🥇Kubernetes tīkla spraudņa (CNI) etalona rezultāti virs 10 Gb/s tīkla (Atjaunināts: 2019. gada aprīlis)

Šis ir mans atjauninājums iepriekšējais etalons, kas tagad darbojas uz Kubernetes 1.14 ar jaunāko CNI versiju no 2019. gada aprīļa.

Pirmkārt, es vēlos pateikties Cilium komandai: puiši man palīdzēja pārbaudīt un labot metrikas uzraudzības skriptus.

Kas ir mainījies kopš 2018. gada novembra

Lūk, kas kopš tā laika ir mainījies (ja jūs interesē):

Flanelis joprojām ir ātrākais un vienkāršākais CNI interfeiss, taču joprojām neatbalsta tīkla politikas un šifrēšanu.

Romana vairs netiek atbalstīta, tāpēc esam to noņēmuši no etalona.

WeaveNet tagad atbalsta tīkla politikas Ingress un Egress! Bet produktivitāte ir samazinājusies.

Programmā Calico jums joprojām ir manuāli jākonfigurē maksimālais pakešu lielums (MTU), lai nodrošinātu vislabāko veiktspēju. Calico piedāvā divas CNI instalēšanas iespējas, lai jūs varētu iztikt bez atsevišķa ETCD repozitorija:

saglabājot stāvokli Kubernetes API kā datu krātuvi (klastera izmērs < 50 mezgli);
saglabājot stāvokli Kubernetes API kā datu krātuvi ar Typha starpniekserveri, lai atvieglotu K8S API slodzi (klastera izmērs > 50 mezgli).

Calico paziņoja par atbalstu lietojumprogrammu līmeņa politikas papildus Istio lietojumprogrammas līmeņa drošībai.

Cilium tagad atbalsta šifrēšanu! Cilium nodrošina šifrēšanu ar IPSec tuneļiem un piedāvā alternatīvu šifrētajam WeaveNet tīklam. Bet WeaveNet ir ātrāks par Cilium ar iespējotu šifrēšanu.

Pateicoties iebūvētajam ETCD operatoram, Cilium tagad ir vieglāk izvietot.

Cilium komanda ir mēģinājusi nedaudz samazināt CNI svaru, samazinot atmiņas patēriņu un CPU izmaksas, taču tās konkurenti joprojām ir vieglāki.

Etalona konteksts

Etalons tiek palaists trīs nevirtualizētos Supermicro serveros ar 10 Gb Supermicro slēdzi. Serveri ir tieši savienoti ar slēdzi, izmantojot pasīvos DAC SFP+ kabeļus, un ir konfigurēti tajā pašā VLAN ar lielajiem rāmjiem (MTU 9000).

Kubernetes 1.14.0 instalēta Ubuntu 18.04 LTS ar Docker 18.09.2 (noklusējuma Docker versija šajā laidienā).

Lai uzlabotu reproducējamību, mēs nolēmām vienmēr konfigurēt galveno mezglu pirmajā mezglā, novietot etalona servera daļu otrajā serverī un klienta daļu trešajā. Lai to izdarītu, Kubernetes izvietojumos izmantojam NodeSelector.

Mēs aprakstīsim etalona rezultātus šādā mērogā:

CNI atlase etalonam

Šis ir etalons tikai CNI no sadaļas saraksta par viena galvenā klastera izveidi ar kubeadm Skatiet oficiālo Kubernetes dokumentāciju. No 9 CNI mēs ņemsim tikai 6: mēs izslēgsim tos, kurus ir grūti uzstādīt un/vai nedarbojas bez konfigurācijas saskaņā ar dokumentāciju (Romana, Contiv-VPP un JuniperContrail/TungstenFabric).

Mēs salīdzināsim šādus CNI:

Calico v3.6
Canal v3.6 (būtībā Flannel tīkla izveidei + Calico kā ugunsmūris)
Cilium 1.4.2
Flanelis 0.11.0
Kube-maršrutētājs 0.2.5
WeaveNet 2.5.1

Uzstādīšana

Jo vieglāk ir uzstādīt CNI, jo labāks būs mūsu pirmais iespaids. Visus CNI no etalona ir ļoti viegli instalēt (ar vienu vai divām komandām).

Kā jau teicām, serveri un slēdzis ir konfigurēti ar iespējotiem lielajiem rāmjiem (mēs iestatījām MTU uz 9000). Mēs būtu priecīgi, ja CNI automātiski noteiktu MTU, pamatojoties uz adapteru konfigurāciju. Tomēr tas izdevās tikai Cilium un Flanel. Pārējiem CNI ir GitHub pieprasījumi pievienot automātisku MTU atklāšanu, taču mēs to konfigurēsim manuāli, mainot ConfigMap for Calico, Canal un Kube-router vai nododot WeaveNet vides mainīgo.

