Kube-OVN1.9.0新版本发布|支持集成 Cilium 策略,支持优先级QoS,VPC的网络能力增强等
Kube-OVN1.9.0新版本发布|支持集成 Cilium 策略,支持优先级QoS,VPC的网络能力增强等
1月12日,Kube-OVN 1.9.0 版本正式发布,感谢社区小伙伴们在这段时间来的贡献和支持!
新版本持续对 VPC 的网络能力进行了增强,并且支持基于优先级的 QoS;支持集成 Cilium 策略,监控和 Service 优化;支持 Webhook 校验子网和固定 IP。并且增加了组播性能,非 Service 性能,内存使用等方面优化。全面提升了 Kube-OVN 的稳定性和安全性。欢迎大家安装使用!
VPC能力进一步增强
- 用户自定义 VPC 下策略路由的支持
- 用户自定义 VPC 下四层负载均衡器的支持
- 用户自定义 VPC 下 Vlan 网络的支持
- 支持使用 nodeselector 调度 vpc-nat-gateway pod
- 支持默认 VPC 使用 vpc-nat-gateway
支持 Qos 优先级
在新版本中支持通过 HTB 类型的 QoS 来支持流量的优先级,可以保证优先服务重要业务的流量,这种基于优先级的 QoS 对在线离线混合部署的场景和电信的使用场景会有更好的支持。
支持集成 Cilium 策略,监控和 Service 优化
我们一直希望能够将 ebpf 的一些能力来引入到客户端里面, Kube-OVN 比较擅长上层编排,像 vpc,子网,underlay,还有 QoS,路由这些功能,控制层面的功能比较丰富。经过调研,Cilium 通过 ebpf 来做 policy,service 的实现,它在 datapath 层面上做的监控、安全方面比较好。
所以我们把这两者的优势结合起来,Kube-OVN 来做控制层面上高级网络概念的抽象,复用 Cilium 通过 ebpf 的安全和监控的能力,两者结合起来组成一个集成方案,这样可以同时享受 Kube-OVN 带来的编排能力和 Cilium 的底层能力。
支持 Webhook 校验子网和固定 IP
新版本重新添加了subnet 校验和固定 IP 的校验,这样可以保证在创建 subnet 或给Pod 加固定 IP 的时候,如果出现冲突或非法格式,会第一时间返回错误请求。相当于在资源创建之初就进行拦截和报错,不会影响对于后期 Pod 的创建,修改起来也比较容易。并且我们计划后期把所有资源都加上校验,这样可能会极大的提升大家的使用体验。
支持 STT tunnel
经过我们调研 OVS,它的内核模块其实是有一个 STT 的类型,隧道模式就是它伪造了一个 TCP 的结构,可以理解为模拟了 TCP 的 header 来进行封包,好处就是外层 TCP 的 header 和内层的 TCP 的 header 都进行有效 offload,就可以把 CPU 的资源节省下来。 如果是在虚拟化的环境或 CPU 比较差的情况下,比较推荐大家用 STT 这种隧道的封装模式,对于 TCP 的吞吐量会有比较明显的提升。
然后我们针对了几种不同的场景对流表进行了针对性的优化。
组播流量优化
新版本把 OVN 的流表进行优化,比如识别出原地址或目的地址是一个组播的话,那么把中间这些不必要的流表处理掉,就可以保证组播的流量是通过最短的路径到达目的地,从目的地回来的时候,也是保证最短的路径能收到,这样组播的整体性就会有比较大的提升。
这块的优化已经合到 OVN 了,即使不使用 Kube-OVN,大家也可以在 OVN 的新版中体验到。
非 Service 流量优化
还有一个类似的优化是我们对非 service 流量的优化,相当于针对 k8s 做了定制优化。如果知道 K8s 里面 service 的 IP 范围的话,就可以根据目的地址进行判断,如果目的地址是一个非 service 地址段,那么就绕过 lb 的处理,不需要经过其他操作直接送出去就好了。
但是回来的方向由于没有办法判断究竟是从一个 service 回来的,还是直接回来的流量,所以回程这段路径上的 lb 的操作目前还去除不掉。但只去除这样一段操作,已经会有大概 17%~18% 的延迟的优化。
其他功能改善
- Pod 支持 VIP
- Pod 内多网卡可以同属一个子网
- Underlay 网络支持接入逻辑网关
- 其他 CNI 可作为主网络
- Networkpolicy 支持附属网卡
- VM 端口的热迁移
- 使用jemalloc 优化内存分配
- 开启数据库内存压缩
what's the next?
- Windows 操作系统支持
- 一个 Namespace 可以绑定多个子网
- 快速上手的内核编译优化方案
- 更多的逻辑流表优化
- 500~1000节点规模支持
问答讨论
问
Qos 的优先是通过 tc 实现的吗?
答
对,其实 Qos 最终是通过 Linux 的 tc 来实现的,但是因为 OVS 有对应的一些接口,所以提了这个。其实不止实现了优先级,我们还实现类似于混沌测试的那种错误注入,还有延迟注入。
问
ebpf 没有对 IPv6 的支持,如果用 Cilium Service ip 怎么支持 IPv6?
答
在我们的方案里如果 Cilium 不支持 IPv6 的 svc 可以退回到使用 OVN 的 lb 或者kube-proxy 来实现 svc
问
和 Cilium 集成的时候,Cilium 管理的网卡是在 br-provider 上还是物理网口上?
答
Cilium 其实不直接管理,我们只使用了 Cilium一部分功能,在我们的集成方案里面它只是做策略和监控的插入,我们还是用 veth 监听流量然后做一些处理。
Kube-OVN提供面向企业场景的容器网络解决方案。
填写表单,了解跨云网络管理、IaaS(包括OpenStack、VM等)与K8s统一网络技术栈、容器托管新一代数据中心SDN、微服务架构下高性能网络、5G及边缘集群落地等应用场景。
Kube-OVN 社区官网:
https://www.kube-ovn.io
GitHub:
https://github.com/kubeovn/kube-ovn