CNCF спонсировал этот пост.
Kubernetes стал стандартом де-факто для оркестровки контейнеров, что позволило командам всех размеров развертывать, масштабировать и управлять приложениями на основе микросервисов. Несмотря на огромную гибкость, настройки по умолчанию могут стать препятствием, поскольку кластеры растут, а рабочие нагрузки становятся более требовательными.
Одним из главных примеров является Kube-Proxy, который обрабатывает сетевой трафик, полагаясь на обширное управление правилами. Давайте рассмотрим, почему полагаться на Kube-Proxy может затруднить производительность и усложнять операции, и как Cilium, единственный градуированный интерфейс контейнерной сети (CNI) в CNCF, может облегчить эти проблемы.
Почему конфигурации по умолчанию могут ограничивать
Kubernetes по своей сути модульная. Этот дизайн подключаемой игры способствует динамической экосистеме: команды могут выбрать предпочтительный сетевой интерфейс контейнеров (CNI), контроллеры входа или механизмы ведения журнала. Хотя эта модульность является силой, она также добавляет сложность.
По словам недавнего понимания технического журналиста Билла Доерфельда, сам Kubernetes продолжает становиться все более сложным, делая настройки по умолчанию менее эффективными для организаций, подталкивающих платформу в свои пределы. Хотя Kubernetes превосходит автоматизацию многих задач, связанных с контейнерами, потребности производительности и безопасности часто превышают то, что предоставляют его компоненты. К счастью, активное сообщество продолжает темп за счет вкладов с открытым исходным кодом и выделенных проектов, обеспечивающих развитие Kubernetes для удовлетворения реальных производственных требований.
Введите Cilium, третий наиболее активный проект в CNCF (позади Kubernetes и Opentelemetry). Cilium, построенный на EBPF, приносит современные сетевые возможности, которые напрямую касаются многих болезни масштабирования и производительности.
Понимание проблем Kube-Proxy
В Kubernetes подход по умолчанию к сетевому трафику-Kube-Proxy, который обычно опирается на правила IPTables или IP-виртуального сервера (IPVS) для маршрутизации запросов на услуги. Эта абстракция хорошо работает для небольших кластеров, экономя вас от ручного управления каждым IP и портом, но становится громоздким, когда вы масштабируете до десятков или сотен узлов и тысяч стручков. По мере того, как наборы правил растут в геометрической прогрессии, сложность, задержка и эксплуатационные накладные расходы могут быстро установить.
Производительные накладные расходы
Управляя огромным количеством правил пересылки, Kube-Proxy вводит слои перевода для каждого соединения. Несмотря на то, что поначалу эта накладные расходы минимальны, быстро растет с размером кластера, часто увеличивая задержку и рискованные падения соединения.
Операционная сложность
Обновление и отладка IPTables или правил IPVS в производстве редко бывают простой. Каждая новая или удаленная служба добавляет больше правил, которые должны постоянно поддерживать. В командах, которые разжигают код несколько раз в день, этот отток быстро снимает фокус разработчика, переводя его с работы на функции на обновления правил пожаротушения и икоры подключения.
Ограничения на балансировку нагрузки
Kube-Proxy полагается на правила для балансировки нагрузки, которые могут быть менее эффективными, чем прямые методы на основе ккнеля или EBPF. Постоянное добавление или удаление стручков заставляет каждый узел восстанавливать обширные наборы правил, создавая узкие места в качестве масштабов кластеров.
Введите Cilium: путь на основе EBPF к лучшему сетевому взаимодействию
Цилий с открытым исходным кодом специально разработан для обработки современной облачной нативной среды в масштабе. Используя EBPF, он может запускать пользовательские сетевые функции, безопасность и наблюдения, непосредственно в ядре Linux — обходить сложность и накладные расходы внешних прокси или массивных наборов правил.
- Эффективность: Пути данных на основе EBPF уменьшают задержку и улучшают пропускную способность, обрабатывая пакеты в ядре.
- Безопасность и наблюдение: Глубокая интеграция Cilium с EBPF позволяет расширенную политику безопасности, информацию о трафике в реальном времени и способность анализировать сетевые потоки на гранулярном уровне.
