<!-- AI_TASK_START: AI标题翻译 -->
[新产品/新功能] Azure Container Networking 中的 eBPF 最新动态
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 产品功能分析
## 新功能/新产品概述
Azure Container Networking Interface (CNI) powered by Cilium 带来了基于 **eBPF** 技术的多项创新更新,旨在提升 Azure Kubernetes Service (AKS) 集群的性能、安全性和可扩展性。该产品针对容器网络管理进行优化,核心目标是解决大规模集群中的控制平面压力、网络路由复杂性和安全合规需求。适用于运行 AKS 的企业用户,特别是那些处理高负载容器化工作负载的场景,如云原生应用开发和多云环境。市场定位聚焦于提供高效、开源协作的网络解决方案,与传统 CNI 相比,强调 **eBPF** 的低开销和高性能特性。
## 关键客户价值
- **性能提升**:通过 CiliumEndpointSlice 功能,实现了控制平面负载减少,导致平均 API 服务器响应时间降低 _50%_,Pod 启动延迟降低 _60%_,以及集群内网络延迟降低 _80%_。这些改进使应用部署更快、更高效,尤其在大型集群中,显著提升了用户体验,但可能在极端动态环境中仍需监控潜在的资源竞争。
- **部署灵活性**:支持 IPv4/IPv6 双栈网络和 Node Subnet IPAM 模式,简化了路由管理和政策配置,适用于混合网络环境。该优势使客户更容易处理多子网场景,相比传统 CNI,减少了手动配置复杂度,提供无缝适应性。
- **安全增强**:引入 Layer 7 网络策略,使用 Envoy 代理实现基于应用层协议(如 HTTP 和 gRPC)的细粒度控制,增强了合规性和流量管理。即将到来的 WireGuard 加密功能将进一步确保流量加密,支持监管要求。该功能的优势在于深度安全防护,但作为预览版,可能面临初始配置复杂性的挑战。
- **整体业务差异**:相较于竞品如其他云提供商的 CNI,这些更新突出了开源协作和 **eBPF** 的集成,降低了运维成本并提高了可扩展性,在突发流量场景中表现突出,但需注意大规模部署时的兼容性问题。
## 关键技术洞察
- **技术独特性**:CiliumEndpointSlice 通过批量处理 **CiliumEndpoints** CRDs,减少了控制平面更新频率,基于 **eBPF** 的数据平面实现高效网络管理。该机制利用 **eBPF** 程序在内核级别钩入网络栈,避免了传统用户空间处理的开销,从而提升了性能。
- **创新点与影响**:引入双栈支持和 Node Subnet 模式,实现了 IPv4/IPv6 无缝切换和简化 IP 分配,显著提高了网络策略的可扩展性和可用性。例如,Envoy 代理在 Layer 7 策略中提供应用层可见性,结合 **eBPF** 的低延迟特性,优化了安全性和资源利用率。这些创新减少了高并发场景下的瓶颈,但可能在多租户环境中面临策略冲突的风险,需要通过 ACNS 安全代理进行优化。
- **挑战与解决方式**:虽然 **eBPF** 提供了高性能,但实现 Layer 7 策略时依赖 Envoy,可能增加初始学习曲线;WireGuard 加密即将预览,能解决流量加密需求,但需关注密钥管理复杂度。总体上,这些技术在 AKS 中的集成增强了安全性,但用户应评估集群规模以避免潜在的性能退化。
## 其他信息
- 这些功能已在 AKS 中部分发布(如 Cilium 1.17 及以上版本默认可用),用户可通过 Azure CLI 命令快速部署。未来发展包括更多 **eBPF** 相关增强,建议关注 AKS 公共路线图以获取更新。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# Azure Container Networking 中的 eBPF 世界新动态!
