解读

国内金融、制造、零售等行业普遍采用“两地三中心”或“混合云+多活”架构，容器镜像需要在阿里云 ACK、腾讯云 TKE、华为云 CCE 乃至私有云 OpenStack 之间频繁迁移。传统 VPN 或专线方案在带宽利用率、链路可视化、策略动态下发方面已显不足，因此面试官把“SD-WAN”与“Docker QoS”放在一起，考察候选人能否把容器网络平面与广域网调度平面打通，在跨云场景下对业务流量做可感知的、可量化的质量保障，而不是简单回答“用 Calico 就行”。

知识点

1. 容器网络接口模型：Docker 默认 bridge、host、container 模式与 CNM 规范；跨云必须切换到支持 BGP 的 Calico 或支持 VXLAN 的 Flannel，并开启IPPool 的 NAT 出口映射。
2. Linux TC 与 eBPF：在容器 veth pair 的宿主机端注入tc BPF 程序，对 egress 流量打 802.1p、DSCP、MPLS EXP 标记；SD-WAN 边缘 CPE 识别标记后进入不同队列。
3. SD-WAN 策略框架：国内主流厂商如华为 iMaster NCE-WAN、新华三 AD-WAN、青云 QingCloud SD-WAN 均支持基于五元组 + DSCP 的应用级选路与动态带宽调整；需要把容器网段注册为 SD-WAN 的“应用网段”，并绑定 SLA 模板（丢包<0.1%，时延<30 ms，抖动<10 ms）。
4. CNI 链式调用：使用Multus 或CNI-Genie 将“macvlan + SR-IOV”作为第二网络平面，专门承载对 QoS 敏感的信令流；主平面继续跑 Calico，实现控制面与数据面分离。
5. 镜像与运行时加固：非 root 用户运行业务进程，read-only rootfs + tmpfs 挂载，防止恶意程序篡改 TC 规则；通过docker-slim 或dive 裁剪镜像，减少突发上传导致的带宽抢占。
6. 可观测性：在宿主机运行node-exporter + ebpf-exporter，采集容器级别 P95 时延、重传率；SD-WAN 控制器通过SNMP/telemetry 上报链路利用率；两套数据在夜莺或阿里云 SLS 做统一告警，当容器侧 RTT 与链路侧 RTT 差值>5 ms 即触发网络策略回滚。
7. 合规与等保：跨云流量必须走国密 SSL VPN 隧道或IPsec 国密套件；SD-WAN 控制器需通过工信部入网许可证，并在三级等保要求下留存 6 个月流量日志。

答案

整体思路是“容器侧做标记，SD-WAN 侧做调度，平台侧做观测”，分五步落地：

第一步，统一地址与路由。在阿里云 VPC 与华为云 VPC 之间通过 SD-WAN 建立 Full-Mesh 隧道，把容器 CIDR（如 10.244.0.0/16）宣告进 BGP，避免 NAT 二次封装带来的端口漂移。

第二步，容器出口打标。编写CNI 后置插件，在 sandbox 创建后、业务容器启动前，调用 tc qdisc add dev veth0 clsact 挂载 eBPF 程序；程序读取容器 label qos.ack/dscp=46，把 egress 流量打上 EF（Expedited Forwarding）标记；同时利用 iptables -t mangle 对 ingress 流量做反向标记，确保双向一致。

第三步，SD-WAN 策略映射。在控制器侧创建“容器-EF”应用组，匹配 DSCP=46，绑定低时延队列（LLQ），预留 20% 带宽、峰值 30%；对普通 Web 流量使用“容器-AF31”，带宽 50%、可抢占；对镜像仓库同步流量使用“容器-BE”，走成本最低的互联网链路，夜间 00:00-06:00 放行。

第四步，弹性伸缩与回退。利用HPA + KEDA 根据 SD-WAN 控制器暴露的链路利用率指标（自定义 metric sdwan_link_usage）动态扩容副本；当链路丢包>0.5% 持续 30 s，自动触发蓝绿回退，把流量切换至 MPLS 备线，并降低单容器带宽上限至 80% 额定值，防止拥塞加剧。

第五步，持续验证。在 CI 阶段使用 iperf3 + netperf 容器模拟 1000 并发，验证跨云 P99 时延<35 ms；在准生产环境注入 Chaos Mesh 网络故障（随机 3% 丢包），确保 SD-WAN 能在 5 s 内完成路径切换且业务容器无重启；上线后通过Prometheus Rule 持续巡检，若容器 TCP 重传率>1% 且 SD-WAN 链路无告警，则自动下发 docker network prune 清理可疑网络残留，实现自修复。

通过以上五步，可在不改动业务代码的前提下，把跨云容器流量纳入企业级 QoS 闭环，满足国内监管对可审计、可回溯、可降级的三项硬性要求。

拓展思考

1. 如果企业要求零信任，如何再把SD-WAN 控制器与OPA Gatekeeper 联动，实现“链路策略 + 容器准入”双维度授权？
2. 当容器使用Service Mesh（Istio） 时，sidecar 会加密 mTLS，导致 DSCP 标记被封装在内部，如何在 eBPF sockops 层提前打标，避免加密后标记失效？
3. 国内运营商 5G 切片已开放 URSP（UE Route Selection Policy） 接口，未来是否可以把边缘 K8s 节点的 Pod 流量直接映射到 5G 切片，实现“容器-基站-云”端到端 QoS？需要解决哪些GBA 认证与计费会话绑定问题？