AKS中基于eBPF的节点子网数据平面技术解析

背景与现状

在Azure Kubernetes Service (AKS)的网络架构演进中，网络数据平面的选择一直是影响集群性能和功能的关键因素。传统上，AKS支持多种网络模式，包括Azure CNI Overlay和Azure CNI Pod子网模式。在这些模式下，基于eBPF的数据平面（由Cilium提供支持的Azure CNI）已经得到了良好的支持。

然而，在Azure CNI节点子网模式（即Azure CNI v1架构）中，eBPF数据平面的支持一直是个技术空白。这种模式下，节点和Pod共享同一个子网地址空间，虽然简化了网络架构，但缺少了eBPF带来的高性能网络处理和丰富策略能力。

技术演进

2024年9月，AKS团队开始着手将eBPF数据平面支持扩展到Azure CNI节点子网模式。这一扩展不仅包括基本的网络连通性，还涵盖了Cilium网络策略管理器以及与高级容器网络服务的集成能力，如FQDN策略过滤等高级功能。

eBPF（扩展伯克利包过滤器）是一种革命性的内核技术，它允许在不修改内核源代码的情况下，通过虚拟机的方式在内核中运行沙盒程序。在Kubernetes网络场景中，eBPF提供了以下优势：

1. 高性能网络处理：绕过传统的iptables/netfilter栈，显著提升网络吞吐量
2. 精细的可观测性：提供丰富的网络流量指标和追踪能力
3. 灵活的安全策略：支持基于身份而非IP地址的网络策略
4. 服务负载均衡：实现高效的服务间通信

实现细节

在AKS的Azure CNI节点子网模式中集成eBPF数据平面面临几个技术挑战：

1. 地址管理：节点和Pod共享同一子网时，需要确保eBPF程序能正确识别和处理两类流量
2. 策略实施：在共享地址空间中实施精细的网络策略，避免节点流量和Pod流量的相互干扰
3. 兼容性保障：确保新数据平面与现有VNET加密等功能的兼容性

解决方案采用了Cilium的增强版本，通过以下机制实现平滑集成：

• 引入流量分类机制，基于接口和元数据区分节点和Pod流量
• 扩展策略引擎，支持混合环境下的策略应用
• 优化eBPF程序，减少在共享环境中的性能开销

应用场景与价值

这一技术演进为AKS用户带来了显著价值：

1. 性能提升：在保持原有网络架构的同时，获得eBPF带来的性能优势
2. 功能增强：可以使用Cilium提供的丰富网络策略能力，如基于DNS名称的访问控制
3. 架构简化：无需为了使用eBPF而改变现有的节点子网网络架构
4. 安全增强：结合VNET加密功能，提供更全面的数据传输保护

未来展望

随着eBPF在AKS中的支持不断完善，我们可以预见以下发展方向：

1. 更深入的网络可观测性集成
2. 服务网格等高级用例的原生支持
3. 跨集群网络功能的增强
4. 与Azure网络安全功能的深度集成

这一技术演进标志着AKS在网络数据平面选择上更加成熟和灵活，为用户提供了更多高性能、高功能性的网络架构选项。