Visão geral do roteamento de host do eBPF (versão prévia)

À medida que as cargas de trabalho em contêineres são dimensionadas entre ambientes distribuídos, a necessidade de rede de alto desempenho e baixa latência torna-se crítica. O Roteamento de Host do eBPF é um recurso com foco no desempenho nos Serviços Avançados de Rede de Contêiner (ACNS) que usa a tecnologia Filtro de Pacote de Berkeley (eBPF) estendida para otimizar o fluxo de tráfego nos clusters do Kubernetes. O roteamento herdado dos hosts Kubernetes introduz uma sobrecarga na forma de processamento de regras iptables e netfilter no namespace da rede do host. O Roteamento de Host do eBPF tem benefícios sobre o roteamento de host herdado:

• Implementando a lógica de roteamento em programas eBPF.
• Permitindo que o Cilium eBPF ignore iptables no namespace do host.

Esse caminho direto reduz o número de saltos e camadas de processamento, resultando em entrega de pacotes mais rápida.

Principais benefícios

Latência reduzida – Ignorando o uso de iptables no host resulta em menor latência entre pods.

Aumento da taxa de transferência - Em comparação com o roteamento herdado, podem ser observadas melhorias significativas no tráfego entre pods entre os nós.

Redução do uso da CPU – devido à remoção do SNAT baseado em iptables e à lógica de roteamento, uma redução modesta do uso da CPU

Casos de uso para roteamento de host eBPF são cargas de trabalho críticas ao desempenho, como microsserviços de alta taxa de transferência, serviços em tempo real ou cargas de trabalho de IA/ML. Verifique se o ambiente de implantação atende aos requisitos antes de habilitar.

Componentes do roteamento de host eBPF

iptables blocker - Um contêiner de inicialização que impede qualquer instalação futura de regras de iptables no namespace de rede do host (essas regras serão ignoradas quando o roteamento de host eBPF estiver habilitado).

IP Masquerade Agent - Quando o Roteamento de Host do eBPF está ativo, o Cilium assume as responsabilidades de SNAT usando o mascaramento baseado em BPF. ip-masq-agent permanecerá em execução para manter um comportamento consistente se o Roteamento de Host do eBPF estiver desabilitado posteriormente; no entanto, suas regras de iptables são ignoradas enquanto o Roteamento de Host do eBPF está ativo.

Considerações

• Habilitar o Roteamento do Host com eBPF leva a que as regras de iptables no namespace de rede do host sejam ignoradas. Portanto, o AKS tenta detectar e bloquear a habilitação do Roteamento de Host do eBPF nos clusters em que as regras de iptables estão em uso no namespace de rede do host.

• Em clusters com roteamento de host eBPF habilitado, o AKS bloqueia tentativas de instalar regras de iptables no namespace de rede do host. Tentar ignorar esse bloco pode fazer com que o cluster seja inoperal.

Limitações

• Atualmente, o roteamento de host do eBPF é incompatível com nós que executam OSes diferentes do Ubuntu 24.04 ou do Azure Linux 3.0. Atualmente, o roteamento de host com eBPF também não é compatível com VMs confidenciais e área restrita de pod.

• O Roteamento de Host do eBPF só pode ser habilitado para todos os nós em um cluster. Não há suporte para cenários de nó híbrido.

• Os nós do Windows não são compatíveis com a CNI do Azure baseado em Cilium e, por extensão, o roteamento de host do eBPF.

• O complemento Istio não pode ser utilizado em conjunto com clusters habilitados para Roteamento de Host eBPF.

• Não há suporte para rede de pilha dupla.

Pricing

Próximas etapas

• Saiba como habilitar o roteamento de host do eBPF no AKS.

• Para obter mais informações sobre os Serviços Avançados de Rede de Contêineres para o AKS (Serviço de Kubernetes do Azure), consulte O que são serviços avançados de rede de contêineres para o AKS (Serviço de Kubernetes do Azure)?.

• Explore os recursos de Observabilidade de Rede de Contêiner nos Serviços Avançados de Rede de Contêineres no que é a Observabilidade de Rede de Contêiner?.