Flux集群模板中Cilium L2通告模式与负载均衡策略的深度解析

背景概述

在Kubernetes网络方案中，Cilium作为基于eBPF的高性能CNI插件，其L2通告功能允许节点直接响应ARP请求，实现服务IP的本地可达性。然而在实际部署中，该功能与Kubernetes Service的externalTrafficPolicy策略存在特定的配合要求，需要特别注意。

核心问题分析

当使用Cilium的L2通告功能（非BGP模式）时，若将Service的externalTrafficPolicy设置为Local，会导致服务异常中断。这是因为：

1. L2通告机制下，所有节点都会响应服务IP的ARP请求
2. Local策略要求流量必须由存在目标Pod的节点处理
3. 当客户端请求被路由到无Pod节点时，连接会被丢弃

解决方案验证

经过实践验证，正确的配置组合应为：

1. 负载均衡模式：推荐使用DSR（Direct Server Return）模式

   • 保留原始客户端IP
   • 提升网络性能（避免SNAT开销）
   • 需确保后端服务支持DSR（单Pod部署时自动满足）

2. 流量策略：必须使用Cluster模式

   • 允许流量在集群节点间转发
   • 与L2通告机制完美配合
   • 在DSR模式下仍可保留客户端IP

最佳实践建议

1. 对于Flux集群模板部署：

   • 默认启用DSR模式（性能最优）
   • 强制使用Cluster流量策略（兼容性保障）
   • 在配置文件中明确标注注意事项

2. 特殊场景处理：

   • 多Pod服务需要确保支持DSR
   • 需要严格源IP保留时可考虑Local策略+BGP方案
   • 监控网络连接状态验证配置有效性

技术原理延伸

DSR模式之所以能在Cluster策略下保留源IP，是因为：

• 入向流量通过L2通告直达节点
• 负载均衡器仅修改MAC头而不做NAT
• 回包直接由Pod经原始路径返回客户端

这种设计既保证了高可用性（Cluster策略），又实现了源IP保留（DSR特性），是L2通告场景下的最优组合方案。