Kāda ir problēma ar nepareizu MTU? Šī diagramma parāda atšķirību starp WeaveNet ar noklusējuma MTU un iespējotiem lielajiem rāmjiem:

Kā MTU ietekmē caurlaidspēju?

Mēs esam redzējuši, cik MTU ir svarīga veiktspējai, tagad redzēsim, kā mūsu CNI to automātiski nosaka:

CNI automātiski nosaka MTU

Diagrammā redzams, ka optimālai veiktspējai ir jākonfigurē MTU Calico, Canal, Kube-router un WeaveNet. Cilium un Flanel varēja pareizi noteikt MTU paši bez jebkādiem iestatījumiem.

Drošība

Mēs salīdzināsim CNI drošību divos aspektos: spēja šifrēt pārsūtītos datus un Kubernetes tīkla politiku ieviešana (pamatojoties uz reāliem testiem, nevis dokumentāciju).

Tikai divi CNI šifrē datus: Cilium un WeaveNet. Šifrēšana WeaveNet iespējots, iestatot šifrēšanas paroli kā CNI vides mainīgo. IN dokumentācija WeaveNet to apraksta sarežģīti, bet viss tiek darīts vienkārši. Šifrēšana ciliums konfigurēts ar komandām, izveidojot Kubernetes noslēpumus un modificējot daemonSet (nedaudz sarežģītāk nekā WeaveNet, bet Cilium ir soli pa solim instrukcijas).

Runājot par tīkla politikas ieviešanu, viņiem tas ir izdevies Calico, Canal, Cilium un WeaveNet, kurā varat konfigurēt ieejas un izejas noteikumus. Priekš Kube maršrutētājs ir noteikumi tikai Ingress, un Flaneļa Tīkla politiku vispār nav.

Šeit ir kopējie rezultāti:

Drošības veiktspējas etalona rezultāti

Производительность

Šis etalons parāda vidējo caurlaidspēju vismaz trīs katra testa braucienos. Mēs pārbaudām TCP un UDP (izmantojot iperf3), reālu lietojumprogrammu, piemēram, HTTP (ar Nginx un curl) vai FTP (ar vsftpd un curl) veiktspēju un, visbeidzot, lietojumprogrammu veiktspēju, izmantojot SCP šifrēšanu (izmantojot klientu un serveri OpenSSH).

Visiem testiem mēs veicām tukša metāla etalonu (zaļā līnija), lai salīdzinātu CNI veiktspēju ar vietējā tīkla veiktspēju. Šeit mēs izmantojam to pašu mērogu, bet krāsā:

Dzeltens = ļoti labi
Oranžs = labs
Zils = tik-tā
Sarkans = slikti

Mēs neuzņemsim nepareizi konfigurētus CNI un rādīsim tikai rezultātus CNI ar pareizo MTU. (Piezīme: Cilium neaprēķina pareizi MTU, ja iespējojat šifrēšanu, tāpēc jums būs manuāli jāsamazina MTU līdz 8900 versijā 1.4. Nākamā versija 1.5 to dara automātiski.)

Lūk, rezultāti:

TCP veiktspēja

Visi CNI TCP etalonā darbojās labi. CNI ar šifrēšanu ievērojami atpaliek, jo šifrēšana ir dārga.

UDP veiktspēja

Arī šeit visiem CNI klājas labi. CNI ar šifrēšanu uzrādīja gandrīz tādu pašu rezultātu. Cilium nedaudz atpaliek no konkurentiem, taču tajā ir tikai 2,3% tukšā metāla, tāpēc tas nav slikts rezultāts. Neaizmirstiet, ka tikai Cilium un Flanel paši pareizi noteica MTU, un tie ir viņu rezultāti bez papildu konfigurācijas.

Kā ar reālu pieteikumu? Kā redzat, HTTP kopējā veiktspēja ir nedaudz zemāka nekā TCP. Pat ja izmantojat HTTP ar TCP, mēs konfigurējām iperf3 TCP etalonā, lai izvairītos no lēnas palaišanas, kas ietekmētu HTTP etalonu. Šeit visi labi pastrādāja. Kube maršrutētājam ir nepārprotamas priekšrocības, taču WeaveNet nedarbojās labi: aptuveni par 20% sliktāk nekā tukšam metālam. Cilium un WeaveNet ar šifrēšanu izskatās patiešām skumji.

