金融、电子商务、在线教育、游戏等对延迟敏感的业务对计算和网络IO提出了最佳性能要求，使您能够在运营环境中最大限度地利用计算和网络资源。业界通用的第一代裸机容器可以为业务提供充足的CPU资源，但如何提供与计算能力相匹配的高性能、低开销、快速灵活的扩展网络资源，对现有的容器网络技术提出了一系列挑战。(威廉莎士比亚，《北方执行》(Northern  Exposure))。

　　近一年多来，主要公共云容器服务和各Kubernetes商业发行版增加了对容器网络的投资，发现这些业务增强功能和开源创新方案虽然场景或目标不同，但几乎包括“卸载”和“加速”。

　　华为云以引擎天空体系结构实施的容器网络为基础，创新地采用软硬件协作、卸载、Kubernetes服务沉没、高密度直通等技术，构建业界领先的容器网络方案，华为云成为构建全球专有无损原始金属容器的杀手之一。

　　blogging  _ blogger  _ office  _ business  _ notebook  _ macbook  _ air  _ portable  _ device  _ computer

　　硬件直通网络性能零损失

　　要完全解决容器的互操作性问题，必须授予容器和节点同等的互操作性功能。这是集装箱网络的主要进化。也就是说，容器网络与主网络持平，在Kubernetes社区中称为VPC-Native的CNI。

　　容器网络Yangtse采用称为Elastic  Network  Interface(ENI)模式的VPC-Native网络，容器直接装载具有VPC子网地址的ENI，具有完整的VPC网络互操作性。也就是说，容器地址属于VPC子网，容器是专有的。容器实例可以从群集VPC网络和其他连接的VPC网络进行基本路由，并且可以直接使用VPC基本网络功能，如网络策略、ELB、EIP、NAT等。

　　此外，基于华为云引擎天空体系结构的硬件和软件协作功能，管理和交付逻辑下沉到引擎天空卡中，使用容器网络主机资源0。将数据平面转发功能卸载到引擎千卡后，大大提高数据包转发速度和延迟，使用VF直通容器实现无损网络转发性能，容器内网卡提供与裸机服务器主网卡相同的性能。动态队列高计算力自动匹配高IO

　　目前，在容器网络方案中，根据广泛使用的Calico路由或VPC路由模式的veth/ipvlan网络或新的VPC-Native弹性网卡(ENI)网络，没有为各种容器规范提供差别化的网络规范。内核单队列虚拟网络设备veth/ipvlan或固定队列的ENI网络端口的转发能力有限，因为网络消息的转发逻辑是在内核软中断中处理的。需要将消息传递到网络设备的发送和接收队列时，将触发相应的软中断，内核通过中断负载平衡机制将不同网络队列的中断分发到不同的CPU核心并行处理中，从而提高转发性能。显然，单队列或固定队列网关不能灵活满足HPC等计算和IO双重密集容器负载，从而使网络IO成为瓶颈，延长工作负载正常运行时间，增加客户成本。容器网络Yangtse根据容器负载(如16核容器负载)的规格自动分配16个队列的直接ENI，实现计算和IO的自动匹配，提供最佳整体性能，实现名副其实的高性能弹性计算。

　　服务卸载单跳直接性能乘数

　　Kubernetes的默认Kube-proxy提供了群集内服务负载平衡功能。iptables/netfilter被称为Linux内核的瑞士军刀，是Kube-proxy的第一个实施方案。随着Kubernetes生产集群的规模扩大，服务数量和后端数量也同时增加。iptables的规则数是服务数乘以后端数。如果规则数超过5000，规则刷新性能和新连接速度(线性查找表)将大幅恶化，CPU和内存使用量将急剧增加。

　　容器网络Yangtse将Kube-proxy沉入发动机卡，抽象Internal  LB的概念，利用流表的卸载功能，一口气实现服务访问，不仅提高了服务性能，还释放了原始金属服务器的计算资源，减少了资源损失。(威廉莎士比亚、Northern  Exposure(美国电视剧)、Northern  Exposure(美国电视剧))。

　　综上所述，华为云通过对容器网络的创新探索，逐渐应用于社区，以提高产品的业务价值或促进云的基本技术发展。集装箱网络Yangtse除了本文提到的三个事项外，还提供了更多的黑技术，以支持大规模集装箱部署和快速扩展。