Sdílet prostřednictvím

Přehled směrování hostitele eBPF (Preview)

Důležité

Funkce AKS ve verzi Preview jsou k dispozici na bázi samoobsluhy a dobrovolného přihlášení. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Předběžné verze AKS jsou částečně pokryty zákaznickou podporou podle možností. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:

Vzhledem k tomu, že kontejnerizované úlohy se škálují napříč distribuovanými prostředími, je potřeba vysoce výkonných sítí s nízkou latencí. Směrování hostitelů eBPF je funkce zaměřená na výkon v rámci služby ACNS (Advanced Container Networking Services), která využívá technologii rozšířeného filtru paketů Berkeley (eBPF) k optimalizaci toku provozu v clusterech Kubernetes. Starší směrování na hostitelích Kubernetes představuje režii ve formě zpracování pravidel iptables a netfilter v oboru názvů sítě hostitele. Směrování hostitele eBPF má oproti staršímu směrování hostitelů výhody:

  • Implementace logiky směrování v programech eBPF
  • Povolení Cilium eBPF obejít iptables v prostoru názvů hostitele.

Tato přímá cesta snižuje počet skoků a zpracovatelských vrstev, což vede k rychlejšímu doručování paketů.

Klíčové výhody

Nižší latence – Obejití iptables v hostiteli vede k nižší latenci mezi pody.

Zvýšená propustnost – ve srovnání se starším směrováním je možné pozorovat významná vylepšení provozu mezi pody na uzlech.

Snížené využití procesoru – v důsledku odstranění SNAT a směrovací logiky na bázi iptables došlo k mírnému snížení využití CPU.

Případy použití směrování hostitele eBPF jsou úlohy kritické pro výkon, jako jsou mikroslužby s vysokou propustností, služby v reálném čase nebo úlohy AI/ML. Před povolením se ujistěte, že prostředí nasazení splňuje požadavky.

Komponenty směrování hostitele eBPF

iptables blocker – Inicializační kontejner, který brání budoucí instalaci pravidel iptables v oboru názvů hostitelské sítě (tato pravidla budou vynechána, když je povolené směrování hostitele eBPF).

IP Masquerade Agent - Pokud je aktivní směrování hostitele eBPF, Cilium převezme SNAT pomocí maskování založeného na BPF. ip-masq-agent nadále běží, aby se zachovalo konzistentní chování, pokud je směrování hostitele eBPF později zakázáno; nicméně, když je aktivní směrování hostitele eBPF, pravidla iptables nejsou uplatněna.

Úvahy

  • Povolení směrování hostitele eBPF způsobí vynechání pravidel iptables v oboru názvů sítě hostitele. Proto se AKS pokusí zjistit a blokovat povolení směrování hostitele eBPF v clusterech, kde se v oboru názvů hostitelské sítě používají pravidla iptables.

  • V clusterech s povoleným směrováním hostitele eBPF blokuje AKS pokusy o instalaci pravidel iptables v oboru názvů hostitelské sítě. Pokus o obejití tohoto bloku může způsobit, že cluster nebude fungovat.

Omezení

  • Směrování hostitele eBPF je momentálně nekompatibilní s uzly s jinými operačními systémy než Ubuntu 24.04 nebo Azure Linux 3.0. Směrování hostitele eBPF se v současné době nepodporuje také u důvěrných virtuálních počítačů a sandboxu podů.

  • Směrování hostitele eBPF je možné povolit pouze pro všechny uzly v clusteru. Scénáře hybridních uzlů se nepodporují.

  • Windows uzly nejsou podporovány Azure CNI s využitím Cilium, a tím pádem ani směrováním hostitele pomocí eBPF.

  • Doplněk Istio se nedá použít společně s clustery s povoleným směrováním hostitele eBPF.

  • Síťová konfigurace typu dual stack není podporována.

Pricing

Důležité

Pokročilé služby kontejnerové sítě jsou placená nabídka. Další informace o cenách naleznete v tématu Advanced Container Networking Services – Ceny.

Další kroky

  • Last updated on