Cilium与kube-proxy在处理长连接方面存在显著差异?

最新推荐文章于 2025-07-19 22:31:33 发布
原创 最新推荐文章于 2025-07-19 22:31:33 发布 · 1k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

目录标题

kube-proxy在处理长连接

kube-proxy在处理长连接时不会断开长连接,其原因主要与以下机制有关:

  1. 连接跟踪机制:kube-proxy通过iptables规则在连接建立时选择目标Pod,而后续的流量会通过内核的连接跟踪机制(connection tracking)来维护连接状态。一旦长连接建立,内核会记录并跟踪该连接的状态,确保后续的流量始终沿着相同的路径,而无需重新调用iptables规则。

  2. iptables的随机选择策略:在长连接场景下,iptables会在连接建立时随机选择一个目标Pod,但一旦连接建立,后续的流量会一直使用该Pod,而不会重新分配到其他Pod。这种机制确保了长连接的稳定性,避免因连接频繁切换而导致的断开。

  3. 长连接的特性:长连接(如HTTP/1.1 keep-alive、HTTP/2、gRPC等)通常会在同一个TCP连接上复用多个请求和响应。由于iptables只在连接建立时进行一次选择,后续的请求会继续使用同一个连接,因此不会因为规则的变化而断开。

综上所述,kube-proxy通过连接跟踪机制和iptables的随机选择策略,确保长连接在Kubernetes中能够稳定运行,而不会因为规则的变化或Pod的切换而导致连接断开。

Cilium与kube-proxy在处理长连接方面存在显著差异

Cilium与kube-proxy在处理长连接方面存在显著差异,Cilium不会出现与kube-proxy类似的问题。以下是详细的分析和解释:

Cilium的实现原理

  • 基于eBPF的实现:Cilium主要利用eBPF技术,在内核中执行自定义网络过滤和操作,而无需直接依赖iptables的规则。eBPF允许Cilium在内核空间中高效地处理网络流量,绕过了传统iptables的一些性能瓶颈。
  • 连接跟踪的优化:Cilium通过eBPF实现了更高效的连接跟踪机制,能够更好地处理长连接。它可以在内核中直接管理连接状态,而不需要像iptables那样频繁地更新和匹配规则,从而减少了对长连接的影响。

性能优势

  • 高效的数据包处理:由于eBPF的高效性,Cilium在处理网络流量时具有更低的延迟和更高的吞吐量。对于长连接,这意味着数据包可以更快地被处理和转发,减少了连接保持的开销。
  • 避免规则匹配的瓶颈:在大规模集群中,iptables规则的数量可能会非常庞大,导致性能下降。而Cilium通过eBPF实现了更灵活的规则管理,避免了这种瓶颈,使得长连接的处理更加稳定和高效。

适用场景

  • 大规模集群:在大规模Kubernetes集群中,Cilium的性能优势尤为明显。它能够更好地处理大量的长连接,而不会因为规则数量的增加而导致性能下降。
  • 高性能需求的应用:对于需要高性能网络通信的应用,如实时通信、游戏服务器等,Cilium能够提供更可靠的长连接支持。

局限性与适用条件

  • 内核版本要求:Cilium对内核版本有一定要求,需要较新的内核版本(如4.9以上)才能充分发挥其性能优势。如果系统内核版本较低,可能无法充分利用Cilium的特性。
  • 复杂配置与学习曲线:Cilium的配置和使用相对复杂,需要一定的学习成本。对于一些简单的网络场景,可能没有必要使用Cilium来替代kube-proxy。

综上所述,Cilium在处理长连接方面具有明显的优势,特别是在大规模集群和高性能需求的场景中。然而,在选择使用Cilium时,也需要考虑其对内核版本的要求和配置复杂性等因素。

