このトピックでは、Datapath V2 モードで Terway を実行するクラスターのネットワーク構成を最適化する方法について説明します。ネットワーク構成には、conntrack パラメーターと ID 管理設定が含まれます。上記の構成を最適化して、クラスターのパフォーマンスと安定性を向上させることができます。
conntrack パラメーターの最適化
Conntrack は、接続とそのステータスを追跡する Linux カーネルモジュールです。 Datapath V2 モードで Terway によって構築されたコンテナーネットワークでは、conntrack は Extended Berkeley Packet Filter(eBPF)を使用して実装されます。 conntrack パラメーターの最適化方法の詳細については、「Terway での conntrack 構成の最適化」をご参照ください。このトピックでは、conntrack テーブルサイズの調整、TCP 接続の conntrack エントリのタイムアウト期間の変更、および高い同時実行性の構成方法について説明します。
ID 数の制限
Datapath V2 モードで Terway を使用する場合、NetworkPolicy 機能は eBPF を使用して実装されます。 従来の Netfilter ベースの実装とは異なり、eBPF ベースの実装では、きめ細かいネットワーク権限管理のために各ポッドに ID が割り当てられます。
ID は、ポッドラベルと名前空間ラベルで構成されます。 システムは、ポッドのネットワークアクセス管理を容易にするために、同じラベルを持つポッドのグループに ID を割り当てます。
システムは、トラフィックを配信する前に、トラフィックが NetworkPolicy のルールと一致するかどうかを判断します。 システムは、ポッドへのトラフィックが許可されているかどうかを、ポッドの IP アドレスと ID に基づいて判断します。
NetworkPolicy 機能が無効になっている場合、ID は有効になりません。 この場合、Terway は ID の数を自動的に制限します。
NetworkPolicy 機能を有効にした後、同じ ID を持つポッドが同じラベルを持っていることを確認してください。 同じ ID を持つポッドのラベルが異なる場合、多数の新しい ID が生成され、クラスターの コントロールプレーン のワークロードが増加し、IP 割り当てが遅くなる可能性があります。
無効なラベルによって生成される過剰な ID を防ぐために、ラベルに基づいてフィルタリングルールを構成することをお勧めします。
ラベルに基づいてフィルタリングルールを構成する
このセクションには重要な操作が含まれています。 注意して実行してください。
ラベルベースのフィルタリングルールを変更すると、短期間で新しい ID が作成されます。 この場合、API サーバーのオーバーヘッドも増加します。
無効なラベルベースのフィルタリングルールは、NetworkPolicy の失敗につながる可能性があります。
すべてのラベルを除外しないでください。 フィルタリングルールを作成するときは、各ポッドグループの少なくとも 1 つのラベル(ポッドラベルまたは名前空間ラベル)をルールに追加する必要があります。 そうしないと、システムはポッドのグループを識別できません。
フィルタリングルールに追加されたラベルは、NetworkPolicy に追加できません。 無効なラベルのみを除外するようにルールを構成してください。
ラベルベースのフィルタリングルールの構成方法の詳細については、「Cilium」をご参照ください。
Terway 構成で Cilium を構成する方法の詳細については、「Terway ConfigMap のカスタマイズ」トピックの cilium_args パラメーターをご参照ください。