North-South Load Balancing of Kubernetes Services with eBPF/XDP Martynas Pumputis (Isovalent) October 28, 2020 10.0.0.1 10.0.0.2 10.0.0.3 httpd httpd “httpd” service 10.0.0.1:30000 10.0.0.2:30000 KUBE-FORWARD -m comment --comment "kubernetes forwarding rules" -m mark --mark 0x4000/0x4000 -j ACCEPT -A KUBE-FORWARD -s 10.217.0.0/16 -m comment --comment "kubernetes forwarding conntrack pod source rule" --ctstate RELATED,ESTABLISHED -j ACCEPT -A KUBE-FORWARD -d 10.217.0.0/16 -m comment --comment "kubernetes forwarding conntrack pod destination rule" -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Concepts Component Overview Terminology Networking Network Security eBPF Datapath Observability Kubernetes Integration Multi-Cluster (Cluster Mesh) Getting Help FAQ Slack GitHub Training Enterprise support Layer 4 Examples Layer 7 Examples Deny Policies Host Policies Layer 7 Protocol Visibility Using Kubernetes constructs in policy Endpoint Lifecycle Troubleshooting Monitoring & Metrics Cilium Metrics Hubble Local Development in Vagrant Box Making Changes Add/update a golang dependency Add/update a new Kubernetes version Optional: Docker and IPv6 Debugging Building Container Images Developer images Official

Concepts Component Overview Terminology Networking Network Security eBPF Datapath Observability Kubernetes Integration Multi-Cluster (Cluster Mesh) Getting Help FAQ Slack GitHub Training Enterprise support Layer 4 Examples Layer 7 Examples Deny Policies Host Policies Layer 7 Protocol Visibility Using Kubernetes constructs in policy Endpoint Lifecycle Troubleshooting Monitoring & Metrics Cilium Metrics Hubble Local Development in Vagrant Box Making Changes Add/update a golang dependency Add/update a new Kubernetes version Optional: Docker and IPv6 Debugging Building Container Images Developer images Official

其他内核 多样性算力 ARM64 X86 RISC-V SW-64 LoongArch Power openEuler社区托管/孵化基础软件创新项目超过500个 openEuler 云原生全栈 集群部署、管理 KubeOS 云原生OS Eggo 一键部署平台 NestOS KubeEdge 多样性算力使能 ARM64 X86 RISC-V SW-64 LoongArch Power DPU Docker Containerd Kusar StratoVirt Kata … 云原生业务调度 Rubik 在离线混布 Kmesh 高性能服务网格 Volcano Rancher RKE2/K3s KubeVirt … KubeSphere … Applications openEuler 社区项目 加入 openEuler 社区 立即体验 如何获取 openEuler

Orchestrators Concepts Component Overview Terminology Networking Network Security eBPF Datapath Kubernetes Integration Multi-Cluster (Cluster Mesh) Getting Help FAQ Slack GitHub Security Bugs Operations Layer 3 Examples Layer 4 Examples Layer 7 Examples Host Policies Layer 7 Protocol Visibility Using Kubernetes constructs in policy Endpoint Lifecycle Troubleshooting Monitoring & Metrics Cilium Metrics Hubble server Hubble Relay Reference Command Cheatsheet Command utilities: Command examples: Kubernetes examples: Command Reference cilium-agent cilium cilium-health cilium-operator cilium-operator-aws

Concepts Component Overview Terminology Networking Network Security eBPF Datapath Observability Kubernetes Integration Multi-Cluster (Cluster Mesh) Getting Help FAQ Slack GitHub Training Enterprise support Layer 4 Examples Layer 7 Examples Deny Policies Host Policies Layer 7 Protocol Visibility Using Kubernetes constructs in policy Endpoint Lifecycle Troubleshooting Monitoring & Metrics Cilium Metrics Hubble Local Development in Vagrant Box Making Changes Add/update a golang dependency Add/update a new Kubernetes version Optional: Docker and IPv6 Debugging Building Container Images Developer images Official

Konfigurationswerkzeug für GNOME. Zum Beispiel: • können Sie eine ”Über-Verstärkung” der Sound-Lautstärke erzwingen (unter ”Allgemein”); • können Sie erzwingen, dass die Feststelltaste (”Caps-Lock”) zu ”Esc” mehrere Ausgänge. alsamixer(1) aus dem alsa-utils-Paket ist nützlich für die Einstellung von Lautstärke und Stummschaltung. Paket Popcon Größe Beschreibung alsa-utils V:330, I:466 2605 Werkzeuge zur Konfiguration Befehlszeilen-Optionen: perlrun(1) • Perl’s spezielle Variablen: perlvar(1) Diese Flexibilität ist die Stärke von Perl. Gleichzeitig erlaubt sie aber auch die Erstellung von kryptischem und verwinkeltem Code.

