Kuryr一詞來自捷克語，意思是“信使”。在OpenStack的大家庭里，Kuryr正在嘗試做一項具有重大意義的工作，即把容器和Docker網(wǎng)絡(luò)加入到Neutron解決方案和網(wǎng)絡(luò)服務(wù)的使用中，從而彌補其中現(xiàn)存的差距。

Kuryr正在嘗試解決什么問題?

OpenStack和Neutron已經(jīng)不再是新的東西。目前Neutron已經(jīng)成熟，它們正在nova-network上的OpenStack部署中流行起來，并且有著非常豐富的插件與驅(qū)動生態(tài)系統(tǒng)，可以提供網(wǎng)絡(luò)解決方案和服務(wù)(例如負(fù)載平衡即服務(wù)LBaaS、虛擬私有網(wǎng)絡(luò)即服務(wù)VPNaaS，以及防火墻即服務(wù)FWaaS)。云部署者可以對Neutron抽象層組件進(jìn)行互換。

在容器網(wǎng)絡(luò)和容器與OpenStack混合的環(huán)境中，我們已經(jīng)注意到每個網(wǎng)絡(luò)解決方案都試著進(jìn)行改造，以便讓網(wǎng)絡(luò)能夠適應(yīng)容器，但是這次涉及的是Docker API(或者其他抽象層)。例如，OpenStack Magnum項目已經(jīng)根據(jù)所使用的容器編排引擎(Container OrchestrationEngine，簡稱為COE)為不同的libnetwork驅(qū)動引入了一個抽象層。如果Kuryr能夠成為Magnum COE的默認(rèn)選項，那么這將是最理想的情況。

Kuryr背后的理念是能夠利用抽象層、Neutron及其插件與服務(wù)中的所有工作，為容器應(yīng)用案例提供一個生產(chǎn)級的網(wǎng)絡(luò)。與試圖解決這一問題的每個獨立的Neutron插件或解決方案不同，我們可以集聚所有力量，并將這些力量聚焦在Kuryr這一個點之上。

Kuryr旨在成為一座連接Docker和Neutron兩個社區(qū)的“整合橋梁”，將Neutron(或Docker)中的建議與實際變化結(jié)合在一起，讓它們能夠滿足容器網(wǎng)絡(luò)所需的使用案例。

值得注意的是，Kuryr本身并不是一個網(wǎng)絡(luò)解決方案，同時它也沒有嘗試成為一個網(wǎng)絡(luò)解決方案。Kuryr將重點放在了“信使”功能上，以向Docker 傳遞Neutron網(wǎng)絡(luò)和服務(wù)。

Kuryr的架構(gòu)

Kuryr的組件很少，其中部分組件已經(jīng)處于工作流程當(dāng)中，另有一部分組件正處于討論和設(shè)計過程中。

將Docker libnetwork映射至Neutron API

下列示意圖展示的是Kuryr架構(gòu)的基本概念，其在Docker和libnetwork網(wǎng)絡(luò)模式之間向Neutron API進(jìn)行映射。

Kuryr映射了libnetwork API，并在Neutron中創(chuàng)建了一個適當(dāng)?shù)膶ο?。這意味著每個執(zhí)行NeutronAPI的解決方案都能夠被用于容器網(wǎng)絡(luò)。Neutron的所有附加功能都可以應(yīng)用至容器端口，例如安全群組、NAT服務(wù)和浮動IP的端口處。

不過，Kuryr的潛力并不止步于核心API和基本的擴展，它還能夠利用網(wǎng)絡(luò)服務(wù)和LBaaS等功能，從而為執(zhí)行Kubernetes服務(wù)提供抽象層。

當(dāng)API的映射并不明顯，或是所需驅(qū)動在Neutron社區(qū)中發(fā)生了變化時，Kuryr還可以用于彌補這些問題。最近的一個例子是，除了Neutron資源外的標(biāo)簽允許Kuryr這樣的API客戶端存儲映射數(shù)據(jù)和端口轉(zhuǎn)發(fā)，并且可以提供Docker類型的端口(當(dāng)然，所有的這些仍處于評估和批準(zhǔn)流程中)。

提供通用的VIF-Binding基礎(chǔ)設(shè)施

希望支持容器網(wǎng)絡(luò)的Neutron解決方案中存在的一個常見問題是，在這些環(huán)境中缺乏綁定了nova端口的基礎(chǔ)設(shè)施，以及沒有l(wèi)ibvirt的支持

。Kuryr嘗試著為不同類型的端口提供一個通用的VIF綁定機制，讓它們能夠從Docker那里接收命名空間端點，并根據(jù)它們的類型將其附加在網(wǎng)絡(luò)解決方案基礎(chǔ)設(shè)施中。

VIF綁定也是運行內(nèi)嵌在VM產(chǎn)品內(nèi)部的容器所需要的。我們會在隨后內(nèi)容中進(jìn)行詳細(xì)敘述。這些VM產(chǎn)品沒有被nova直接管理，因此也不需要在內(nèi)部有任何OpenStack代理，這意味著需要一些機制執(zhí)行VIF綁定，其可通過本地Docker遠(yuǎn)程驅(qū)動調(diào)用Kuryr層的方式啟動(目前這部分也仍在討論當(dāng)中)。

下圖展示了VIF綁定與Kuryr的關(guān)系：

提供Neutron插件的容器化鏡像和與Kolla的整合

Kuryr旨在提供不同Neutron插件的容器化鏡像，并有望與Kolla程序整合在一起。如果不清楚OpenStack Kolla項目的內(nèi)容可以訪問https://wiki.openstack.org/wiki/Kolla。

這意味著我們有許多如OVS L2 Agent、Midonet和帶來有Kuryr 層的OVN的不同Neutron插件的鏡像。Kolla整合可以讓部署變得更加容易，運營者希望既不喪失對內(nèi)部服務(wù)的控制權(quán)，也不損害可配置性。

嵌入式的VM和Magnum使用案例

Kuryr致力于解決的另一個使用案例是，以一種通用方案在由用戶自己的OpenStack所生成的VM上部署容器。這種部署方案為容器部署提供了一個額外的層，用戶需要將自己的容器從Nova Compute機器中分離出來。

這種使用案例也被OpenStack Magnum所使用。Magnum是OpenStack容器團(tuán)隊通過容器編排引擎所開發(fā)出來的OpenStack API服務(wù)。它使得在OpenStack中，Docker和Kubernetes可作為一類資源使用。

目前，Neutron插件已經(jīng)支持這類使用案例，其提供一種將嵌入式容器附加至不同邏輯網(wǎng)絡(luò)中、而不是VM網(wǎng)絡(luò)中的好辦法，并且可以將Neutron功能應(yīng)用其中，例如OVN。

Kuryr的目的是提供一個組件，以支持類似定義neutron端口和為其附加子端口的解決方案。通過Kuryr，OVN和MidoNet等Neutron廠商可以利用通用基礎(chǔ)設(shè)施與Docker進(jìn)行交互，讓他們一直聚焦在執(zhí)行Neutron API和推動網(wǎng)絡(luò)發(fā)展方面。