QoS in Telco-Kubernetes: DPDK, SR-IOV und QoS für CNFs

QoS in Telco-Kubernetes ist eines der Themen, an denen sich zeigt, ob eine Cloud-native Telco-Architektur wirklich „carrier-grade“ ist oder ob sie in Spitzen bei Voice und Video instabil wird. CNFs (Cloud-native Network Functions) bringen Agilität, Skalierbarkeit und Automatisierung – gleichzeitig verschiebt sich die Qualitätskontrolle vom klassischen Router-Queueing in eine mehrschichtige Kette aus Linux-Netzwerkstack, CNI/Overlay, vSwitch, NIC-Offloads, CPU-Scheduling, NUMA-Topologie und schließlich Underlay-QoS im Transportnetz. Genau deshalb stehen in Telco-Kubernetes oft DPDK und SR-IOV im Mittelpunkt: DPDK umgeht Teile des Kernel-Datapaths und reduziert Latenz/CPU-Overhead, SR-IOV bringt Datenpfade näher an die Hardware und senkt Jitter durch weniger Kontextwechsel. Aber: Beide Technologien lösen nicht automatisch QoS. Im Gegenteil – sie können QoS sogar schwieriger machen, wenn Markierungen (DSCP/CoS), Queue-Disziplinen, Rate-Limits oder Traffic-Policer nicht konsistent über Pod, Host, vSwitch und NIC hinweg umgesetzt werden. Ein professionelles QoS-Design für CNFs muss daher zwei Perspektiven verbinden: erstens klassische Netzwerktechnik (DiffServ, Klassenmodelle, Shaping/Policing, Trust Boundaries) und zweitens Cloud-/Plattformtechnik (CPU-Pinning, Hugepages, IRQ-Affinity, NIC-Queues, SR-IOV-VFs, DPDK-Scheduler, Kubernetes Resource Management). Dieser Artikel erklärt, wie QoS in Telco-Kubernetes praktisch umgesetzt wird, welche Bausteine sich bewährt haben und wie Sie DPDK, SR-IOV und QoS so kombinieren, dass Echtzeittraffic planbar bleibt.

Warum QoS in Telco-Kubernetes komplexer ist als im klassischen Netz

In traditionellen IP/MPLS-Netzen entscheidet der Router am Engpass mit Queues und Shaping. In Telco-Kubernetes entsteht ein zusätzlicher „Compute-Datapath“, der ebenso QoE-relevant ist wie das Transportnetz:

• CPU-Scheduling: Pods teilen sich CPU-Zeit; Latenzspitzen entstehen bei Preemption, CFS-Delays oder Overcommit.
• NUMA und Speicher: falsche NUMA-Zuordnung kann Cache-Misses und Variabilität erhöhen.
• Network Datapath: CNI, Overlay, iptables/eBPF, vSwitch – jeder Layer kann Delay/Jitter einbringen.
• NIC-Queues und Offloads: Hardware-Queues, RSS, QoS-Prioritäten und Rate-Limits müssen korrekt gesetzt sein.
• Multi-Tenant: mehrere CNFs, mehrere Services, mehrere Kunden – Isolation ist Pflicht.

Das bedeutet: QoS muss „vertikal“ gedacht werden – vom Pod bis zur NIC und dann ins Underlay. Wer nur im Underlay priorisiert, kann durch Compute-Jitter trotzdem schlechte Echtzeit liefern.

Die gemeinsame QoS-Sprache für CNFs: Klassenmodell als Basis

Auch in Kubernetes gilt: Ohne klares Klassenmodell gibt es keine verlässliche Priorisierung. Ein schlankes, carrier-taugliches Modell ist besonders wichtig, weil Mapping-Drift in Cloud-Stacks schnell eskaliert:

• Voice Real-Time: Audio-Medien (RTP/SRTP), strict priority im Engpass (LLQ) mit Limit.
• Control/Signaling: SIP/IMS-Signaling, Steuertraffic, hoch priorisiert gewichtet.
• Interactive Video: Video Calls/WebRTC, gewichtet, bursttolerant.
• Best Effort: Standarddaten.
• Background (optional): Updates/Backups, klar niedriger priorisiert.

Dieses Modell muss in drei Welten konsistent sein: in der CNF selbst (Markierung), im Host/vSwitch/NIC (Queueing) und im Transportnetz (DSCP/CoS/MPLS-TC).

