🥇CNI veiktspējas novērtējums Kubernetes 10G tīklā (2020. gada augusts)

TL; DR: Visi CNI darbojas tā, kā vajadzētu, izņemot Kube-Router un Kube-OVN, Calico, izņemot automātisko MTU noteikšanu, ir vislabākais.

Raksta atjauninājums par manām iepriekšējām pārbaudēm (2018 и 2019), testēšanas laikā es izmantoju Kubernetes 1.19 uz Ubuntu 18.04 ar atjauninātiem CNI no 2020. gada augusta.

Pirms ienirt metrikā...

Kas jauns kopš 2019. gada aprīļa?

Var pārbaudīt savā klasterī: varat palaist testus savā klasterī, izmantojot mūsu rīku Kubernetes tīkla etalons: knb
Ir parādījušies jauni dalībnieki
- Uzkoda no VMware Tanzu
- Kube-OVN no alauda.io
Jauni scenāriji: pašreizējās pārbaudes veic "Pod-to-Pod" tīkla veiktspējas testus, un ir pievienots jauns skripts "Pod-to-Service", kas veic testus tuvāk reālajiem apstākļiem. Praksē jūsu Pod ar API darbojas ar bāzi kā pakalpojumu, nevis caur Pod IP adresi (protams, mēs pārbaudām gan TCP, gan UDP abiem scenārijiem).
Resursu patēriņš: katram testam tagad ir savs resursu salīdzinājums
Lietojumprogrammu testu noņemšana: mēs vairs neveicam HTTP, FTP un SCP testus, jo mūsu auglīgā sadarbība ar kopienu un CNI uzturētājiem ir atklājusi plaisu starp iperf rezultātiem salīdzinājumā ar TCP un curl rezultātiem CNI palaišanas aizkavēšanās dēļ (pirmās Pod sekundes). startēšana, kas reālos apstākļos nav raksturīga).
Atvērtais avots: ir pieejami visi testa avoti (skripti, yml iestatījumi un sākotnējie “neapstrādātie” dati). šeit

Atsauces testa protokols

Protokols ir detalizēti aprakstīts šeitLūdzu, ņemiet vērā, ka šis raksts ir par Ubuntu 18.04 ar noklusējuma kodolu.

CNI izvēle novērtēšanai

Šīs pārbaudes mērķis ir salīdzināt CNI, kas konfigurēti ar vienu yaml failu (tāpēc tiek izslēgti visi tie, kas instalēti ar skriptiem, piemēram, VPP un citi).

Mūsu izvēlētie CNI salīdzināšanai:

Antrea v.0.9.1
Calico v3.16
Canal v3.16 (Flaneļa tīkls + Calico tīkla politikas)
Cilium 1.8.2
Flanelis 0.12.0
Kube-router jaunākais (2020-08-25)
WeaveNet 2.7.0

MTU konfigurēšana CNI

Pirmkārt, mēs pārbaudām automātiskās MTU noteikšanas ietekmi uz TCP veiktspēju:

MTU ietekme uz TCP veiktspēju

Izmantojot UDP, tiek konstatēta vēl lielāka atšķirība:

MTU ietekme uz UDP veiktspēju

Ņemot vērā pārbaudēs atklāto milzīgo veiktspējas ietekmi, mēs vēlamies nosūtīt cerības vēstuli visiem CNI uzturētājiem: lūdzu, pievienojiet CNI automātisko MTU noteikšanu. Jūs izglābsit kaķēnus, vienradžus un pat visskaistāko: mazo Devopu.

Tomēr, ja jums ir nepieciešams izmantot CNI bez atbalsta automātiskai MTU noteikšanai, varat to konfigurēt manuāli, lai iegūtu veiktspēju. Lūdzu, ņemiet vērā, ka tas attiecas uz Calico, Canal un WeaveNet.

Mans mazais lūgums pievienotajiem CNI...

CNI testēšana: neapstrādāti dati

Šajā sadaļā mēs salīdzināsim CNI ar pareizo MTU (noteikts automātiski vai iestatīts manuāli). Galvenais mērķis šeit ir parādīt neapstrādātos datus grafikos.

Krāsu leģenda:

pelēks — paraugs (t.i., tukšs dzelzs)
zaļš - joslas platums virs 9500 Mbps
dzeltens - joslas platums virs 9000 Mbps
oranžs — joslas platums virs 8000 Mb/s
sarkans - joslas platums zem 8000 Mbps
zils — neitrāls (nav saistīts ar joslas platumu)

Resursu patēriņš bez slodzes

Pirmkārt, pārbaudiet resursu patēriņu, kad klasteris "guļ".

Resursu patēriņš bez slodzes

Pod-to-Pod

Šajā scenārijā tiek pieņemts, ka klienta Pod izveido tieši savienojumu ar servera Pod, izmantojot tā IP adresi.

Pod-to-Pod scenārijs

TCP

Pod-to-Pod TCP rezultāti un atbilstošais resursu patēriņš:

UDP

Pod-to-Pod UDP rezultāti un atbilstošais resursu patēriņš:

Pod-to-Service

Šī sadaļa attiecas uz reāliem lietošanas gadījumiem, klienta Pod savienojas ar serveri Pod, izmantojot pakalpojumu ClusterIP.

