腾讯云容器服务TKE推出新一代零损耗容器网络

小提示：您能找到这篇{腾讯云容器服务TKE推出新一代零损耗容器网络}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的腾讯云容器服务TKE推出新一代零损耗容器网络内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">随着容器技术的发展成熟，越来越多的组件迁移到容器，在技术迁移过程中，数据库，游戏，AI这些组件对容器网络性能（时延，吞吐，稳定性）提出了更高的要求。< ">为了得到更优的时延和吞吐表现，各大云厂商都在致力于缩短节点内容器的网络访问链路，让数据包能尽可能快地转发到容器网卡。

< ">腾讯云< color: rgb(0, 112, 192);">容器服务TKE借助智能网卡推出新一代容器网络方案，实现了一个Pod独占一张弹性网卡，不再经过节点网络协议栈（default namespace），极大缩短容器访问链路和访问时延，并使PPS可以达到整机上限。基于新一代容器网络方案，短链接场景下，QPS相比之前容器网络方案（策略路由方案，网桥方案）提升50%-70%；长链接场景下QPS提升40%-60%。

< ">由于不再经过节点网络协议栈，传统基于iptables和IPVS的ClusterIP service访问方案不能直接适用于新方案。为了同时能实现Pod可以直接访问ClusterIP service，TKE推出share-NS IPVS方案，使得在容器网络命名空间下，也可以访问到节点网络协议栈的IPVS规则；同时，配合CLB直通Pod，最终实现了完整意义上的弹性网卡直通。

< ">新一代容器网络方案实现了针对ClusterIP service短链接场景下，QPS相比iptables方案提升40%-60%，IPVS方案提升70%-90%；长链接场景下，QPS相比iptables方案提升30%-50%，IPVS方案提升50%-70%。

新一代容器网络方案推出背景

< ">在介绍新一代容器网络方案前，先和大家介绍一下TKE现有网络方案，和现有网络方案面临的挑战，以及客户新诉求。

现有网络方案介绍

< ">腾讯云容器服务TKE目前提供了两种容器网络模式供用户选择使用。

< ">GlobalRouter模式：基于vpc实现的全局路由模式，目前是TKE默认网络方案。该模式依托于vpc底层路由能力，不需要在节点上配置vxlan等overlay设备，就可实现容器网络和vpc网络的互访，并且相比于calico/flannel等网络方案，没有额外的解封包，性能也会更好。

< ">VPC-CNI模式：TKE基于CNI和VPC弹性网卡实现的容器网络能力，适用于Pod固定IP，CLB直通Pod，Pod直绑EIP等场景。该网络模式下，容器与节全网网络营销点分布在同一网络平面，容器IP为IPAMD组件所分配的弹性网卡IP。

< ">GlobalRouter和VPC-CNI模式目前已服务TKE上万企业用户，两种网络模式也存在一定使用限制。【具体可查看官方文档如何选择TKE网络模式：https://cloud.tencent.com/document/product/457/41636】

< ">随着客户使用场景的丰富，TKE的客户对容器网络又提出了更电商怎么经营的高的要求。

客户对TKE网络方案的新需求

< ">除了在为腾讯外部客户提供容器网络能力外，腾讯云容器服务TKE作为腾讯内部业务云原生的底座，在支持腾讯内部自研业务上云如QQ、腾讯会议、游戏、CDB、大数据等业务的过程中也收到以下的需求点：

< ">在VPC-CNI模式的基础上进一步降低资源损耗，降低网络时延，提高网络吞吐（关键点）

< ">支持Pod级别的安全隔离

< ">支持CLB直通Pod，不再经过NodePort转发，提升转发性能并拥有统一的负载均衡视图

< ">基于以上场景，TKE团队联合底层腾讯云VPC团队、虚拟化团队推出了新一代的独立网卡的VPC-CNI方案。

TKE新一代网络方案介绍

< ">TKE新一代网络方案在原有VPC-CNI模式单网卡多IP模式的基础上，进阶为容器直接独享使用弹性网卡，无缝对接腾讯云私有网络产品的全部功能，同时在性能做了极大的提升。

压测数据说明

< ">为了得到不同网络方案下的QPS，这里控制变量，让不同网络方案的nginx Pod运行在同一个节点，使用wrk分别压测不同Pod，并让服务端节点的cpu接近100%。

< ">为了得到不同Service方案下的QPS，这里控制变量，让kube-proxy和wrk Pod运行在同一节点，压测相同后端，并让客户端节点的cpu接近100%。

功能简介

< ">新一代VPC-CNI模式的网络方案中，能够在原有的网络能力中额外增加

< ">1.支持Pod绑定EIP/NAT，不再依赖节点的外网访问能力，无须做SNAT，可以满足直播、游戏、视频会议等高并发，高带宽外网访问场景

< ">2.支持Pod绑定安全组，实现Pod级别的安全隔离

< ">3.支持基于Pod名称的固定IP，Pod重新调度后仍能保证IP不变

< ">4.支持CLB直通Pod，不再经过NodePort转发，提升转发性能并拥有统一的负载均衡视图

< ">5.即将支持黑石2.0物理服务器（推荐使用，默认使用智能网卡，网络性能更高）

< ">6.即将支持基于Pod名称的固定EIP，满足Pod固定外网出口

使用方法

< ">申请新一代容器网络方案内测开通后，创建TKE集群时容器网络模式选择VPC-CNI/Pod独立网卡模式即可：

实现原理简介

< ">新一代方案在原有VPC-CNI模式的基础上扩展，依托于弹性网卡，将绑定到节点的弹性网卡通过CNI配置到容器网络命名空间，实现容器直接独享使用弹性网卡。

当前内测阶段使用限制

< ">1.仅支持部分S5的机型使用该网络模式。

< ">2.节点上运行的Pod数量限制为节点核数的5倍。

< ">3.仅支持新集群，存量TKE集群暂不支持变更网络方案。