CNI

Tổng quan

CNI (Container Network Interface) là một bộ công cụ tiêu chuẩn cung cấp khả năng kết nối mạng cho các container trong một cụm Kubernetes. Nói một cách đơn giản, CNI là một lớp trừu tượng, giúp Kubernetes quản lý và cấu hình mạng cho các pod (một tập hợp các container chia sẻ cùng một mạng) một cách linh hoạt và hiệu quả.

CNI hoạt động như thế nào?

Khi bạn tạo một pod mới, Kubernetes sẽ gọi đến CNI để tạo một mạng interface cho pod đó. Plugin CNI sẽ thực hiện các tác vụ sau:

Cấp phát địa chỉ IP: Gán một địa chỉ IP duy nhất cho pod.
Cấu hình routing: Thiết lập các quy tắc routing cho phép giao tiếp giữa các pod,...

So sánh giữa các plugin CNI

Hiện tại, VKS đang cung cấp 3 plugin CNI phổ biến là Calico Overlay, Cilium Overlay, Cilium VPC Native Routing. Trong đó:

Calico Overlay: Phù hợp cho các môi trường cần hiệu suất cao và khả năng tương thích với nhiều hạ tầng.
Cilium Overlay: Tối ưu cho các ứng dụng cần bảo mật mạnh mẽ, giúp cải thiện hiệu suất, bảo mật, và khả năng mở rộng.
Cilium VPC Native Routing: Lý tưởng cho các môi trường sử dụng VPC, tối ưu hóa hiệu suất và quản lý IP trực tiếp từ VPC.

Dưới đây là bảng so sánh chi tiết ba plugin CNI phổ biến được cung cấp trên VKS: Calico Overlay, Cilium Overlay, và Cilium VPC Native Routing.

Tiêu chí	Calico Overlay	Cilium Overlay	Cilium VPC Native Routing
Mô hình mạng	Overlay (VXLAN/Ipip tunneling)	Overlay (VXLAN tunneling)	Native routing trực tiếp trên VPC (no overlay)
Công nghệ nền tảng	Sử dụng IP-in-IP hoặc VXLAN để tạo mạng overlay	Sử dụng eBPF để tạo mạng overlay	Sử dụng eBPF và sử dụng routing native của VPC
Hiệu năng	Tốt, phù hợp với nhiều workload	Rất tốt, tối ưu cho workloads yêu cầu hiệu năng cao	Tốt nhất, tận dụng tối đa hạ tầng VPC
Bảo mật	Mạnh mẽ, hỗ trợ policy-based networking chi tiết.	Tốt, tích hợp sâu với kernel, hỗ trợ eBPF	Tương đối tốt, dựa trên cấu hình VPC
Tích hợp với Kubernetes NetworkPolicy	Có	Có	Có
Quản lý IP	Quản lý IP động, cấp phát IP từ dải địa chỉ của Calico CIDR	Quản lý IP động, cấp phát IP từ dải địa chỉ của Cilium CIDR	Quản lý IP trực tiếp từ dải địa chỉ của VPC
Khả năng mở rộng	Hỗ trợ mở rộng tốt, phù hợp với các cụm lớn	Hỗ trợ mở rộng tốt, nhưng bị giới hạn bởi eBPF map size	Hỗ trợ mở rộng tốt, tối ưu hóa cho mạng VPC

Tiêu chí

Calico Overlay

Cilium Overlay

Cilium VPC Native Routing

Mô hình mạng

Overlay (VXLAN/Ipip tunneling)

Overlay (VXLAN tunneling)

Native routing trực tiếp trên VPC (no overlay)

Công nghệ nền tảng

Sử dụng IP-in-IP hoặc VXLAN để tạo mạng overlay

Sử dụng eBPF để tạo mạng overlay

Sử dụng eBPF và sử dụng routing native của VPC

Hiệu năng

Tốt, phù hợp với nhiều workload

Rất tốt, tối ưu cho workloads yêu cầu hiệu năng cao

Tốt nhất, tận dụng tối đa hạ tầng VPC

Bảo mật

Mạnh mẽ, hỗ trợ policy-based networking chi tiết.

Tốt, tích hợp sâu với kernel, hỗ trợ eBPF

Tương đối tốt, dựa trên cấu hình VPC

Tích hợp với Kubernetes NetworkPolicy

Có

Quản lý IP

Quản lý IP động, cấp phát IP từ dải địa chỉ của Calico CIDR

Quản lý IP động, cấp phát IP từ dải địa chỉ của Cilium CIDR

Quản lý IP trực tiếp từ dải địa chỉ của VPC

Khả năng mở rộng

Hỗ trợ mở rộng tốt, phù hợp với các cụm lớn

Hỗ trợ mở rộng tốt, nhưng bị giới hạn bởi eBPF map size

Hỗ trợ mở rộng tốt, tối ưu hóa cho mạng VPC

PreviousGiới hạn và hạn chế NLB NextSử dụng CNI Calico Overlay

Last updated 3 days ago