Visão geral do roteamento de host eBPF (Pré-visualização)

À medida que as cargas de trabalho em contêineres são dimensionadas em ambientes distribuídos, a necessidade de redes de alto desempenho e baixa latência torna-se crítica. O Roteamento de Host eBPF é um recurso focado no desempenho do ACNS (Advanced Container Networking Services) que usa a tecnologia estendida eBPF (Berkeley Packet Filter) para otimizar o fluxo de tráfego em clusters Kubernetes. O roteamento legado em hosts Kubernetes introduz uma sobrecarga na forma de iptables e no processamento de regras netfilter no namespace de rede do host. O roteamento de hosts do eBPF tem benefícios em relação ao roteamento de hosts legado ao:

• Implementação da lógica de roteamento em programas eBPF.
• Habilitar o Cilium eBPF para contornar o iptables no namespace do host.

Esse caminho direto reduz o número de saltos e camadas de processamento, resultando em uma entrega de pacotes mais rápida.

Principais benefícios

Latência reduzida - Ignorando iptables no host resulta em diminuição da latência entre pods

Maior taxa de transferência - Em comparação com o roteamento legado, melhorias significativas podem ser observadas para o tráfego de pod-to-pod entre nós

Uso reduzido da CPU - Devido à remoção do SNAT baseado em iptables e da lógica de roteamento, uma redução modesta do uso da CPU

Os casos de uso do Roteamento de Host eBPF são cargas de trabalho críticas para o desempenho, como microsserviços de alta taxa de transferência, serviços em tempo real ou cargas de trabalho de IA/ML. Certifique-se de que o ambiente de implantação atenda aos requisitos antes de habilitar.

Componentes do roteamento de host eBPF

iptables blocker - Um contêiner init que impede qualquer instalação futura de regras iptables no namespace de rede host (tais regras serão ignoradas quando o roteamento de host eBPF estiver habilitado).

IP Masquerade Agent - Quando o eBPF Host Routing está ativo, a Cilium assume as responsabilidades do SNAT usando mascaramento baseado em BPF. ip-masq-agent permanece em execução para manter um comportamento consistente se o Roteamento de Host eBPF for desativado posteriormente; no entanto, suas regras iptables são ignoradas enquanto o roteamento de host eBPF está ativo.

Considerações

• A ativação do roteamento de anfitrião eBPF faz com que as regras do iptables no namespace da rede do anfitrião sejam ignoradas. Assim, o AKS tenta detetar e bloquear a ativação do eBPF Host Routing em clusters onde as regras iptables estão em uso no namespace da rede host.

• Em clusters com roteamento de host eBPF habilitado, o AKS bloqueia tentativas de instalar regras iptables no namespace de rede do host. Tentar ignorar esse bloco pode fazer com que o cluster fique inoperacional.

Limitações

• O roteamento de host eBPF é atualmente incompatível com nós que executam sistemas operacionais diferentes do Ubuntu 24.04 ou do Azure Linux 3.0. Atualmente, o roteamento de host eBPF também não é suportado com VMs confidenciais e Sandboxing de pod.

• O Roteamento de Host eBPF só pode ser habilitado para todos os nós em um cluster. Os cenários híbridos de nó não são suportados.

• Os nós do Windows não são suportados pelo Azure CNI Powered by Cilium e, por extensão, pelo Roteamento de Host eBPF.

• O complemento Istio não pode ser usado junto com clusters habilitados para Roteamento de Host eBPF.

• Não é suportada a rede com pilha dupla.

Pricing

Próximos passos

• Saiba como ativar o Roteamento de Host eBPF no AKS.

• Para obter mais informações sobre os Serviços Avançados de Rede de Contêiner para o Serviço Kubernetes do Azure (AKS), consulte O que é Serviços Avançados de Rede de Contêiner para o Serviço Kubernetes do Azure (AKS)?.

• Explore os recursos de Observabilidade de Rede de Contêiner em Serviços Avançados de Rede de Contêiner em O que é Observabilidade de Rede de Contêiner?.