- Сообщество: Как проект, разработанный CNCF, Cilium имеет широкую базу пользователей и активные участники, обеспечивая долгосрочную стабильность и инновации.
Истории успеха с ресничками
От потоковых платформ до финансовых услуг, организации по всему миру обнаружили ощутимые выгоды, приняв ресничку в производстве. Изучите варианты использования производства из тематических исследований клиентов CNCF, демонстрируя, как сетевые сетевые среды на основе EBPF преобразуют среды Kubernetes.
Следуя кубе БЕСПЛАТНО
Как ресничка устраняет кубе-прокси
Одной из выдающихся особенностей Cilium является его режим «замены Kube-Proxy». Вместо того, чтобы наложите правила iptables на каждом узле, Cilium использует EBPF для загрузки трафика баланса гораздо более эффективным образом. Обнаружение и маршрутизацию обслуживания проводятся динамически внутри ядра, что удаляет дополнительный хмель, который может заглушить трафик.
Прирост производительности и упрощение
Сняв Kube-Proxy с пути, вы уменьшаете количество движущихся частей. Это упрощение приводит к улучшению пропускной способности, задержки и использования ЦП на узлах кластера. Поскольку балансировка нагрузки на основе EBPF не зависит от постоянного управления тысячами правил, ваш сетевой стек более отзывчив-особенно в кластерах, где новые услуги приходят и уходят в быстрый клип.
Пособия по безопасности и наблюдаемости
Менее обсуждаемым, но одинаково критическим преимуществом является повышение безопасности и наблюдаемости. EBPF позволяет вам вставить логику непосредственно в сетевой стек ядра, предоставляя вам большую видимость в потоки данных, чем типичные решения L3/L4. Это может привести к более всестороннему обеспечению соблюдения сетевых политик, реализации гранулярной микросегментации, а также способности запечатлеть подробные показатели для отладки или анализа производительности.
Заключение и следующие шаги
Kubernetes разработан, чтобы быть открытым, мощным и расширяемым. Однако та же самая гибкость может привести к чрезмерной зависимости от компонентов по умолчанию, которые могут не служить вам в долгосрочной перспективе. Kube-Proxy является ярким примером: отлично подходит для меньших сред, но быстро перерос в крупномасштабных, быстро меняющихся кластерах.
Подход Cilium на основе EBPF предлагает беспроблемный путь к тому, чтобы в целом отбросить Kube-Proxy и разблокировать более мощные, эффективные и надежные сетевые взаимодействия. Запустив функциональность непосредственно в ядре, EBPF устраняет тяжелые накладные расходы на основе правил, ускоряет трафик и обеспечивает более глубокую видимость. Cilium продемонстрировал зрелость, поддержку сообщества и производительность, чтобы стать фактическим стандартом для облачных нативных сетей.
Готовы узнать больше? Ознакомьтесь с официальной документацией по ресничестве или каналам ресничек, чтобы получить реальные советы от других пользователей и сопровождающих. Независимо от того, используете ли вы несколько узлов или оркестры массовых развертываний с мультикозом, выход Kube-Proxy Free с Cilium может быть просто следующим скачком в вашем путешествии Kubernetes.
Чтобы узнать больше о Kubernetes и Облачной нативной экосистеме, присоединяйтесь к нам в Kubecon + CloudNativecon Europe в Лондоне 1-4 апреля.
Облачный фонд Cloud Computing Foundation (CNCF) проводит критические компоненты глобальной технологической инфраструктуры, включая Kubernetes, Prometheus и Angoy. CNCF является нейтральным домом для сотрудничества, объединяющий ведущих разработчиков отрасли, конечных пользователей и поставщиков. Узнайте больше последних из CNCF Trending Stories YouTube.com/ThenewStack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дин Льюис является старшим инженером по техническому маркетингу в Isovalent, компании, стоящей за Cloud Solution Cloud Cloud Cloud Cilium. Дин имеет разнообразный опыт работы в различных технологических областях, от поддержки до операций до архитектурного дизайна и доставки в … Подробнее от Dean Lewis