Pod-to-Service skripts

TCP

Pod-to-Service TCP rezultāti un atbilstošais resursu patēriņš:

UDP

Pod-to-Service UDP rezultāti un atbilstošais resursu patēriņš:

Tīkla politikas atbalsts

Starp visiem iepriekš minētajiem vienīgais, kas neatbalsta politiku, ir Flanelis. Visas pārējās pareizi ievieš tīkla politikas, tostarp ienākošo un izejošo. Lielisks darbs!

CNI šifrēšana

Starp pārbaudītajiem CNI ir tādi, kas var šifrēt tīkla apmaiņu starp podiem:

Antrea, izmantojot IPsec
Calico, izmantojot stiepļu aizsargu
Cilium, izmantojot IPsec
WeaveNet, izmantojot IPsec

Joslas platums

Tā kā CNI ir palicis mazāk, saliksim visus scenārijus vienā diagrammā:

Resursu patēriņš

Šajā sadaļā mēs novērtēsim resursus, kas tiek izmantoti, apstrādājot Pod-to-Pod saziņu TCP un UDP. Nav jēgas zīmēt Pod-to-Service grafiku, jo tas nesniedz papildu informāciju.

Saliekot to visu kopā

Mēģināsim atkārtot visus grafikus, mēs šeit ieviesām nelielu subjektivitāti, aizstājot faktiskās vērtības ar vārdiem “vwry fast”, “low” utt.

Secinājums un mani secinājumi

Tas ir nedaudz subjektīvi, jo es sniedzu savu rezultātu interpretāciju.

Priecājos, ka parādījās jauni CNI, Antrea darbojās labi, daudzas funkcijas tika ieviestas pat agrīnās versijās: automātiska MTU noteikšana, šifrēšana un vienkārša uzstādīšana.

Ja salīdzinām veiktspēju, visi CNI darbojas labi, izņemot Kube-OVN un Kube-Router. Kube-Router arī nevarēja noteikt MTU, es nekur dokumentācijā neatradu veidu, kā to konfigurēt (šeit pieprasījums par šo tēmu ir atvērts).

Resursu patēriņa ziņā Cilium joprojām izmanto vairāk RAM nekā citi, taču ražotājs nepārprotami ir vērsts uz lieliem klasteriem, kas acīmredzami nav tas pats, kas tests trīs mezglu klasterī. Kube-OVN arī patērē daudz CPU un RAM resursu, taču tas ir jauns CNI, kura pamatā ir Open vSwitch (tāpat kā Antrea, tas darbojas labāk un patērē mazāk).

Visiem, izņemot Flanel, ir tīkla politikas. Ļoti iespējams, ka viņš tos nekad neatbalstīs, jo mērķis ir vienkāršāks par tvaicētu rāceņu: jo vieglāks, jo labāk.

Turklāt, cita starpā, šifrēšanas veiktspēja ir pārsteidzoša. Calico ir viens no vecākajiem CNI, taču šifrēšana tika pievienota tikai pirms pāris nedēļām. Viņi izvēlējās vadu aizsargu, nevis IPsec, un, vienkārši sakot, tas darbojas lieliski un pārsteidzoši, pilnībā aizēnot citus CNI šajā testēšanas daļā. Protams, resursu patēriņš palielinās šifrēšanas dēļ, taču sasniegtā caurlaidspēja ir tā vērta (Calico uzrādīja seškārtīgu uzlabojumu šifrēšanas testā, salīdzinot ar Cilium, kas ieņem otro vietu). Turklāt jūs varat iespējot vadu aizsargu jebkurā laikā pēc Calico izvietošanas klasterī, kā arī varat to atspējot uz īsu laiku vai pastāvīgi, ja vēlaties. Tomēr tas ir neticami ērti! Atgādinām, ka Calico pašlaik automātiski nenosaka MTU (šī funkcija ir plānota nākamajās versijās), tāpēc noteikti konfigurējiet MTU, ja jūsu tīkls atbalsta Jumbo Frames (MTU 9000).

Cita starpā ņemiet vērā, ka Cilium var šifrēt trafiku starp klasteru mezgliem (un ne tikai starp podiem), kas var būt ļoti svarīgi publiskajiem klasteru mezgliem.

Nobeigumā es iesaku šādus lietošanas gadījumus:

Nepieciešams CNI ļoti mazam klasterim VAI man nav vajadzīga drošība: strādā ar Flaneļa, vieglākais un stabilākais CNI (viņš ir arī viens no vecākajiem, pēc leģendas viņu izgudrojis Homo Kubernautus jeb Homo Contaitorus). Iespējams, jūs interesēs arī ģeniālākais projekts k3, pārbaudiet!
Nepieciešams CNI parastam klasterim: Calico - jūsu izvēle, bet neaizmirstiet konfigurēt MTU, ja nepieciešams. Varat viegli un dabiski spēlēt ar tīkla politikām, ieslēgt un izslēgt šifrēšanu utt.
Nepieciešams CNI (ļoti) liela mēroga klasterim: Nu, tests neuzrāda lielu klasteru uzvedību, es labprāt veiktu testus, bet mums nav simtiem serveru ar 10 Gbps savienojumu. Tāpēc labākais risinājums ir palaist modificētu pārbaudi saviem mezgliem, vismaz ar Calico un Cilium.

Avots: www.habr.com

CNI veiktspējas novērtējums Kubernetes 10G tīklā (2020. gada augusts)