本质是一个负载均衡器 • ClusterIP提供集群内的访问 • NodePort 提供集群外部的访问 iptables mode • 在netfilter pre-routing阶段做DNAT • 在netfilter post-routing阶段做SNAT • 每个service 添加一条或多条rules。使用数组管理rules。 • 仅支持随机的调度算法 • kube-proxy代码实现比较简单 IPVS 对conntrack的功能依赖 • Iptables SNAT • 具体如何绕过conntrack？ • 进报文 • 将处理请求的钩子从nf local-in 前移到nf pre-routing • skb的路由指针是NULL • 处理分片 • 出报文 • 本来的逻辑： • Nf local out -> ip_output -> NF postrouting -> ip_finish_output 为请求1分配了lport=cport • 很快Iptables SNAT 为请求2分配了同样的lport • Conntrack Post routing 函数中，将请求1的lport插入conntrack，成功！ • Conntrack Post routing 函数中，将请求2的lport插入conntrack，失败，丢包，导致延迟。 • 解决方法 • eBPF代码在分配lport和插入ha

從微軟角度看 Kubernetes 對公有雲所帶來的改變與挑戰 Tom Lee 雲端解決方案架構師 合作夥伴暨商務事業群 台灣微軟 Policy Routing Telemetry 智慧端點卻連接著笨管線 Smart endpoints, dumb pipes 過去 25 年都是如此運作 服務數量越來越多，端點越來越多，該如何管理 ? 服務網格 Service Mesh 更聰明的管線 Kubernetes CNCF 沙箱計畫 Service Mesh Interface (SMI) for Kubernetes Kubernetes 標準介面期望統一定義 Traffic Routing, Traffic Telemetry 與 Traffic Policy 應用程式 工具 生態系統 標準化 讓 Kubernetes 上服務網格能有 一致的標準 化繁為簡 定義服務網格各家方案之共通

wlc, sh, dh, lblc… • ������ Ø persistent connection���� IPVS��� IPVS������ • ����LB��: Direct Routing(DR), Tunneling, NAT Ø DR�����L2������������ Ø Tunneling���IP���IP��������� Ø DR�Tunneling�����������IPVS