Terway vs Flannel: Pilih CNI yang Tepat untuk Kubernetes - Container Service for Kubernetes

ACK mendukung dua plugin Container Network Interface (CNI): Terway dan Flannel. Topik ini membandingkan fitur dan kasus penggunaannya.

Terway adalah plugin CNI yang dikembangkan oleh Alibaba Cloud. Plugin ini menggunakan elastic network interfaces (ENIs) untuk jaringan pod dan menyediakan fitur seperti akselerasi jaringan berbasis eBPF, NetworkPolicy, serta vSwitch dan grup keamanan tingkat pod. Terway cocok untuk skenario yang memerlukan skalabilitas kluster tinggi, kinerja jaringan tinggi, dan keamanan, seperti komputasi berkinerja tinggi, gaming, dan layanan mikro.
Flannel adalah plugin CNI open source. Di ACK, Flannel menggunakan model jaringan Alibaba Cloud Virtual Private Cloud (VPC), di mana paket diteruskan langsung melalui tabel rute VPC. Flannel cocok untuk kluster kecil yang memerlukan konfigurasi jaringan sederhana dan tidak membutuhkan kontrol jaringan kontainer lanjutan.

Penting

Anda harus menginstal plugin CNI saat membuat kluster. Anda tidak dapat mengubah plugin CNI setelah kluster dibuat.
Saat menggunakan Flannel, ALB Ingress hanya mendukung penerusan permintaan ke Service bertipe NodePort dan LoadBalancer. Service bertipe ClusterIP tidak didukung.