安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+Qemu 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：ARM/X86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 22.03 LTS SP2 Edge，支持 KubeEdge+ 边云协同框架，具备边 虚拟机业务推荐：时延敏感类业务，如 web 服务、高性能数据库、实时渲染、机器学习推理等。低优先级虚拟机业务推荐： 非时延敏感类业务，如视频编码、大数据处理、离线渲染、机器学习训练等。 应用场景 版本功能如下： • 集群调度增强：增强 OpenStack Nova 能力，支持优先级语义调度。 • 功耗控制：通过对低优先级虚拟机的 CPU 带宽进行限制，以此达到降低整机功耗的同时保障高优先级虚拟机 QoS。 • Cache 配置等技术，采用双根文件 系统、原子化更新的设计思路，使用 nestos-assembler 快速集成构建。并针对 K8S、OpenStack 等平台进行适配，优化 容器运行底噪，使系统具备十分便捷的集群组件能力，可以更安全的运行大规模的容器化工作负载。 NestOS 适合作为以容器化应用为主的云场景基础运行环境，解决了在使用容器技术与容器编排技术实现业务发布、 运维时与底层环境高度解耦而带来的

安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+QEMU 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：Arm/x86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 24.03 LTS Edge，支持 KubeEdge+ 边云协同框架，具备边云应用统一管 等平台进行适配，优化容器运行底噪，使 系统具备十分便捷的集群组建能力，可以更安全的运行大规模的容器化工作负载。 1. 开箱即用的容器平台：NestOS 集成适配了 iSulad、Docker、Podman 等主流容器引擎，为用户提供轻量级、定制化的云场景 OS。 2. 简单易用的配置过程：NestOS 通过 ignition 技术，可以以相同的配置方便地完成大批量集群节点的安装配置工作。 3. 安全可靠的包管理：NestOS 提供自动更新服务，可实现节点自动更新与重新引导，实现集群节点有序升级而服 务不中断。 5. 紧密配合的双根文件系统：NestOS 采用双根文件系统的设计实现主备切换，确保 NestOS 运行期间的完整性与安全性。 NestOS 适合作为以容器化应用为主的云场景基础运行环境，在本次 openEuler 24.03 LTS 版本中，引入社区孵化项目 NestOS- Kubernetes-Deployer，辅助 NestOS

等组件。 创新架构，全栈优化，打造全场景协同的 One OS，充分释放多样性算力。 IDE 自调优工具 A-Tune 测试平台 Compass-CI 工具链 OpenStack Kubernetes 麒麟HA 集群调度 和管理 CPU: X86、Arm、RISC-V GPU NPU 芯片 APPS 虚拟化 容器 QEMU Docker libvirt 虚拟化/ 容器 StratoVirt StratoVirt& 虚拟化：支持内存弹性、大页、增强 IO 子系统、通过多通道并发提升 IO 性能。 • OpenStack&Kubernetes：向云而生，集成两大主流云计算调度和管理软件，构筑云化基座 。 • HA 高可用集群方案：麒麟软件贡献的 HA 高可用集群方案，故障秒级切换。 繁荣社区生态： • 更多桌面环境支持：UKUI、DDE 、Xfce 桌面环境，丰富社区桌面环境生态。 IaaS 服务的解决方案，每个服务通过 API 进行集成。 OpenStack Victoria 是 2020 年 OpenStack 社区最新稳定发布版本，包含计算、存储、网络、PaaS、安全、集群管理 等多个模块。已经完成 Nova、Keystone、Neutron、Glance、Ironic、Horizon 几个模块对 openEuler 的适配。 OpenStack 的迁移适配工作由中国联通主导的