[新产品/新功能] 为 AKS 提供扁平网络扩展解决方案 - Azure CNI Pod Subnet

[新产品/新功能] 为 AKS 提供扁平网络扩展解决方案 - Azure CNI Pod Subnet - Static Block Allocation   # 产品功能分析 ## 新功能/新产品概述 Azure CNI Pod Subnet - Static Block Allocation 是 Azure 为 Azure Kubernetes Service (AKS) 提供的网络解决方案，核心定义是扩展集群容量，将 **Pod** 数量从 65,000 提升至 1,000,000，实现 **15x** 规模增长。技术原理涉及将 **Azure 子网 CIDR 范围** 预分配给每个节点，然后由节点上的 **Pod** 从其预分配的 CIDR 块中获取 IP 地址，而不是随机分配单个 IP，从而简化大规模部署。产品背景源于 AKS 用户对高可伸缩性的需求，特别是在企业级环境中，随着业务需求快速演变，传统网络方案（如 **overlay networks**）虽可支持大规模但引入额外开销。该功能的目标用户群是 AKS 用户，包括企业开发者和运维团队，市场定位聚焦于提供 **flat network** 架构的扩展性，解决传统方案的局限性，同时兼容 **Azure CNI Powered by Cilium**，确保网络策略和性能优化。 ## 关键客户价值 - **大规模扩展优势**：业务价值在于消除 **Pod** 数量的传统限制，支持高达 1,000,000 **Pod** 每集群，实现无缝扩展。这与竞品（如基于 **overlay networks** 的方案）的差异化在于，Azure 方案维持 **flat network** 的低延迟和简单性，而非通过额外网络层牺牲性能；实现机制是通过预分配 **CIDR 块** 到节点，避免 IP 地址碎片化。在高负载场景中，如电商峰值流量，用户可轻松扩展而不需重构网络架构。 - 子级差异：在多集群环境中，与 **overlay networks** 相比，此方案减少网络跃点，提升资源利用率。 - **高性能和低延迟**：为 **Pod** 提供 **VNet** 路由，直接改善入站/出站流量，业务价值是降低网络延迟，支持实时应用。这超越竞品传统 **flat network** 的 65,000 **Pod** 限制；实现机制是 **VNet-native pod networking**，通过消除不必要跃点，确保高效数据传输。在边缘计算场景中，用户可实现更稳定的应用响应。 - 子级差异：相较于其他云提供商的网络方案（如 AWS EKS 的 overlay），Azure 的方法允许独立缩放节点和 **Pod** 网络，提供更精细控制。 - **高效 IP 管理和灵活性**：业务价值包括简化 IP 分配和跨节点池共享 **Pod** 子网，支持独立网络缩放。这与竞品的差异在于更细粒度的控制，例如自定义 **NAT** 和 **NSG** 策略；实现机制是通过为每个节点分配专用 **CIDR 块**，便于大规模部署管理。在混合云场景中，用户能轻松整合现有集群，减少迁移成本。 - 子级差异：与其他 AKS 功能（如动态 IP 分配）兼容，允许渐进式采用，而非竞品的强制性重构。 - **细粒度安全控制**：业务价值是实现 **Pod** 级隔离和策略应用，提升数据保护。这区别于竞品的通用网络方案；实现机制是分配专用子网，支持针对 **Pod** 的 **NSG** 策略。在多租户环境中，用户可隔离敏感工作负载，防范潜在威胁。 ## 关键技术洞察 - **技术独特性**：基于 **CIDR 块预分配机制**，每节点获得专用 **Azure 子网 CIDR**，_Pod_ 从中动态获取 IP。工作原理是，当 **Pod** 调度到节点时，系统从预分配块中分配地址，避免随机 IP 消耗，提升效率。该技术创新点在于融合 **flat network** 的低延迟与大规模扩展，通常仅限于 **overlay networks**。 - **对性能、安全性和可用性的影响**：创新点显著提升性能，通过减少网络跃点，_降低延迟_ 并提高 **VNet** 路由效率；安全性方面，支持 **Pod** 级 **NSG** 和 **NAT** 策略，实现隔离工作负载，防范横向攻击；可用性得到增强，可独立缩放节点和 **Pod** 网络，支持突发流量。挑战包括初始 CIDR 规划复杂，可能导致地址浪费，但 Azure 通过提供动态兼容方案（如与动态 IP 分配并用）予以解决，确保平滑部署。 - **技术实现的挑战和解决方式**：挑战在于 **CIDR 块** 分配需精确匹配集群规模，可能增加规划开销；解决方式是无缝整合 **Azure CNI**，允许在新节点池中逐步应用，避免服务中断，并在文档中列出限制（如子网大小要求），指导用户优化配置。   # 为 AKS 提供扁平网络扩展解决方案 - Azure CNI Pod Subnet - Static Block Allocation **原始链接:** [https://techcommunity.microsoft.com/blog/azurenetworkingblog/provide-a-flat-network-scaling-solution-to-aks---azure-cni-pod-subnet---static-b/4435572](https://techcommunity.microsoft.com/blog/azurenetworkingblog/provide-a-flat-network-scaling-solution-to-aks---azure-cni-pod-subnet---static-b/4435572) **发布时间:** 2025-07-24 **厂商:** AZURE **类型:** TECH-BLOG --- ![](https://techcommunity.microsoft.com/t5/s/gxcuf89792/images/bS00NDM1NTcyLURDa2FmcA?revision=10&image-dimensions=2000x2000&constrain-image=true) Azure Networking Blog # 为 AKS 提供扁平网络扩展解决方案 - Azure CNI Pod Subnet - Static Block Allocation 2025 年 7 月 24 日我们很高兴宣布 Azure CNI Pod Subnet - Static Block Allocation 的正式可用 - 这是一个彻底改变您扩展 Azure Kubernetes Service (AKS) 集群方式的网络解决方案！