**原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/whats-new-in-the-world-of-ebpf-from-azure-container-networking/4410254](https://techcommunity.microsoft.com/blog/azurenetworkingblog/whats-new-in-the-world-of-ebpf-from-azure-container-networking/4410254)
**发布时间:** 2025-05-02
**厂商:** AZURE
**类型:** TECH-BLOG
---
Azure Networking Blog
# Azure Container Networking 中的 eBPF 世界新动态!
2025 年 5 月 2 日
## 发现 Azure CNI 基于 Cilium 的最新安全性和性能改进
Azure Container Networking Interface (CNI) 持续演进,现在借助 Cilium 的创新能力得到增强。Azure CNI Powered by Cilium (ACPC) 利用 Cilium 的 eBPF (extended Berkeley Packet Filter) 技术,实现网络策略强制执行、深度可观测性和改进的服务路由。以下是深入探讨这些最新功能,这些功能让 Azure Kubernetes Service (AKS) 集群的管理更高效、可扩展且安全。
### 性能改进:Cilium Endpoint Slices
最近更新中的亮点功能是引入 CiliumEndpointSlice。此功能显著提升了 AKS 集群中 Cilium 数据平面的性能和可扩展性。
之前,Cilium 使用 Custom Resource Definitions (CRDs) 称为 CiliumEndpoints 来管理 Pod。每个 Pod 都关联一个 CiliumEndpoint,其中包含 Pod 的状态和属性信息。然而,这种方法会给控制平面带来巨大压力,尤其是在较大集群中。
为了缓解此负载,CiliumEndpointSlice 会批量处理 CiliumEndpoints 及其更新,从而减少传播到控制平面的更新次数。我们的性能测试显示出显著改进:
- 平均 API 服务器响应时间:延迟降低高达 50%,意味着更快的查询处理。
- Pod 启动延迟:降低高达 60%,允许更快地部署和扩展。
- 集群内网络延迟:降低高达 80%,转化为更好的应用程序性能。
请注意,此功能在 AKS 集群中已正式可用,默认使用 Cilium 1.17 及更高版本,且无需额外配置更改!了解更多关于 CiliumEndpointSlices 与 Azure CNI by Cilium 带来的改进 - [High-Scale Kubernetes Networking with Azure CNI Powered by Cilium | Microsoft Community Hub](<https://techcommunity.microsoft.com/blog/AzureNetworkingBlog/high-scale-kubernetes-networking-with-azure-cni-powered-by-cilium/4407234>)。
### 部署灵活性:Cilium 网络策略的双栈支持
在 IPv4/IPv6 双栈网络上运行的 Kubernetes 集群,使工作负载能够原生访问 IPv4 和 IPv6 端点,而不会带来额外复杂性或性能问题。之前,我们已在预览模式下启用了双栈网络在 AKS 集群(从 AKS 1.29 开始)上的使用,现在我们很高兴宣布此功能已正式可用!通过启用 IPv4 和 IPv6 寻址,您可以无缝管理生产 AKS 集群中的混合环境,适应各种网络配置。更重要的是,Azure CNI 的 Cilium 网络策略中的双栈支持扩展了 AKS 集群在这些复杂环境中的安全优势。例如,您可以使用 eBPF 数据平面启用双栈 AKS 集群,如下所示:
az aks create \
--location <region> \
--resource-group <resourceGroupName> \
--name <clusterName> \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--ip-families ipv4,ipv6 \
--generate-ssh-keys
了解更多关于 Azure CNI 的网络策略 - [Configure Azure CNI Powered by Cilium in Azure Kubernetes Service (AKS) - Azure Kubernetes Service | Microsoft Learn](<https://learn.microsoft.com/en-us/azure/aks/azure-cni-powered-by-cilium>)。
### 易用性:Cilium 的节点子网模式
Azure CNI 现在支持使用 Cilium 数据平面的节点子网 IPAM 模式。在节点子网模式中,Pod 的 IP 地址从节点自身的子网中分配,这简化了路由和策略管理。此模式特别适合较小集群,在这些集群中管理多个子网较为繁琐。使用此模式的 AKS 集群还能获得改进的网络可观测性、Cilium 网络策略和 FQDN 过滤等优势。更值得注意的是,通过此功能,我们现在支持 AKS 集群上 eBPF 数据平面的所有 IPAM 配置选项。您可以创建使用节点子网 IPAM 模式和 eBPF 数据平面的 AKS 集群,如下所示:
