Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Les fonctionnalités d’évaluation AKS sont disponibles en libre-service et font l’objet d’un abonnement. Les versions d'essai sont fournies « en l’état » et « selon disponibilité », et elles sont exclues des contrats de niveau de service et de la garantie limitée. Les versions préliminaires AKS sont, dans la mesure du possible, partiellement couvertes par le service clientèle. Par conséquent, ces fonctionnalités ne sont pas destinées à une utilisation en production. Pour plus d’informations, consultez les articles de support suivants :
À mesure que les charges de travail conteneurisées sont mises à l’échelle dans les environnements distribués, la nécessité d’une mise en réseau hautes performances et à faible latence devient essentielle. Le routage d’hôte eBPF est une fonctionnalité axée sur les performances dans Advanced Container Networking Services (ACNS) qui utilise la technologie eBPF (Extended Berkeley Packet Filter) pour optimiser le flux de trafic dans les clusters Kubernetes. Le routage hérité sur les hôtes Kubernetes introduit une surcharge sous la forme d’iptables et de traitement de règles netfilter dans l’espace de noms du réseau hôte. Le routage d’hôte eBPF présente des avantages par rapport au routage d’hôte hérité par :
- Implémentation de la logique de routage dans les programmes eBPF.
- Autoriser Cilium eBPF à contourner les iptables dans l’espace de noms de l’hôte.
Ce chemin direct réduit le nombre de tronçons et de couches de traitement, ce qui entraîne une livraison de paquets plus rapide.
Principaux avantages
Latence réduite : le contournement des iptables dans l’hôte entraîne une latence de pod à pod inférieure
Augmentation du débit - Par rapport au routage hérité, des améliorations significatives peuvent être observées pour le trafic pod-à-pod entre les nœuds
Réduction de l’utilisation du processeur - En raison de la suppression de la logique SNAT et de routage basée sur iptables, une réduction modeste de l’utilisation du processeur
Les cas d’usage pour le routage d’hôte eBPF sont des charges de travail critiques en matière de performances, telles que des microservices à débit élevé, des services en temps réel ou des charges de travail IA/ML. Vérifiez que l’environnement de déploiement répond aux exigences avant d’activer.
Composants du routage d’hôte eBPF
iptables blocker - Conteneur init qui empêche toute installation ultérieure des règles iptables dans l’espace de noms du réseau hôte (ces règles seront ignorées lorsque le routage de l’hôte eBPF est activé).
IP Masquerade Agent - Lorsque le routage d’hôte eBPF est actif, Cilium prend en charge les responsabilités SNAT à l’aide du masquage basé sur BPF.
ip-masq-agent reste en cours d’exécution pour maintenir un comportement cohérent si le routage de l’hôte eBPF est désactivé ultérieurement ; Toutefois, ses règles iptables sont ignorées pendant que le routage d’hôte eBPF est actif.
Considérations
L’activation du routage de l’hôte eBPF entraîne le contournement des règles iptables dans l’espace de noms du réseau hôte. Par conséquent, AKS tente de détecter et de bloquer l’activation du routage d’hôte eBPF sur les clusters où les règles iptables sont utilisées dans l’espace de noms du réseau hôte.
Sur les clusters avec le routage de l’hôte eBPF activé, AKS bloque les tentatives d’installation des règles iptables dans l’espace de noms du réseau hôte. Essayer de contourner ce bloc peut entraîner l’inopération du cluster.
Limites
Le routage de l’hôte eBPF est actuellement incompatible avec les nœuds exécutant des systèmes d’exploitation autres que Ubuntu 24.04 ou Azure Linux 3.0. Désolé, le routage hôte eBPF n’est actuellement pas pris en charge avec les machines virtuelles confidentielles et le sandboxing de pods.
Le routage d’hôte eBPF ne peut être activé que pour tous les nœuds d’un cluster. Les scénarios de nœud hybride ne sont pas pris en charge.
Les nœuds Windows ne sont pas pris en charge par Azure CNI avec Cilium et, par conséquent, par le routage d’hôte eBPF.
Le module complémentaire Istio ne peut pas être utilisé avec les clusters eBPF Host Routing activés.
La mise en réseau double pile n’est pas prise en charge.
Pricing
Important
Services avancés de mise en réseau de conteneurs est une offre payante. Pour plus d’informations sur la tarification, consultez Tarification des services avancés de mise en réseau de conteneurs.
Étapes suivantes
Découvrez comment activer le routage d’hôte eBPF sur AKS.
Pour plus d’informations sur les services avancés de mise en réseau de conteneurs pour Azure Kubernetes Service (AKS), consultez Que sont les services avancés de mise en réseau de conteneurs pour Azure Kubernetes Service (AKS) ?.
Explorez les fonctionnalités d’observabilité du réseau de conteneurs dans Advanced Container Networking Services dans Qu’est-ce que l’observabilité du réseau de conteneurs ?.