Is é seo mo nuashonrú , a ritheann anois ar Kubernetes 1.14 leis an leagan CNI is déanaí ó Aibreán 2019.
Ar an gcéad dul síos, ba mhaith liom buíochas a ghabháil le foireann Cilium: chabhraigh na guys liom na scripteanna monatóireachta méadrachta a sheiceáil agus a cheartú.
Cad atá athraithe ó mhí na Samhna 2018
Seo a bhfuil athraithe ó shin (má tá suim agat):
Tá Flannel fós ar an gcomhéadan CNI is tapúla agus is simplí, ach fós ní thacaíonn sé le beartais líonra agus le criptiú.
Ní thacaítear le Romana a thuilleadh, mar sin tá sé bainte den tagarmharc againn.
Tacaíonn WeaveNet anois le beartais líonra do Ingress and Egress! Ach tá laghdú tagtha ar tháirgiúlacht.
In Calico, ní mór duit fós an t-uasmhéid paicéad (MTU) a chumrú de láimh chun an fheidhmíocht is fearr. Cuireann Calico dhá rogha ar fáil chun CNI a shuiteáil, ionas gur féidir leat a dhéanamh gan stór ETCD ar leith:
- staid stórála in API Kubernetes mar stór sonraí (méid braisle < 50 nód);
- staid stórála in API Kubernetes mar stór sonraí le seachfhreastalaí Typha chun an t-ualach ar an K8S API a mhaolú (méid braisle> 50 nóid).
D'fhógair Calico tacaíocht ar bharr Istio le haghaidh slándála ar leibhéal an fheidhmchláir.
Tacaíonn Cilium le criptiú anois! Soláthraíonn Cilium criptiú le tolláin IPSec agus cuireann sé rogha eile ar fáil seachas an líonra criptithe WeaveNet. Ach tá WeaveNet níos tapúla ná Cilium le criptiú cumasaithe.
Tá sé níos éasca anois Cilium a imscaradh a bhuíochas leis an oibreoir ETCD ionsuite.
Tá iarracht déanta ag foireann Cilium roinnt meáchain a bhaint as a CNI trí thomhaltas cuimhne agus costais LAP a laghdú, ach tá a cuid iomaitheoirí níos éadroime fós.
Comhthéacs tagarmhairc
Reáchtáiltear an tagarmharc ar thrí fhreastalaí Supermicro neamh-fhíorúil le lasc Supermicro 10 Gb. Tá na freastalaithe ceangailte go díreach leis an lasc trí cháblaí éighníomhacha DAC SFP+ agus tá siad cumraithe ar an VLAN céanna le frámaí jumbo (MTU 9000).
Suiteáilte Kubernetes 1.14.0 ar Ubuntu 18.04 LTS le Docker 18.09.2 (an leagan réamhshocraithe Docker sa scaoileadh seo).
Chun atáirgtheacht a fheabhsú, shocraigh muid an máistir a chumrú i gcónaí ar an gcéad nód, cuir an chuid freastalaí den tagarmharc ar an dara freastalaí, agus an chuid cliant ar an tríú. Chun seo a dhéanamh, úsáidimid NodeSelector in imscaradh Kubernetes.
Déanfaimid cur síos ar na torthaí tagarmharcála ar an scála seo a leanas:
CNI a roghnú le haghaidh tagarmhairc
Is tagarmharc é seo do CNI amháin ón liosta sa rannán Féach doiciméadú oifigiúil Kubernetes. As na 9 CNI, ní ghlacfaimid ach 6 cinn: fágfaimid as an áireamh iad siúd atá deacair a shuiteáil agus/nó nach n-oibríonn gan chumraíocht de réir na gcáipéisí (Romana, Contiv-VPP agus JuniperContrail/TungstenFabric).
Déanfaimid comparáid idir na CNIanna seo a leanas:
- Calico v3.6
- Canal v3.6 (go bunúsach Flannel le haghaidh líonrú + Calico mar bhalla dóiteáin)
- Cilium 1.4.2
- Flannal 0.11.0
- Kube-ródaire 0.2.5
- WeaveNet 2.5.1
Suiteáil
Dá éasca an CNI a shuiteáil, is amhlaidh is fearr a bheidh ár gcéad tuiscint. Tá gach CNI ón tagarmharc an-éasca a shuiteáil (le ceann amháin nó dhá ordú).
Mar a dúirt muid, tá na freastalaithe agus an lasc cumraithe le frámaí jumbo cumasaithe (shocraigh muid an MTU go 9000). Bheadh áthas orainn dá gcinnfeadh CNI an MTU go huathoibríoch bunaithe ar chumraíocht na n-oiriúnóirí. Mar sin féin, níor bhainistigh ach Cilium agus Flannel é seo. Tá iarratais ag an gcuid eile de na CNIanna ar GitHub chun fionnachtain uathoibríoch MTU a chur leis, ach déanfaimid é a chumrú de láimh tríd an ConfigMap do Calico, Canal agus Kube-ródaire a athrú, nó athróg timpeallachta a rith do WeaveNet.
