云原生前沿手札｜面向AKS的Azure CNI Powered by Cilium

第1卷

ChatGPT的走紅，宣告了人工智能從此必然作為生產(chǎn)力的補(bǔ)充進(jìn)入我們的日常生活。而面對云原生「新開發(fā)」時(shí)代，開發(fā)者們只有掌握使用更為智能的開發(fā)工具才能充分解放生產(chǎn)力，發(fā)揮創(chuàng)造力。Azure云科技推出「云原生前沿手札」專欄，由全球多位微軟專家執(zhí)筆親撰，講解微軟智能云Azure上那些神奇的開發(fā)黑科技，助力開發(fā)者事半功倍。

應(yīng)用容器化浪潮中，Kubernetes生產(chǎn)部署愈加關(guān)鍵——如開放世界類游戲大作中實(shí)現(xiàn)精細(xì)粒度的監(jiān)控和追跡，以及面向網(wǎng)絡(luò)安全剛需深化Kubernetes等定制力度，都需要無縫擴(kuò)展的高可靠平臺(tái)向數(shù)百萬容器提供網(wǎng)絡(luò)支持，同時(shí)平衡性能與可視化能力。

本期「云原生前沿手札」將為您介紹如何通過多重優(yōu)勢技術(shù)融合而成的Cilium支持的Azure容器網(wǎng)絡(luò)接口（CNI）滿足上述需求。

新版Azure CNI提供與Azure虛擬網(wǎng)絡(luò)堆棧集成的可擴(kuò)展、高靈活Pod聯(lián)網(wǎng)控制面的Azure CNI，同時(shí)提供基于eBPF的數(shù)據(jù)面，高效、便捷地支持Kubernetes聯(lián)網(wǎng)、安全和可觀察性的Cilium開源項(xiàng)目，能夠一站式滿足此類全局需求。

微軟Azure非常榮幸地在Azure Kubernetes服務(wù)中原生提供新一代網(wǎng)絡(luò)平臺(tái)，予力Pod網(wǎng)絡(luò)和Kubernetes網(wǎng)絡(luò)策略擁有更進(jìn)一步的拓展能力與性能。

Cilium eBPF創(chuàng)新效能

在Azure CNI更新中，具有顯著革新性的eBPF，能夠富有創(chuàng)意地將沙盒程序插入到Linux內(nèi)核中，從而刷新算力水平，強(qiáng)化系統(tǒng)流量處理能力。這一超高性能，可助力實(shí)現(xiàn)豐富的網(wǎng)絡(luò)、安全、可觀察性和應(yīng)用跟蹤用例。

基于eBPF技術(shù)搭載的Kubernetes新一代數(shù)據(jù)面，能夠應(yīng)用在Kubernetes服務(wù)的高性能數(shù)據(jù)路徑、高效率負(fù)載均衡、廣泛的網(wǎng)絡(luò)安全特性和豐富的監(jiān)控功能。除了傳統(tǒng)的Kubernetes網(wǎng)絡(luò)級安全，Cilium還能實(shí)現(xiàn)基于應(yīng)用協(xié)議情景、DNS FQDN和服務(wù)身份的安全。

Azure CNI功能模式

Azure CNI可在AKS中為Kubernetes Pod提供網(wǎng)絡(luò)配置，兼具以下兩種功能模式，可在創(chuàng)建AKS集群時(shí)進(jìn)行配置。

·VNET模式

Azure CNI從Vnet子網(wǎng)分配IP給Pod，讓Pod成為Vnet中的一等公民。Pod直接彼此互聯(lián)并連接VNET中和本地其他資源。用戶可選擇從不同于集群子網(wǎng)的單獨(dú)Pod子網(wǎng)動(dòng)態(tài)地分配IP地址給Pod，以此優(yōu)化空間利用，并為Pod配置單獨(dú)的Vnet政策。

·Overlay模式

僅將集群節(jié)點(diǎn)部署至VNET，Pod從專用地址空間分配IP地址，這種模式能顯著減少AKS集群消耗的Vnet IP地址數(shù)量，從而實(shí)現(xiàn)集群無限擴(kuò)展，大幅簡化IP地址規(guī)劃。同時(shí)也不用配置定制路由或?qū)od間連接使用封裝，提供與VNET內(nèi)虛擬機(jī)間連接同等的數(shù)據(jù)路徑性能。

新Azure CNI強(qiáng)悍何在？

在容器化集成方面，Cilium支持的Azure CNI能將可擴(kuò)展、高靈活的Azure IPAM控制面與Cilium OSS提供的高可靠數(shù)據(jù)面進(jìn)行完美集成，創(chuàng)建滿足云原生工作負(fù)載需求的現(xiàn)代容器網(wǎng)絡(luò)堆棧。

Cilium支持的Azure CNI能夠憑借下列優(yōu)勢，為未來的創(chuàng)新方案提供理想的平臺(tái)化支持：

·可縮放高性能網(wǎng)絡(luò)

支持Vnet/Overlay雙模式，Cilium可為Kubernetes提供基于插槽的負(fù)載均衡，替代KubeProxy中基于IPTable規(guī)則的低效負(fù)載均衡，提供同等于直連后端Pod的卓越數(shù)據(jù)路徑性能。

·Kubernetes網(wǎng)絡(luò)

Cilium支持的CNI內(nèi)建對基本的Kubernetes網(wǎng)絡(luò)政策的支持，而無需安裝單獨(dú)的解決方案。同時(shí)也不需要使用IPTable開展網(wǎng)絡(luò)篩選，能夠顯著提高縮放能力和性能。

Azure CNI Powered by Cilium架構(gòu)圖