DPDK im Telco-Kubernetes: Was es bringt und was es nicht bringt

DPDK (Data Plane Development Kit) wird genutzt, um Pakete im Userspace sehr performant zu verarbeiten. Typische Vorteile:

• Niedrigere Latenz: weniger Kernelpfade und Kontextwechsel, potenziell stabilere Perzentile.
• Hoher Durchsatz: besonders für dataplane-intensive CNFs (UPF, vRouter, SBC-Medienpfade).
• Bessere Kontrolle: eigene Polling-Mechaniken statt Interrupt-Jitter.

Wichtig ist die Abgrenzung: DPDK verbessert die Paketverarbeitung, ersetzt aber nicht QoS. Wenn DPDK-Threads CPU-konkurrenz haben oder wenn die NIC-Queues falsch priorisieren, entstehen weiterhin Jitter und Drops.

CPU-Determinismus für DPDK: Ohne CPU-Pinning kein Echtzeitversprechen

DPDK arbeitet häufig mit Polling und ist empfindlich gegenüber CPU-Scheduling-Variabilität. Für QoS-relevante CNFs ist CPU-Determinismus deshalb ein Kernbaustein:

• CPU-Pinning: DPDK-Threads auf dedizierte Kerne binden (isolierte CPUs), um Preemption zu minimieren.
• IRQ-Affinity: NIC-Interrupts und housekeeping-Tasks von Echtzeitkernen fernhalten.
• NUMA-Affinity: Pod, Hugepages und NIC-VFs auf derselben NUMA-Node halten.
• Ressourcenreservierung: CPU-Requests/Limits so setzen, dass keine Überbuchung entsteht, die in Busy Hour Jitter erzeugt.

Eine praktische Regel: Wenn Voice/Video durch CNFs läuft, darf deren kritischer Datapath nicht auf „best effort CPU“ laufen.

SR-IOV: Hardware-nahe Datenpfade – und neue QoS-Herausforderungen

SR-IOV (Single Root I/O Virtualization) stellt Virtual Functions (VFs) bereit, die Pods direkt nutzen können. Das reduziert Overhead durch vSwitch/Kernelpfade und senkt oft die Latenz. Gleichzeitig verschiebt SR-IOV QoS-Entscheidungen näher an die NIC:

• NIC-Queueing wird zentral: Prioritäten, Scheduling und Rate-Limits müssen auf PF/VF-Ebene korrekt sein.
• Isolation: pro VF müssen Bandbreitenprofile und ggf. Queue-Prioritäten sauber getrennt sein.
• Markierungserhalt: DSCP/CoS müssen vom Pod bis zur NIC und ins Underlay erhalten bleiben.

Ohne klare PF/VF-QoS-Policies kann SR-IOV zwar „schnell“ sein, aber in Spitzen unvorhersehbar.

DPDK + SR-IOV: Typische Architekturpattern für CNFs

In Telco-Kubernetes begegnen häufig diese Muster:

• SR-IOV VF direkt in Pod: höchster Durchsatz, niedrigster Overhead; QoS hängt stark an NIC/PF-Konfiguration.
• DPDK über VF (Userspace Driver): CNF verarbeitet Pakete im Userspace direkt über VF, sehr performant; CPU/NUMA-Disziplin ist Pflicht.
• vSwitch/OVS-DPDK: zentraler DPDK-basierter vSwitch, der mehrere Pods bedient; QoS kann zentralisiert werden, aber Konfiguration ist anspruchsvoll.

Welches Muster sinnvoll ist, hängt vom Service ab: Medienpfade profitieren oft von minimalem Jitter, Control/Signaling ist weniger throughputkritisch, aber stabilitätskritisch.

QoS im Kubernetes-Netzwerkstack: CNI, eBPF und Host-Queueing

Nicht jede CNF nutzt SR-IOV. Viele Pods laufen über CNI-Interfaces (veth), Linux qdisc und ggf. eBPF/iptables. Hier sind QoS-Hebel:

• DSCP setzen/erhalten: CNFs sollten DSCP korrekt markieren oder markierungsneutral sein und Markierungen nicht verlieren.
• Host qdisc: Shaping und Priorisierung auf dem Host-Egress kann Bufferbloat reduzieren – besonders bei rate-limitierten Uplinks.
• Traffic Control: per-Klasse Rate-Limits oder Hierarchical QoS, um noisy neighbors zu kontrollieren.