Kubernetes相关的名词解释kube-proxy插件(3)
luohaitao的专栏
04-19 1172
kube-proxy 是一个网络代理组件,运行在每个节点(Node)上,是 Kubernetes 服务(Service)功能的核心实现之一。它的主要职责是通过维护网络规则,实现集群内服务(Service)的虚拟 IP(VIP)到后端 Pod 的负载均衡和流量转发,确保服务的高可用和可访问性。 Kubernetes 的 Service 是一个抽象层,为一组动态变化的 Pod(通过标签选择器匹配)提供稳定的虚拟 IP(ClusterIP)和 DNS 名称。kube-proxy 负责将发往 Service VI
k8s系列05-使用containerd和cilium部署kubeproxy-free的k8s集群
tinychen
05-24 1408
本文主要在centos7系统上基于containerd和stable版本(1.11.4)的cilium组件部署v1.24.0版本的k8s原生集群,由于集群主要用于自己平时学习和测试使用,加上资源有限,暂不涉及高可用部署。 此外,由于cilium已经实现了对kube-proxy的一整套替代方案,这里部署k8s集群的时候会使用ciliumkubeproxy-free方案。 此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 集群信息 机器均为8C8G的虚拟机,硬
使用cilium替代kube-proxy
喝醉酒的小白
05-23 775
相比于传统的 kube-proxyCilium 具有更低的延迟、更高的吞吐量和更强大的网络功能。Cilium 是一个开源的网络和安全解决方案,专为 Kubernetes 设计,提供高性能的网络功能和强大的安全特性。需要注意的是,Cilium 的使用可能需要特定的操作系统内核版本支持,并且对于网络和安全方面的高级功能,可能需要更深入的配置和了解。高性能:Cilium 利用 eBPF 技术实现快速的网络转发和数据平面处理,具有更低的延迟和更高的吞吐量。
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 885
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
【二进制部署k8s-1.29.4】九、cilium1.15.4安装
weixin_56364253的博客
06-03 1915
本章节主要讲解k8s集群网络插件cni的安装,安装的版本cilium-1.15.4,本文主要讲解对ciium的安装方式,以及cilium各个安装参数的解释。
Cilium 官方文档翻译(9) 替换kube-proxy
煮酒论架构
11-21 1825
本指南解释了如何在没有kube-proxy的情况下配置Kubernetes集群,以及如何使用Cilium完全替换它。cilium 使用 eBPF 实现了内核态高性能的负载均衡,并通过BPF Maps开放控制面的服务发现
在K8S上部署Cilium组件,看这一篇干货就够了
gjjumin的专栏
07-15 3869
本文介绍在Kubernetes集群上部署Cilium的步骤,简单介绍了Cilium的运行状态,高级特性。
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
Kubernetes环境中,传统的服务发现和网络代理方案是通过kube-proxy来实现的,它提供了iptables、ipvs等不同的工作模式。然而,随着云原生应用的发展,对网络性能、安全性和可观测性的需求日益增强,这催生了Cilium...
Kubernetes源码分析-kube-proxy
xiyanxiyan10的专栏
02-13 842
对于iptables和IPVS模式,kube-proxy的响应时间开销建立连接相关,而不是在这些连接上发送的数据包或请求的数量有关。这是因为Linux使用的连接跟踪(conntrack)能够非常有效地将。
cilium系列之一:安装并配置cilium
热门推荐
李炜伦的博客
09-16 1万+
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
一文看懂 Kube-proxy
THMAIL的博客
08-30 1378
对于iptables和IPVS模式,kube-proxy的响应时间开销建立连接相关,而不是在这些连接上发送的数据包或请求的数量有关。这是因为Linux使用的连接跟踪(conntrack)能够非常有效地将数据包现有连接进行匹配。如果数据包在conntrack中匹配,则无需检查kube-proxy的iptables或IPVS规则即可确定该如何处理。在集群中不超过1000个服务的时候,iptables 和 ipvs 并无太大的差异。...
最 Cool Kubernetes 网络方案 Cilium 入门教程
云原生实验室
04-21 2616
原文链接:https://davidlovezoe.club/wordpress/archives/851前言最近业界使用范围最广的 K8S CNI 网络方案 Calico 宣布支持 e...
kubernetes/k8s概念】Cilium架构概念
zhonglinzhang
07-14 9554
Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。 Cilium在设计和实现上,基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑,相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。 1. Cilium 架构 ...
cilium初探(二)
long75719507的专栏
12-05 2390
三、cilium网络通信详解 默认情况下,cilium使用vxlan的overlay模式。跨主机通信示例图如下: cilium安装完毕,会在主机创建一些网卡: cilium-vxlan,用于vxlan封包; cilium-host和cilium-net,一对veth-pair(类似于kube-proxy ipvs创建的dummy网卡)。 1、c1 ping c2的通信细节 (...
Kubernetes without kube-proxy
wanger5354的博客
08-24 529
微信公众号:运维开发故事,作者:华仔 引言 最近听好多朋友说,cilium很强,势必将成为主流。因其使用了ebpf,性能好,而且支持网络策略。于是,决定花点时间学习一下。在通过官网文档学习过程中,发现使用cilium作为CNI,居然可以不用安装kube-proxy了。这让我想起来,之前在面试中被问到的一个问题,面试官问我:kube-proxy是否可以不用安装,是否有其他替代品。这下不就有答案了嘛。 顺便吐槽一下,看官方文档学习,是真的有点难(毕竟全英文);不过还是建议大家看官方文档学习,不要翻译成中文哦.
cilium插件测试_centos7操作系统内核升级
weixin_33897085的博客
01-14 376
今天安装k8s的cilium网络插件。发现必须要使用kernel 4.8以上版本才行。所以需要对默认的centos7 3.10版本进行升级。简单记录升级过程:到https://www.kernel.org/ 下载kerinel。然后解压。复制现有系统的config文件。cd linux-5.6.7cp /boot/config-3.10.0-1062.18.1.el7.x86_64 .config...
ROS1/Linux——linux虚拟机主ip地址:网络信息不可用
eagle_Annie的博客
07-17 404
以上方案建议参考2,3。
How to SSH into your Ubuntu machine from macOS as superuser
最新发布
captainOO7的博客
07-19 314
摘要: 本文介绍如何从macOS通过SSH以超级用户身份连接Ubuntu系统。首先在Ubuntu上安装并启用SSH服务,使用ipa命令查找IP地址。在macOS终端使用ssh username@ip连接,登录后通过sudo -i提升权限。文章还提供了检查SSH服务状态的命令,并警告直接root登录的风险,建议使用普通用户配合sudo更安全。关键步骤包括服务配置、IP查找、连接和权限提升。
【docker】将本地镜像打包部署到服务器上
m0_74749240的博客
07-16 591
本文介绍了将本地Docker镜像部署到生产服务器的完整流程:1)使用docker save命令打包镜像为tar文件;2)通过SCP传输镜像包到服务器;3)在服务器上使用docker load加载镜像;4)最后通过docker-compose启动容器服务。该方法简单高效,适合快速迁移容器化应用。
kube-proxy 的mode 为ipvs的时候 为什么service的 cluster ip 能ping通
03-26
好的,我现在需要解答用户的问题:当kube-proxy的mode设置为ipvs时,为什么Service的Cluster IP能够被ping通。用户之前已经询问过类似的问题,并且得到了详细的回答,现在需要更深入的解释。 首先,我要回忆一下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值