Översikt över eBPF Host Dirigering (Förhandsversion)

När containerbaserade arbetsbelastningar skalas över distribuerade miljöer blir behovet av nätverk med höga prestanda och låg svarstid kritiskt. eBPF-värddirigering är en prestandafokuserad funktion i ACNS (Advanced Container Networking Services) som använder utökad Berkeley Packet Filter-teknik (eBPF) för att optimera trafikflödet i Kubernetes-kluster. Äldre routning på Kubernetes-värdar medför kostnader i form av iptables och netfilterregelbearbetning i värdnätverkets namnområde. eBPF-värdroutning har fördelar jämfört med äldre värddirigering genom att:

• Implementera routningslogik i eBPF-program.
• Tillåter Cilium att fatta routningsbeslut utan att anropa iptables eller värdstacken.

Den här direkta sökvägen minskar antalet hopp och bearbetningslager, vilket resulterar i snabbare paketleverans.

Viktiga fördelar

Kortare svarstid – Genom att kringgå iptables i värden resulterar det i lägre svarstid från podd till podd

Ökat dataflöde – Jämfört med äldre routning kan betydande förbättringar observeras för podd-till-podd-trafik mellan noder

Minskad CPU-användning – På grund av borttagning av iptables-baserad SNAT och routningslogik, en blygsam minskning av CPU-användningen

Användningsfall för eBPF Host Routing inkluderar prestandakritiska arbetsbelastningar såsom mikrotjänster med högt dataflöde, realtidstjänster eller AI/ML-baserade arbetsbelastningar. Se till att distributionsmiljön uppfyller kraven innan du aktiverar.

Komponenter i eBPF-värdroutning

iptables blocker – En init-container som förhindrar framtida installation av iptables-regler i värdnätverkets namnområde (sådana regler kringgås när eBPF-värddirigering är aktiverat).

IP Masquerade Agent – När eBPF-värddirigering är aktiv tar Cilium över SNAT-ansvar med bpf-baserad maskering, vilket gör ip-masq-agent tekniskt redundant. Den här agenten körs fortfarande för att upprätthålla konsekvent beteende om eBPF-värddirigering senare inaktiveras. Dess iptables-regler ignoreras dock medan eBPF-värddirigering är aktiv.

Överväganden

• Om du aktiverar eBPF-värddirigering kringgås iptables-regler i värdnätverkets namnområde. Därför försöker AKS identifiera och blockera aktivering av eBPF-värddirigering i kluster där iptables-regler används i värdnätverkets namnområde.

• I kluster med eBPF-värddirigering aktiverat blockerar AKS försök att installera iptables-regler i värdnätverkets namnområde. Om du försöker kringgå det här blocket kan klustret vara inoperationellt.

Begränsningar

• eBPF-värddirigering är för närvarande inte kompatibelt med noder som kör andra operativsystem än Ubuntu 24.04 eller Azure Linux 3.0. eBPF-värddirigering stöds för närvarande inte heller med konfidentiella virtuella datorer och poddsandning

• eBPF-värddirigering kan endast aktiveras för hela nodklustret. Hybridnodscenarier stöds inte.

• Windows-noder stöds inte av Azure CNI som drivs av Cilium, och därmed inte heller av eBPF-värddirigering.

• Istio-tillägget kan inte användas tillsammans med kluster där eBPF-värddirigering är aktiverad.

• Nätverk med dubbla staplar stöds inte.

Pricing

Nästa steg

• Lär dig hur du aktiverar eBPF-värddirigering i AKS.

• Mer information om Advanced Container Networking Services för Azure Kubernetes Service (AKS) finns i Vad är Advanced Container Networking Services för Azure Kubernetes Service (AKS)?.

• Utforska funktioner för containernätverksobservabilitet i Advanced Container Networking Services i Vad är containernätverksobservabilitet?.