 Docker 的运行情况和异常情况处理，平台层面的网络控制器通常无法顾及到，而对于 Docker 来说，本地的容器启动删除事件会被上报，其他信息不会被节点的 kubelet 上报，诸如一些极端情况下，引发内存的OOM，导致出现意外 kill 容器的一些核心进程（ docker-containerd-shim， docker-containerd ），此时会导致网络NS残留；

因此容器实际的网络命名空间的创建删除情况，并不能即时并且完整的上报到网络控制器组件，这也是为什么网络控制器导致 IP 冲突的原因；IP 冲突问题在实际生产环境中也变得越来越常见，IP 使用情况的监控管理也会在规模扩大后陷入到维护成本极高的情景，其中最常见的问题就是容器组关闭 IP 回收不彻底的问题；

传统的 IP 分配和回收场景中，Kubernetes 控制器和网络管理控制器只会关注容器组的创建和删除，而实际容器的网络命名空间（NS）是 Docker 进行创建和管理的，两者的割裂也就带来了网络命名空间残留会导致集群的 IP 冲突风险，因此需要一种网络命名空间的管控机制，确保云平台的容器组的 IP 地址不发生冲突，使得应用可以稳定运行和确保平台安全可控。

发明内容