Cad é an fhadhb le MTU mícheart? Taispeánann an léaráid seo an difríocht idir WeaveNet le frámaí MTU réamhshocraithe agus jumbo cumasaithe:
Conas a théann MTU i bhfeidhm ar thréchur?
Tá sé feicthe againn cé chomh tábhachtach agus atá MTU don fheidhmíocht, anois féachaimis conas a chinneann ár CNIanna é go huathoibríoch:
Aimsíonn CNI MTU go huathoibríoch
Léiríonn an graf gur gá duit an MTU a chumrú le haghaidh Calico, Canal, Kube-ródaire agus WeaveNet chun an fheidhmíocht is fearr is féidir a bhaint amach. Bhí Cilium agus Flannel in ann an MTU féin a chinneadh i gceart gan aon socruithe.
slándála
Déanfaimid comparáid idir slándáil CNI in dhá ghné: an cumas sonraí tarchurtha a chriptiú agus cur i bhfeidhm bheartais líonra Kubernetes (bunaithe ar fhíorthástálacha, ní doiciméadú).
Ní chriptíonn ach dhá CNI sonraí: Cilium agus WeaveNet. Criptiú WeaveNet cumasaithe tríd an bhfocal faire criptithe a shocrú mar athróg timpeallachta CNI. IN Déanann WeaveNet cur síos air ar bhealach casta, ach déantar gach rud go simplí. Criptiú Ciliam cumraithe le horduithe, trí rúin Kubernetes a chruthú, agus trí mhodhnú an daemonSet (beagán níos casta ná i WeaveNet, ach tá céim ar chéim ag Cilium ).
Maidir le cur chun feidhme an bheartais líonra, d'éirigh leo Calico, Canal, Cilium agus WeaveNet, inar féidir leat rialacha Ingress and Egress a chumrú. Le haghaidh Kube-ródaire tá rialacha ann ach amháin maidir le Ingress, agus Flannel Níl aon bheartais líonra ann ar chor ar bith.
Seo na torthaí foriomlána:
Torthaí Tagarmharc Feidhmíochta Sábháilteachta
Táirgiúlacht
Léiríonn an tagarmharc seo an meán-thréchur thar thrí shraith ar a laghad de gach tástáil. Déanaimid tástáil ar fheidhmíocht TCP agus UDP (ag baint úsáide as iperf3), feidhmchláir fíor cosúil le HTTP (le Nginx agus curl) nó FTP (le vsftpd agus curl) agus ar deireadh feidhmíocht iarratais ag baint úsáide as criptiú SCP-bhunaithe (ag baint úsáide as cliant agus freastalaí OpenSSH).
I gcás gach tástáil, rinneamar tagarmharc miotail lom (líne ghlas) chun feidhmíocht CNI a chur i gcomparáid le feidhmíocht líonra dúchais. Anseo úsáidimid an scála céanna, ach i ndath:
- Buí = an-mhaith
- Oráiste = maith
- Gorm = so-so
- Dearg = olc
Ní thógfaimid CNIanna atá cumraithe go mícheart agus ní thaispeánfaimid ach torthaí do CNIanna a bhfuil an MTU ceart acu. (Nóta: Ní ríomhann Cilium an MTU i gceart má chumasaíonn tú criptiú, mar sin beidh ort an MTU a laghdú de láimh go 8900 i leagan 1.4. Déanann an chéad leagan eile, 1.5, é seo go huathoibríoch.)
Seo na torthaí:
Feidhmíocht TCP
D'fheidhmigh gach CNI go maith sa tagarmharc TCP. Tá CNI le criptiú chun deiridh mar go bhfuil criptiú costasach.
Feidhmíocht UDP
Anseo, freisin, tá ag éirí go maith le gach CNI. Léirigh CNI le criptiú beagnach an toradh céanna. Tá Cilium beagán taobh thiar den chomórtas, ach níl sé ach 2,3% de mhiotal lom, mar sin ní droch-thoradh é. Ná déan dearmad gurbh iad Cilium agus Flannel amháin a chinn an MTU i gceart iad féin, agus is iad seo a dtorthaí gan aon chumraíocht bhreise.
Cad mar gheall ar iarratas fíor? Mar a fheiceann tú, tá feidhmíocht fhoriomlán HTTP beagán níos ísle ná mar atá i gcás TCP. Fiú má úsáideann tú HTTP le TCP, rinneamar iperf3 a chumrú sa tagarmharc TCP chun tús mall a sheachaint a chuirfeadh isteach ar thagarmharc HTTP. Rinne gach duine jab maith anseo. Tá buntáiste soiléir ag Kube-ródaire, ach níor fheidhmigh WeaveNet go maith: thart ar 20% níos measa ná miotail lom. Breathnaíonn Cilium agus WeaveNet le criptiú i ndáiríre brónach.
