Contrail Kubernetes 架构

在 witnessing 第2章和第3步中了解 Kubernetes 的主要概念后，将 Contrail 添加到标准 Kubernetes 部署中将带来哪些好处？

简言之，请参阅www.juniper.net上的 Contrail 产品页面，了解最新产品，Contrail 为多个环境（OpenStack、Kubernetes 等）和 enriches Kubernetes’网络和安全功能提供通用部署。

当涉及多个环境的部署时，容器是构建应用程序的当前趋势（而不是提及在 VM 中托管容器的嵌套方法）。但千万’不要指望每个人都从虚拟机迁移到速度快的容器。在公有云中添加工作负载、完全或部分运行，您可以看到网络和安全管理员的 misery，其中 Kubernetes 只是另一个要管理的东西。

许多组织中的管理员分别管理每个环境的各个编排器/经理。面向 VM、Kubernetes 或 Mesos for 容器、AWS 控制台的 OpenStack 或 VMware NSX。WContrail 通过为任何云、任何工作负载、任何部署提供动态端到端网络策略和控制，缓解了这一 misery。

从单个用户界面 Contrail 将抽象工作流转换为特定策略，并简化跨所有环境的虚拟叠加连接编排。其方法是构建并保护虚拟网络，连接位于私有或公有云中的 BMS、虚拟机和容器。

您可以将 Kubernetes 部署到在 OpenStack 和其他公司编排的虚拟机中启动其盒，但本章仅关注 Kubernetes。此处讨论的许多功能均可在其他环境中扩展，但 Contrail 只是 enriches 标准 Kubernetes 部署。

即使 Kubernetes 不提供网络，它也会强加到所有 CNI （容器网络接口）提供商的基本要求，并由所有的Juniper Contrail 是 CNI 提供商之一。请参阅：https://kubernetes.io/docs/concepts/cluster-administration/networking/了解更多信息。

Kubernetes 对其网络实施有一些明确定义的要求：

无需 NAT，节点上的箱即可与所有节点上的所有盒通信。
节点上的代理（例如系统守护程序、kubelet）可以与该节点上的所有箱通信，
节点的主机网络中的盒可在不 NAT 的情况下与所有节点上的所有盒通信。

Kubernetes 提供与集群中的某些安全功能的平面网络连接，但在此基础上，Contrail 可以提供：

命名空间和服务针对 segmentations 和多租户的自定义 isolations
分布式负载平衡和防火墙，具有广泛的集中式流量和日志洞察力，
丰富的安全策略使用可扩展到其他环境（开放堆栈、VMWare、BMS、AWS 等）的标记，以及
服务链。

本章介绍其中的部分功能，但首先让我们’讨论 Contrail 架构和对象映射。

Contrail Kube-经理

添加了一个新的 Contrail 模块，称为 contrail-kube-manager，缩写为 KM。它会监视 Kubernetes API 服务器是否有兴趣 Kubernetes 资源，并将其转换为 Contrail 控制器对象。Figure 1说明了基本工作流程。

Contrail 对象映射的 Kubernetes

从我们了解和喜欢的常规 Contrail 来看，这不是一种变化，但’在幕后会发生很多事情。请注意，处理 Kubernetes/Contrail 都是关于对象映射的。这’是因为 Contrail 是管理多个环境的单一界面，每个环境都有自己的缩写词和术语，因此需要此映射，这是由插件完成的。在 Kubernetes 中， contrail-kube-manager这样做。

Note

Juniper Contrail 拥有每个环境/控制器的特定插件。要了解更多信息并获得最新版本信息，请访问 Juniper Contrail https://www.juniper.net/us/en/products-services/sdn/contrail/。

例如，Kubernetes 中的命名空间旨在用于在多个团队或项目之间分段，就像创建虚拟群集一样。在 Contrail 类似的概念称为project ，因此在 Kubernetes 中创建命名空间时，它将在 Contrail 中自动创建等效项目。我们将更详细地介绍，但现在 familiarizing 您自己，Figure 2中显示的对象列表将帮助您了解架构。