az aks create \
--name <clusterName> \
--resource-group <resourceGroupName> \
--location <location> \
--network-plugin azure \
--network-dataplane cilium \
--generate-ssh-keys
了解更多关于节点子网 - [Configure Azure CNI Powered by Cilium in Azure Kubernetes Service (AKS) - Azure Kubernetes Service | Microsoft Learn](<https://learn.microsoft.com/en-us/azure/aks/azure-cni-powered-by-cilium#option-3-assign-ip-addresses-from-the-node-subnet-preview>)。
### 深度防御:Cilium Layer 7 策略
Azure CNI by Cilium 将其全面的 Layer4 网络策略能力扩展到 Layer7,提供对应用程序流量的粒度控制。此功能使用户能够基于应用程序级协议和元数据定义安全策略,从而增加强大的安全和合规管理层。
Layer7 策略使用 Envoy(一个开源服务代理)实现,Envoy 是作为 Advanced Container Networking Services (ACNS) 安全代理与 Cilium 代理协同工作的部分。Envoy 处理服务间的流量,并提供必要的应用程序层可见性和控制。策略可以基于 HTTP 和 gRPC 方法、路径、头部以及其他应用程序特定属性强制执行。此外,Cilium 网络策略支持基于 Kafka 的工作流,从而增强安全性和流量管理。
此功能目前处于公开预览模式,您可以在这里了解更多入门体验 - [Introducing Layer 7 Network Policies with Advanced Container Networking Services for AKS Clusters! | Microsoft Community Hub](<https://techcommunity.microsoft.com/blog/azurenetworkingblog/introducing-layer-7-network-policies-with-advanced-container-networking-services/4409782>)。
### 即将推出:Wireguard 的透明加密
通过利用 Cilium 的 Wireguard,客户可以实现合规性,确保所有网络流量(无论是基于 HTTP 的还是非 HTTP 的)均被加密。用户可以使用 Cilium 的开源解决方案在 Kubernetes 环境中启用节点间透明加密。启用 Wireguard 后,每个集群节点的 Cilium 代理将与其他已知节点建立安全的 Wireguard 隧道,以加密 Cilium 端点之间的流量。此功能即将进入公开预览,并将作为 ACNS 的一部分启用。敬请期待更多细节。
### 结语
这些 Azure CNI Powered by Cilium 的新功能突显了我们提升 AKS 环境默认网络性能和安全的承诺,同时与开源社区合作。从 CiliumEndpointSlice 的显著性能提升,到双栈支持的适应性,以及 Layer7 策略和 Wireguard 基于加密的安全高级功能,这些创新确保您的 AKS 集群不仅适合当前需求,还为未来做好准备。此外,别忘了探索 eBPF 基于的多云环境可观测性世界!查看我们的最新文章 - [Retina: Bridging Kubernetes Observability and eBPF Across the Clouds](<https://techcommunity.microsoft.com/blog/linuxandopensourceblog/ebpf-powered-observability-beyond-azure-a-multi-cloud-perspective-with-retina/4403361>)。
为什么还要等?现在就试试吧!
持续关注 [AKS 公共路线图](<https://aka.ms/aks/roadmap>) 以获取更多激动人心的开发!如需更多信息,请访问:
- 关于 Azure CNI Powered by Cilium 的更多信息,请访问 - [Configure Azure CNI Powered by Cilium in AKS](<https://learn.microsoft.com/en-us/azure/aks/azure-cni-powered-by-cilium>)。
- 关于 ACNS 的更多信息,请访问 [Advanced Container Networking Services (ACNS) for AKS | Microsoft Learn](<https://learn.microsoft.com/en-us/azure/aks/advanced-container-networking-services-overview?tabs=cilium>)。
更新于 2025 年 5 月 2 日
版本 2.0
<!-- AI_TASK_END: AI全文翻译 -->