-
基于router设置策略路由,svc网关经router转发。 缺点 链路较长
-
基于sdn subnet lb 结合健康检查,比如kube-ovn
-
基于node,要求pod能直通node,ipvlan,macvlan, bridge cni都需要hostname 有一个对等pod的子接口来互联pod和 本地 node
-
Cilium
image.png
iptables 有一定的性能问题,所以cilium 没用使用netfilter的方案。
关于安全限制的扩展思考:
-
k8s cluster 内部的访问限制, 最好在node层实现,在node内部将流量就拦截掉,不会再有无效流量的转发消耗。
-
vm本身的访问限制,一般在ovs流表中做限制
ovs dpdk 和 cilium 应该大框架上 包加速的思路以及filter思路是一致的,
但是ovs是面向vpc的,裸机层的,cilinum是vm内的,flat的
网友评论