Le FTP, prótacal eile atá bunaithe ar TCP, athraíonn na torthaí. Déanann Flannel agus Kube-ródaire an obair, ach tá Calico, Canal agus Cilium beagán taobh thiar agus thart ar 10% níos moille ná miotail lom. Tá WeaveNet chomh hard le 17% ar gcúl, ach tá WeaveNet criptithe 40% chun tosaigh ar Cilium criptithe.
Le SCP is féidir linn a fheiceáil láithreach cé mhéad a chosnaíonn criptiú SSH dúinn. Tá ag éirí go maith le beagnach gach CNI, ach tá WeaveNet chun deiridh arís. Táthar ag súil gurb iad Cilium agus WeaveNet le criptiú an ceann is measa mar gheall ar chriptiú dúbailte (SSH + CNI).
Seo tábla achoimre leis na torthaí:
Tomhaltas acmhainní
Anois déanaimis comparáid idir conas a ídíonn CNI acmhainní faoi ualaí troma (le linn aistriú TCP, 10 Gbps). I dtástálacha feidhmíochta déanaimid comparáid idir CNI agus miotal lom (líne ghlas). Maidir le húsáid acmhainní, taispeánfaimid Kubernetes íon (líne corcra) gan CNI agus féach cé mhéad acmhainní breise a ídíonn CNI.
Let tús le cuimhne. Seo é an meánluach do RAM nóid (gan maoláin agus taisce a áireamh) i MB le linn aistrithe.
Tomhaltas cuimhne
Léirigh Flannel agus Kube-ródaire torthaí den scoth - ach 50 MB. Tá 70 ag Calico agus Canal gach ceann. Is léir go n-ídíonn WeaveNet níos mó ná na cinn eile - 130 MB, agus úsáideann Cilium oiread agus 400.
Anois, déanaimis seiceáil ar thomhaltas ama an LAP. Díol suntais: ní léiríonn an léaráid céatadáin, ach is é 38% ppm, is é sin, 3,8 ppm do “iarann lom”. Seo iad na torthaí:
Tomhaltas LAP
Tá Calico, Canal, Flannel agus Kube-ródaire an-éifeachtach ó thaobh LAP - níl ach 2% níos mó ná Kubernetes gan CNI. Tá WeaveNet i bhfad ar gcúl le 5% breise, agus Cilium ag 7% ina dhiaidh sin.
Seo achoimre ar úsáid acmhainní:
Torthaí
Tábla leis na torthaí go léir:
Torthaí tagarmhairc ginearálta
Conclúid
Sa chuid dheireanach cuirfidh mé mo thuairim suibiachtúil ar na torthaí in iúl. Cuimhnigh nach ndéanann an tagarmharc seo ach tástáil ar thréchur nasc amháin ar bhraisle an-bheag (3 nód). Ní bhaineann sé le braislí móra (<50 nód) nó naisc comhthreomhara.
Molaim na CNIanna seo a leanas a úsáid ag brath ar an gcás:
- An bhfuil tú i do bhraisle nóid gan mórán acmhainní (roinnt GB RAM, roinnt croíleacáin) agus níl gnéithe slándála ag teastáil uait - roghnaigh Flannel. Tá sé seo ar cheann de na CNIanna is costéifeachtaí. Agus tá sé ag luí le raon leathan ailtireachtaí (amd64, arm, arm64, etc.). Ina theannta sin, tá sé seo ar cheann de dhá (Cilium an ceann eile) CNI ar féidir leo an MTU a chinneadh go huathoibríoch, mar sin ní gá duit aon rud a chumrú. Tá Kube-ródaire oiriúnach freisin, ach níl sé chomh caighdeánach agus beidh ort an MTU a chumrú de láimh.
- Más gá criptigh an líonra le haghaidh sábháilteachta, a ghlacadh WeaveNet. Ná déan dearmad an méid MTU a shonrú má tá frámaí jumbo in úsáid agat, agus cumasaigh criptiú trí phasfhocal a shonrú trí athróg timpeallachta. Ach is fearr dearmad a dhéanamh ar fheidhmíocht - sin costas criptithe.
- Chun gnáthúsáid Ñ Ð¾Ð ÐÐтую Calico. Úsáidtear an CNI seo go forleathan in uirlisí imscaradh Kubernetes éagsúla (Kops, Kubespray, Rancher, etc.). Mar is amhlaidh le WeaveNet, bí cinnte an MTU a chumrú i ConfigMap má tá frámaí jumbo in úsáid agat. Is uirlis ilfheidhmeach í atá éifeachtach ó thaobh tomhaltais acmhainní, feidhmíochta agus slándála.
Agus ar deireadh, comhairle a thabhairt liom tú a leanúint ar an bhforbairt Ciliam. Tá foireann an-ghníomhach ag an CNI seo a oibríonn go leor ar a dtáirge (gnéithe, coigilteas acmhainní, feidhmíocht, slándáil, braisliú...) agus tá pleananna an-suimiúla acu.
Léaráid amhairc le haghaidh roghnú CNI
Foinse: will.com