Dataplane V2

Dataplane V2 es un plano de datos para GKE y clústeres de GKE que está optimizado para las herramientas de redes de Kubernetes. En esta página, se ofrece una descripción general de lo que hace Dataplane V2 y cómo funciona.

Introducción

Dataplane V2 proporciona lo siguiente:

  • Una experiencia del usuario coherente para las redes en GKE y todos los entornos de clústeres de GKE. Consulta Disponibilidad de Dataplane V2 para obtener información sobre los entornos que admiten Dataplane V2.
  • Visibilidad en tiempo real de la actividad de red.
  • Una arquitectura más simple que facilita la administración y la solución de problemas de los clústeres.

Dataplane V2 se basa en los nodos eBPF y Linux para procesar de manera flexible y eficiente los paquetes de red en el kernel con metadatos específicos de Kubernetes.

Ventajas de Dataplane V2

Seguridad

La política de red de Kubernetes siempre está activada en clústeres con Dataplane V2. No es necesario que instales y administres complementos de software de terceros, como Calico, para aplicar la política de red.

Escalabilidad

Dataplane V2 está diseñado para mejorar el enrutamiento en clústeres grandes. No usa kube-proxy ni iptables.

Operaciones

Cuando creas un clúster con Dataplane V2, el registro de políticas de red está integrado. Para ver cuándo los objetos de Pod permiten y rechazan las conexiones, configura la CRD de registro en el clúster.

Coherencia

Dataplane V2 está disponible y proporciona las mismas funciones en GKE y en otros entornos de clústeres de GKE. Consulta Disponibilidad de Dataplane V2 para obtener más detalles.

Cómo funciona Dataplane V2

A medida que los paquetes llegan a un nodo, los programas de eBPF instalados en el kernel deciden cómo enrutar y procesar los paquetes. A diferencia del procesamiento de paquetes con iptables, los programas de eBPF pueden usar metadatos específicos de Kubernetes en el paquete. Esto permite que Dataplane V2 procese de manera eficiente los paquetes de red en el kernel y, luego, informe acciones anotadas al espacio del usuario para el registro. En el siguiente diagrama, se muestra la ruta de un paquete a través de un nodo con Dataplane V2:

eBPF procesa un paquete que llega a un nodo en el kernel. Los programas de eBPF realizan la aplicación de las políticas, la resolución de servicios y el seguimiento de la conexión. Esta actividad se informa al espacio del usuario para el registro. Luego, la carga útil del paquete se entrega a un Pod.

El controlador de Dataplane V2 en el nodo se llama anetd. anetd se implementa como un DaemonSet en cada nodo y es responsable de interpretar los objetos de Kubernetes y programar topologías de red en eBPF. El controlador anetd reemplaza el enrutamiento kube-proxy del servicio y el enrutamiento que realizaría en el espacio de nombres kube-system.

Dataplane V2 alojados en clústeres de GKE se ejecuta en modo de red de superposición. En este modo, todos los nodos del clúster forman una malla de túneles mediante el protocolo de encapsulamiento de Geneve. Todo el tráfico de red de contenedor a contenedor se enruta a través de estos túneles. La ventaja principal de este modelo es que los nodos del clúster no necesitan conocer la configuración de red subyacente de Azure.

¿Qué sigue?