Izmantojot FTP, citu uz TCP balstītu protokolu, rezultāti atšķiras. Flanelis un Kube-router paveic šo darbu, bet Calico, Canal un Cilium nedaudz atpaliek un ir aptuveni 10% lēnāki nekā tukšs metāls. WeaveNet atpaliek pat par 17%, bet šifrētais WeaveNet apsteidz šifrēto Cilium par 40%.

Izmantojot SCP, mēs uzreiz varam redzēt, cik SSH šifrēšana mums maksā. Gandrīz visiem CNI klājas labi, taču WeaveNet atkal atpaliek. Paredzams, ka Cilium un WeaveNet ar šifrēšanu ir vissliktākie dubultās šifrēšanas (SSH + CNI) dēļ.

Šeit ir kopsavilkuma tabula ar rezultātiem:

Resursu patēriņš

Tagad salīdzināsim, kā CNI patērē resursus pie lielas slodzes (TCP pārsūtīšanas laikā, 10 Gbps). Veiktspējas testos mēs salīdzinām CNI ar tukšu metālu (zaļa līnija). Resursu patēriņam parādīsim tīru Kubernetes (violeta līnija) bez CNI un paskatīsimies, cik papildu resursus patērē CNI.

Sāksim ar atmiņu. Šeit ir norādīta mezglu RAM vidējā vērtība (izņemot buferus un kešatmiņu) MB pārsūtīšanas laikā.

Atmiņas patēriņš

Flanelis un Kube-router uzrādīja lieliskus rezultātus - tikai 50 MB. Calico un Canal katram ir 70. WeaveNet nepārprotami patērē vairāk nekā citi - 130 MB, un Cilium izmanto pat 400.
Tagad pārbaudīsim CPU laika patēriņu. Ievērības cienīgs: diagrammā parādīti nevis procenti, bet ppm, tas ir, 38 ppm “bez dzelzs” ir 3,8%. Lūk, rezultāti:

CPU patēriņš

Calico, Canal, Flannel un Kube-router ir ļoti efektīvas CPU - tikai par 2% vairāk nekā Kubernetes bez CNI. WeaveNet ievērojami atpaliek ar papildu 5%, kam seko Cilium ar 7%.

Šeit ir resursu patēriņa kopsavilkums:

Rezultāti

Tabula ar visiem rezultātiem:

Vispārīgie etalona rezultāti

Secinājums

Pēdējā daļā izteikšu savu subjektīvo viedokli par rezultātiem. Atcerieties, ka šis etalons pārbauda tikai viena savienojuma caurlaidspēju ļoti mazā klasterī (3 mezgli). Tas neattiecas uz lielām kopām (<50 mezgliem) vai paralēliem savienojumiem.

Atkarībā no scenārija es iesaku izmantot šādus CNI:

Vai jums ir jūsu klasterī mezgli ar maz resursiem (vairāki GB RAM, vairāki kodoli), un jums nav nepieciešami drošības līdzekļi - izvēlieties Flaneļa. Šis ir viens no visrentablākajiem CNI. Un tas ir savietojams ar visdažādākajām arhitektūrām (amd64, arm, arm64 utt.). Turklāt šis ir viens no diviem (otrs ir Cilium) CNI, kas var automātiski noteikt MTU, tāpēc jums nekas nav jākonfigurē. Ir piemērots arī Kube maršrutētājs, taču tas nav standarta, un jums būs manuāli jākonfigurē MTU.
Ja nepieciešams šifrēt tīklu drošības labad ņem WeaveNet. Neaizmirstiet norādīt MTU lielumu, ja izmantojat lielos rāmjus, un iespējojiet šifrēšanu, norādot paroli, izmantojot vides mainīgo. Bet labāk aizmirst par veiktspēju — tās ir šifrēšanas izmaksas.
Par normāla lietošana padomu Calico. Šis CNI tiek plaši izmantots dažādos Kubernetes izvietošanas rīkos (Kops, Kubespray, Rancher utt.). Tāpat kā ar WeaveNet, noteikti konfigurējiet MTU programmā ConfigMap, ja izmantojat lielos rāmjus. Tas ir daudzfunkcionāls rīks, kas ir efektīvs resursu patēriņa, veiktspējas un drošības ziņā.

Un visbeidzot iesaku sekot līdzi attīstībai ciliums. Šim CNI ir ļoti aktīva komanda, kas daudz strādā pie sava produkta (funkcijas, resursu taupīšana, veiktspēja, drošība, klasteru veidošana...), un viņiem ir ļoti interesanti plāni.

Vizuāla diagramma CNI izvēlei

Avots: www.habr.com

Kubernetes tīkla spraudņa (CNI) etalona rezultāti virs 10 Gb/s tīkla (atjaunināts: 2019. gada aprīlis)