Topik ini menjelaskan cara mengoptimalkan konfigurasi jaringan kluster yang menggunakan Terway dalam mode Datapath V2. Konfigurasi mencakup parameter conntrack dan pengaturan manajemen identitas. Optimalkan konfigurasi tersebut untuk meningkatkan kinerja dan stabilitas kluster.
Optimalkan parameter conntrack parameter
Conntrack adalah modul kernel Linux yang melacak koneksi dan statusnya. Dalam jaringan kontainer yang dibangun oleh Terway pada mode Datapath V2, conntrack diimplementasikan menggunakan Extended Berkeley Packet Filter (eBPF). Untuk informasi lebih lanjut tentang cara mengoptimalkan parameter conntrack, lihat Optimalkan Konfigurasi Conntrack di Terway. Topik tersebut menjelaskan cara menyesuaikan ukuran tabel conntrack, memodifikasi periode timeout untuk entri conntrack pada koneksi TCP, serta mengonfigurasi konkurensi tinggi.
Batasi jumlah identitas
Jika Anda menggunakan Terway dalam mode Datapath V2, fitur NetworkPolicy diimplementasikan menggunakan eBPF. Berbeda dengan implementasi berbasis Netfilter tradisional, implementasi berbasis eBPF memberikan identitas kepada setiap pod untuk manajemen izin jaringan yang lebih halus.
Identitas terdiri dari label pod dan label namespace. Sistem memberikan identitas kepada sekelompok pod dengan label yang sama untuk memudahkan manajemen akses jaringan bagi pod-pod tersebut.
Sistem memverifikasi apakah lalu lintas sesuai dengan aturan dalam NetworkPolicies sebelum mendistribusikan lalu lintas. Sistem juga menentukan apakah lalu lintas ke pod diperbolehkan berdasarkan alamat IP dan identitas pod.
Jika fitur NetworkPolicy dinonaktifkan, identitas tidak berlaku. Dalam kasus ini, Terway secara otomatis membatasi jumlah identitas.
Setelah mengaktifkan fitur NetworkPolicy, pastikan bahwa pod dengan identitas yang sama memiliki label yang sama. Jika pod dengan identitas yang sama memiliki label yang berbeda, sejumlah besar identitas baru akan dihasilkan, yang dapat meningkatkan beban kerja bidang kontrol kluster dan memperlambat alokasi IP.
Untuk mencegah identitas berlebih yang dihasilkan karena label tidak valid, disarankan untuk mengonfigurasi aturan penyaringan berdasarkan label.
Konfigurasikan aturan penyaringan berdasarkan label
Bagian ini melibatkan operasi penting. Harap berhati-hati.
Jika Anda memodifikasi aturan penyaringan berbasis label, identitas baru akan dibuat dalam waktu singkat. Hal ini dapat meningkatkan overhead server API.
Aturan penyaringan berbasis label yang tidak valid dapat menyebabkan kegagalan NetworkPolicy.
Jangan filter semua label. Saat membuat aturan penyaringan, tambahkan setidaknya satu label (label pod atau label namespace) dari setiap kelompok pod ke aturan tersebut. Jika tidak, sistem tidak dapat mengidentifikasi kelompok pod.
Label yang ditambahkan ke aturan penyaringan tidak dapat dimasukkan ke dalam NetworkPolicy. Pastikan Anda mengonfigurasi aturan hanya untuk menyaring label yang tidak valid.
Untuk informasi lebih lanjut tentang cara mengonfigurasi aturan penyaringan berbasis label, lihat Cilium.
Untuk informasi lebih lanjut tentang cara mengonfigurasi Cilium dalam konfigurasi Terway, lihat parameter cilium_args dalam topik Sesuaikan ConfigMap Terway.