Item	Terway	Flannel
Kinerja jaringan	Terway mengungguli versi komunitas Flannel dalam hal TCP RR, UDP PPS, bandwidth, dan latensi. Catatan Data uji mencerminkan nilai teoretis berdasarkan instans ecs.ebmg5s.24xlarge. Kinerja aktual dapat bervariasi tergantung pada lingkungan operasi Anda. Untuk detail lebih lanjut, lihat dan Alibaba Cloud Native Community. Terway mendukung mode ENI eksklusif di mana setiap pod diberikan ENI khusus. Mode ini memberikan kinerja jaringan yang sangat tinggi dan cocok untuk skenario seperti komputasi berkinerja tinggi, gaming, dan layanan mikro. Terway mendukung mode ENI bersama dengan akselerasi DataPath V2. DataPath V2 merupakan versi peningkatan dari solusi IPVLAN. Mode ini memungkinkan pod melewati tumpukan protokol jaringan node dengan menggunakan eBPF saat mengakses titik akhir dalam kluster, sehingga mempercepat akses jaringan. Catatan Dalam mode DataPath V2, informasi pelacakan koneksi (conntrack) jaringan kontainer disimpan dalam peta eBPF. Mirip dengan mekanisme conntrack native di Linux, eBPF conntrack menggunakan algoritma Least Recently Used (LRU). Saat kapasitas peta tercapai, catatan koneksi tertua secara otomatis dihapus untuk menyimpan yang baru. Anda harus mengonfigurasi parameter terkait berdasarkan skala bisnis Anda agar tidak melebihi batas koneksi. Untuk informasi lebih lanjut, lihat Optimalkan konfigurasi conntrack dalam mode Terway.
Kuota node	Saat menggunakan Terway, jumlah maksimum node ditentukan oleh batas kapasitas kluster. Kluster ACK Pro: Mendukung 5.000 node secara default dan maksimal 15.000 node. Kluster ACK Basic: Mendukung maksimal 10 node.	Saat menggunakan Flannel, jumlah maksimum node bergantung pada jumlah entri dalam tabel rute VPC dan batas kapasitas kluster. Tabel rute VPC mendukung 200 entri secara default dan maksimal 1.000 entri setelah Anda menambah kuota. Setiap node dalam kluster memerlukan satu entri, sehingga membatasi kluster hingga maksimal 1.000 node. Kluster ACK Pro: Mendukung 200 node secara default dan maksimal 1.000 node. Kluster ACK Basic: Mendukung maksimal 10 node.
Jumlah pod per node	Pod menggunakan ENI dari node. Jumlah pod yang dapat dijalankan oleh sebuah node bergantung pada tipe instans node tersebut dan batasnya untuk ENIs serta alamat IPv4 privat per ENI. Untuk instans ecs.c7.4xlarge dari family Compute-intensive Type c7 (16 vCPU, 32 GiB memori): Dalam mode ENI bersama, node dapat menjalankan maksimal 210 pod. Dalam mode ENI eksklusif, node dapat menjalankan maksimal 7 pod. Meskipun instans Compute-intensive Type c6 dan Compute-intensive Type c7 mendukung jumlah ENI yang sama, keduanya berbeda dalam jumlah alamat IPv4 privat per ENI. Akibatnya, instans Compute-intensive Type c6 dapat menjalankan maksimal 140 pod dalam mode ENI bersama. Untuk informasi lebih lanjut tentang cara menghitung batas ini, lihat Hitung kuota pod per node.	Jumlah maksimum pod per node bergantung pada pengaturan Pods per Node dan bit masker subnet yang Anda tetapkan saat mengonfigurasi pod CIDR block. Seperti yang ditunjukkan pada gambar sebelumnya, jika blok CIDR pod dari Kluster ACK Pro adalah 172.16.0.0/20, setiap node dapat menjalankan hingga 256 pod, dan kluster dapat berisi hingga 16 node. Penting Jumlah maksimum node tidak dapat diubah setelah jaringan Flannel dibuat.
Blok CIDR pod	Alamat IP pod dialokasikan dari blok CIDR VPC, yang mengonsumsi banyak alamat IP VPC. Kami menyarankan Anda merencanakan blok CIDR VPC yang cukup besar. Blok CIDR pod (dari VPC), blok CIDR Service, dan blok CIDR node tidak boleh tumpang tindih. Blok CIDR ini tidak dapat diubah setelah pembuatan kluster. Anda dapat menambahkan vSwitch untuk memperluas blok CIDR pod.	Blok CIDR pod bersifat independen dari blok CIDR VPC. Flannel mengalokasikan subnet dari blok CIDR pod yang dikonfigurasi ke setiap node dalam kluster. Alamat IP untuk semua pod pada suatu node kemudian diambil dari subnet yang dialokasikan ke node tersebut. Blok CIDR pod, blok CIDR node (dari VPC), dan blok CIDR Service tidak boleh tumpang tindih. Blok CIDR ini tidak dapat diubah setelah pembuatan kluster. Blok CIDR pod tidak dapat diperluas.
Keamanan jaringan	Mendukung vSwitch dan grup keamanan khusus untuk pod. Mendukung NetworkPolicy Kubernetes native untuk menyesuaikan kontrol akses antar kontainer.	Tidak mendukung vSwitch dan grup keamanan khusus untuk pod. Tidak mendukung NetworkPolicy.
IPv4/IPv6 dual stack	Mendukung dual stack.	Tidak mendukung dual stack. Catatan Plugin Flannel yang digunakan di ACK telah dimodifikasi agar sesuai dengan lingkungan Alibaba Cloud dan tidak selalu disinkronkan dengan komunitas open source. Untuk catatan rilis Flannel ACK, lihat Flannel.
IP pod statis	Mendukung penugasan alamat IP pod statis.	Tidak mendukung penugasan alamat IP pod statis.
Persistensi sesi	Backend Server Load Balancer (SLB) terhubung langsung ke pod. Hal ini memungkinkan persistensi sesi untuk memastikan layanan tidak terganggu saat pod backend berubah.	Backend SLB terhubung ke pod menggunakan NodePort. Lalu lintas terputus saat pod berubah, yang dapat menyebabkan pengulangan layanan.
Komunikasi multi-kluster	Pod di kluster berbeda dapat saling berkomunikasi jika port yang sesuai dibuka di grup keamanannya.	Tidak didukung.
Pelestarian IP sumber pod	Saat pod mengakses titik akhir lain dalam VPC, alamat IP-nya dipertahankan sebagai IP sumber, yang menyederhanakan audit.	Saat pod mengakses titik akhir lain dalam VPC, alamat IP sumber adalah alamat IP node. Alamat IP pod asli tidak dipertahankan.

Langkah selanjutnya

Setelah kluster dibuat, blok CIDR yang ditetapkan untuk pod, Service, dan node tidak dapat diubah. Ukuran blok CIDR ini menentukan jumlah maksimum masing-masing resource, yang dapat memengaruhi penerapan aplikasi Anda. Perencanaan blok CIDR yang berbeda memungkinkan Anda mengisolasi resource secara logis untuk kontrol akses dan perutean kustom. Oleh karena itu, rencanakan jaringan Anda sebelum membuat kluster. Untuk informasi lebih lanjut, lihat Rencanakan jaringan untuk kluster ACK yang dikelola.
Setelah Anda merencanakan jaringan:
- Jika Anda berencana menggunakan Terway, lihat Gunakan plugin CNI Terway untuk menginstalnya saat membuat kluster Anda.
- Jika Anda berencana menggunakan Flannel, lihat Gunakan plugin CNI Flannel untuk menginstalnya saat membuat kluster Anda.

Referensi

Untuk informasi lebih lanjut tentang batas node dan cara menambah kuota, lihat Kuota dan batas.
Untuk jawaban atas pertanyaan umum tentang jaringan kontainer, lihat FAQ jaringan kontainer.