Как eBPF меняет правила безопасности и наблюдаемости в Kubernetes
Andrey_Biryukov 15 минут назад Как eBPF меняет правила безопасности и наблюдаемости в Kubernetes Сложный 7 мин 339 Блог компании OTUS Kubernetes * Сетевые технологии * Информационная безопасность * Аналитика Привет,...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Значимый прорыв формирует отрасль ИИ: Andrey_Biryukov 15 минут назад Как eBPF меняет правила безопасности и наблюдаемости в Kubernetes Сложный 7 мин 339 Блог компании OTUS Kubernetes * Сетевые технологии * Информационная безопасность * Аналитика Привет, Хабр! Меня зовут Андрей Бирюков. Я — независимый эксперт в области ИТ и ИБ, преподаю в учебных центрах и пишу статьи и книги.
Сейчас никого уже не удивишь фразой «мы используем Kubernetes в продуктивной среде». Но, удивляет другое: как многие до сих пор мирятся с сетевым стеком, собранным на коленке из iptables и молитв. Пока вы спите, ваш kube‑proxy методично перебирает цепочки правил, словно архивариус в пыльном подвале.
Технические детали
А ведь на дворе — эра eBPF, когда сетевая магия творится прямо в ядре, без лишних телодвижений и копирования данных. В этой статье мы без сантиментов разберем, почему классический подход с iptables рассыпается при первых признаках нагрузки, как eBPF с XDP переписывает правила игры и почему даже в 2026 году не все так однозначно с «бесплатным ускорением». Почему iptables больше не тянетДавайте сразу к цифрам.
При сравнении Flannel (overlay), Calico (routing) и Cilium (eBPF), был обнаружен неприятный факт: традиционные решения, построенные на iptables или IPVS, вносят измеримую задержку даже при средних нагрузках. Но когда у вас микросервисная архитектура, где один запрос проходит через 10, 20, 50 сервисов — эта мелочь превращается в секунды ожидания для пользователя. Причина торможения кроется, в том, что классический kube‑proxy в режиме iptables работает по принципу линейного перебора.
Каждый пакет, пришедший на Service IP, должен пройти через цепочку правил, пока не найдет свое соответствие. Если у вас тысяча сервисов (а в нормальном кластере это не предел), то приходящий пакет «стучится» в каждое правило, пока не дойдет до нужного. Сложность — O(n), где n — количество сервисов.
Отраслевые последствия
Это как искать книгу в библиотеке, где каталог не систематизирован, а просто перечислены все книги подряд. Есть еще режим IPVS, он использует хеш‑таблицы и работает быстрее, но даже он не решает проблему полностью. При высоких нагрузках и частом обновлении правил (например, при горизонтальном масштабировании подов) накладные расходы существенно растут.
Компания Isovalent (создатели Cilium) приводит такие цифры: при тестировании TCP Connect/Request/Response (CRR) eBPF на порядок обгоняет iptables‑режим kube‑proxy, причем разрыв увеличивается пропорционально числу сервисов. Чем больше ваш кластер — тем больнее вы ощущаете задержки kube‑proxy. eBPF и XDP: когда ядро становится программируемымТеперь — о прекрасном, то есть о eBPF (Extended Berkeley Packet Filter).
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