这个期待已久的特性现已推出，为集群提供企业级扁平网络，支持前所未有的容量扩展。 # 什么是 Azure CNI Pod Subnet - Static Block Allocation？ Azure CNI Pod Subnet - Static Block Allocation 革新了 AKS 网络设计，将集群容量从 65,000 个 Pod 扩展到 1,000,000 个 Pod - 这是一个惊人的 15 倍增长，彻底消除传统扩展限制。与其为每个节点分配一组随机的单个 IP 地址不同，这种创新方法直接为节点分配专用的 Azure 子网 CIDR (Classless Inter-Domain Routing) 范围。每个调度到节点的 Pod 都会从该节点的预分配 CIDR 块中获取 IP 地址，从而提升 IP 限制并简化大规模部署。结果是，您获得无与伦比的灵活性，包括独立的节点和 Pod 子网、细粒度的 NAT 和 NSG (Network Security Group) 策略控制、在 Pod 级别实现工作负载隔离，以及 VNet (Virtual Network) 原生 Pod 网络以保持高峰性能。它还无缝集成 [Azure CNI Powered by Cilium](<https://learn.microsoft.com/en-us/azure/aks/azure-cni-powered-by-cilium>) ，提供高级网络功能和全面的网络策略执行。 # 为什么需要 Azure CNI Pod Subnet - Static Block Allocation？ Kubernetes 网络解决方案的规划面临挑战，因为业务需求快速演变。AKS 用户常常需要在简单性、安全性和可扩展性之间权衡，而环境变化进一步增加了管理成本。许多 AKS 用户需要 [扁平网络 (flat network)](<https://learn.microsoft.com/en-us/azure/aks/concepts-network-cni-overview#flat-networks>) 架构、具有直接入站连接的 Pod，以及与 Azure 原生解决方案的集成，但传统扁平网络无法扩展超过 65,000 个 Pod。在静态块发布之前，用户要么选择覆盖网络 (overlay networks) 来实现大规模扩展，要么放弃扁平网络的好处。 Azure CNI Pod Subnet - Static Block Allocation 启用 VNet 路由的 IP 地址，支持扩展到超过 1,000,000 个 Pod，提供扁平网络的简单性和低延迟。每台节点接收预分配的 CIDR 块，所有该节点的 Pod 从这些范围获取 IP 地址。这种方法实现了之前仅覆盖网络可提供的海量规模 (高达 1,000,000 个 Pod)，同时保留扁平网络架构的所有优势。它还与 Azure CNI Pod Subnet - Dynamic IP Allocation 无缝协作，只需在新节点池上部署专用的子网即可。 AKS 用户可以轻松扩展网络解决方案，同时保持企业级可靠性和安全性。 # 关键益处 - **海量规模提升:** 突破 65,000 个 Pod 的限制，扩展到每个集群 1,000,000 个 Pod。这不仅仅是数字 - 它让您自由构建和扩展，而不会遇到意外网络限制。 - **高性能:** AKS 用户的 Pod 在 VNet 上路由，这对入站/出站流量有益，消除不必要的网络跳跃，并降低 VNet 原生 Pod 网络的延迟。 - **高效 IP 管理:** AKS 用户现在可以为节点分配 CIDR 块。这种方法提升了 IP 可扩展性，适合大规模部署。 - **无与伦比的灵活性:** - 与现有集群中的 Azure CNI Pod Subnet - Dynamic IP Allocation 无缝协作。 - 在多个节点池或不同集群间共享 Pod 子网。 - 独立扩展节点和 Pod 网络。 - **细粒度控制和安全性:** 由于 Pod 获取自己的专用子网，AKS 用户可以: - 对 Pod 与节点应用不同的网络安全策略。 - 配置自定义的 NAT 和 NSG 策略。 - 在 Pod 级别实现工作负载隔离。 # 了解更多关于 Azure CNI Pod Subnet - Static Block Allocation 在 [Azure CNI Pod Subnet - Static Block Allocation](<https://learn.microsoft.com/en-us/azure/aks/configure-azure-cni-static-block-allocation>) 中阅读更多内容，并立即在您的环境中试用。 - 了解 [该解决方案的限制 (the solution limitations)](<https://learn.microsoft.com/en-us/azure/aks/configure-azure-cni-static-block-allocation#limitations>)。 - 了解更多关于 [Azure Kubernetes Service](<https://azure.microsoft.com/en-us/products/kubernetes-service/>)。更新于 2025 年 7 月 24 日版本 2.0