凌橋クラウド 劉孟馨: Kubernetes ネットワーク改善に関する 3 つの実践的な共有

[51CTO.comより引用] 51CTO主催のWOTグローバルソフトウェアおよび運用技術サミットが5月18日から19日まで北京JWマリオットホテルで盛大に開催されました。この会議には、国内外から約100名の第一線の技術専門家と革新的な先駆者が集まり、ソフトウェアと運用・保守の分野における技術的な乾杯と実践的な経験の共有の饗宴が開かれました。

5月19日午後のオープンソースおよびコンテナ技術フォーラムで、Lingqiao Cloud Kubernetes専門家のLiu Mengxin氏が「Kubernetesネットワークがさらに一歩前進」と題した基調講演を行いました。

Liu Mengxin 氏の講演は、Kubernetes ネットワーク モデル、Kubernetes ネットワーク モデルの問題、ネットワークの改善という 3 つの部分から構成されました。彼は、Kubernetes ネットワーク モデルには機能性、パフォーマンス、安定性の面でいくつかの問題があると述べました。 Lingqiao Cloud は、固定 IP、IP 仮想サーバー (IP Virtual Server、略称 IPVS)、および自社開発の Ingress を通じてこれを改善しました。

[[230514]]

Lingqiao Cloud Kubernetes ハッカーの専門家 Liu Mengxin

自社開発のCNI IPAMプラグインがK8sの機能問題を解決

まず、機能面では、Kubernetes ネットワーク モデルは IP が固定されていないため、IP リソースのきめ細かい制御ができず、IP ベースの監視や IP ベースのセキュリティ ポリシーを使用することができません。さらに、一部の IP 検出サービスは導入が難しく、運用および保守担当者の難易度が大幅に高まります。たとえば、IP は固定されていないため、固定 IP を使用する従来の監視および監査メカニズムの多くはまったく効果がありません。また、多くのソフトウェアは MAC アドレスによって認証されます。 IPアドレスが固定されていない場合は認証を購入することができません。特定のシナリオでは、固定 IP の需要が客観的に存在します。

この問題を解決するために、Lingque Cloud は IP を重要なリソースとして扱い、個別に管理します。 Lingqiao Cloud が開発した CNI IPAM プラグインは、IP インポートおよび IP 権限管理機能を実装し、ネットワーク セグメントの追加と削除が可能で、Kubernetes でネットワーク セグメントのきめ細かい構成を実行できます。たとえば、特定の企業または複数のユーザーにゲートウェイを割り当てるには、まず IP のゲートウェイ、ルーティング、および DNS 設定をセットアップします。ネットワーク セグメントを作成した後、IP を追加または削除し、管理者は使用可能な IP を指定して、アクセス許可と割り当てを設定した後にサービスを正常に作成できます。

IPVSはK8Sの大規模トラフィックにおける線形パフォーマンス低下の問題を解決します

次に、パフォーマンスの面ですが、Kubernetes はもともと Iptables をベースにしていたため、Iptables には増分更新機能がありません。ルールを更新するには完全なフラッシュが必要であり、これには長い時間がかかります。この期間中、交通はさまざまな程度で影響を受けることになります。 Iptables ルールはシリアルであり、Kubernetes が単一のマシン上に多数のルールを持つことは想定されていません。トラフィックはすべてのルールに一致してから転送される必要があります。そうしないと、多くの時間、CPN、メモリが消費され、特に大規模な状況ではパフォーマンスへの影響が非常に顕著になります。

Liu Mengxin 氏は、Kubernetes をバージョン 1.8 または 1.9 にアップグレードすると、インストール時に IPVS モードを選択できるようになることを紹介しました。これは Iptables の代替品です。 IPVS モードでのルールの追加は増分的に行われます。完全な更新やシリアルの一致は強制されません。ハッシュ マップ マッピングに特定のルールを使用し、対応するルールにすばやくマップします。大規模な状況でもパフォーマンスが線形に低下することはありません。現在、IPVS は Kubernetes コミュニティではまだ試験段階にあります。劉孟馨氏は、Lingque CloudがIPVS機能の試験運用を開始したと述べた。使用状況から判断すると、パフォーマンスは非常に安定しており、このソリューションがすぐにユーザーに普及することが期待されます。

自社開発の OpenResty Ingress が K8S の安定性の問題を解決

***、安定性の面では、Kubernetes ネットワークにヘルスチェック機能が欠けており、NodePort が Pod への直接アクセスをブロックし、上位層のヘルスチェックが失敗し、ネットワークパーティションやネットワークの問題による転送異常が頻繁に発生します。

Lingqiao Cloud は自社開発の OpenResty Ingress を採用しており、新機能の追加に便利で、複数のポートを監視できます。公式の Nginx Ingress ではポート 80 と 43 のみを監視できますが、ポートによって区別されるサービスなど、より多くのポートを監視したいと考えています。 Lingqiao Cloud はこれにいくつかの変更を加え、自社開発の Ingress はマルチポート機能をサポートしています。さらに、オリジナルの Ingress では変換関数が少なく、構成が複雑なため、Nginx 構成を頻繁に変更する必要があります。リロードの場合、Lingqiao Cloud は OpenResty を使用して Lua コード ライブラリを実装し、Lua コードでトラフィック スケジューリングを実行し、特定の DSL トラフィック スケジューリング言語を設定します。シンプルなプログラム コードを通じて特定のトラフィック ルールを実装でき、Ingress トラフィック ルールに豊富な拡張が加えられています。

劉孟馨氏はスピーチの冒頭で、単純なプログラム コードを使用して特定の交通ルールを実装する例を挙げました。

ルール:ドメイン名は www.baidu.com または baidu.com、パスは /search、ソース IP は 114.114.114.114、ヘッダー内の uid は 100 ～ 999 または 10000 ～ 11000 です。

 (AND (IN HOST www.baidu.com baidu.com) (EQ URL /search) (EQ SRC_IP 114.114.114.114) (OR (RANGE HEADER uid 100 999) (RANGE HEADER uid 10000 11000)))

DSL では、ドメイン名、パス、特定の範囲内の IP などの情報を設定するだけで、より複雑なルールを実装できることがわかります。

Lingqiao Cloud は、コンテナ サービスとエンタープライズ レベルの PaaS に重点を置いたサービス プロバイダーです。常にテクノロジーに対する鋭敏かつ前向きな理解を維持しています。コンテナ分野において、Lingqiao Cloud は中国で最初に Kubernetes を製品化したプロフェッショナル サービス プロバイダーです。同社はKubernetesベースの製品Alauda EEをリリースし、顧客のコンテナ環境のコアシステムとDevOpsおよびマイクロサービスのベストプラクティスを構築しています。今後、Lingque Cloud は強力な製品とサービスの能力を活用して、従来の企業のデジタル変革を保護していきます。

[51CTO オリジナル記事、パートナーサイトに転載する場合は、元の著者とソースを 51CTO.com として明記してください]