Gerade in Multi-Tenant-Kubernetes ist Host-QoS ein wichtiger Schutz: Er verhindert, dass ein Pod mit BE-Last die Latenzdomäne für Voice/Video auf demselben Node zerstört.

Markierungen end-to-end: DSCP, VLAN PCP und Underlay-Mappings

Telco-Kubernetes sitzt selten isoliert. Der Traffic verlässt den Cluster über ToR/Leaf-Spine, Metro und Core. Deshalb ist Markierungs-Interoperabilität entscheidend:

• DSCP im Pod: wird gesetzt oder übernommen (Trust Boundary im Cluster).
• DSCP am Node/NIC: darf nicht genullt werden; Outer/Inner muss bei Overlays korrekt sein.
• PCP/CoS im DC-Fabric: wenn VLAN/EVPN/VXLAN genutzt wird, muss IP-QoS sauber in L2-CoS übersetzt werden.
• MPLS-TC im Telco-Core: DSCP↔TC Mapping konsistent, damit Echtzeit im Core richtig queued.

Vendor-Mixing und unterschiedliche Defaults im Data-Center-Fabric sind ein häufiger Grund für „QoS wirkt im Core, aber nicht im DC“. Deshalb sollten Mappings als zentrale Tabellen standardisiert werden.

Shaping und Policing für CNFs: Wo es sinnvoll ist

CNFs erzeugen oft burstigen Verkehr (Video, GTP-U, Encapsulation) und laufen über Profil-Uplinks. Shaping und Policing sind daher auch in Telco-Kubernetes relevant:

• Egress-Shaping am Node oder am vSwitch: glättet Bursts, reduziert Drop-Cluster, stabilisiert Jitter.
• Per-Tenant/Per-CNF Budgets: verhindert noisy neighbors; besonders wichtig bei Multi-Tenant Edge-Clustern.
• Policing vorsichtig: harte Drops in Voice/Video sind riskant; Überschuss eher remarken oder über Shaping abfangen.

Eine robuste Baseline ist: Voice strikt priorisiert, aber begrenzt; Video gewichtet und bursttolerant; BE fair, aber kontrolliert.

Observability: QoS-Probleme in CNFs sind ohne Telemetrie unsichtbar

Für Telco-Kubernetes brauchen Sie QoS-Telemetrie auf mehreren Ebenen, sonst bleibt die Ursache unklar:

• Service-KPIs: MOS/R-Faktor, RTP Jitter/Loss, Video Freeze Events, Bitrate Switching.
• Node/Host: CPU-Steal, Scheduling-Delays, IRQ-Load, NUMA-Mismatches, NIC-Queue-Stats.
• Network QoS: DSCP-Verteilung, Classify-Hits, Queueing Delay/Drops pro Klasse am vSwitch/NIC/ToR.
• Active Probes: EF/AF/BE Probes zwischen Edge/Cluster-Standorten, um Pfadqualität und Klassenwirkung zu verifizieren.

Ein praktischer Betriebsgrundsatz: Wenn Voice knackt, aber der Core keine Drops zeigt, liegt die Ursache häufig im Compute-/Node-Path (CPU-Jitter, NIC-Queueing, fehlendes Shaping) oder in Markierungsverlusten zwischen CNF und Underlay.

Typische Stolperfallen bei QoS in Telco-Kubernetes

• DPDK ohne CPU-Isolation: Polling-Threads werden verdrängt, Jitterspitzen entstehen.
• NUMA-Mismatch: VF auf NUMA0, Pod auf NUMA1 – Latenz wird unvorhersehbar.
• SR-IOV ohne VF-Budgets: ein Tenant füllt NIC-Queues, andere verlieren Qualität.
• DSCP verliert sich im Overlay: Underlay sieht nur BE, Echtzeit leidet bei Congestion.
• Zu harte Policer: Drop-Cluster bei Video-Bursts, hörbare Artefakte bei Voice.
• Keine Perzentile: Mittelwerte wirken gut, aber 99.-Perzentile sind schlecht – genau das spürt der Nutzer.

Praxis-Blueprint: QoS für CNFs mit DPDK und SR-IOV sauber umsetzen

• Schritt 1: Klassenmodell festlegen (Voice, Control, Video, BE) und DSCP/CoS/TC-Mappings zentral definieren.
• Schritt 2: Trust Boundaries im Cluster definieren: wer darf DSCP setzen, wie wird Premium-Inflation verhindert?
• Schritt 3: Datapath-Architektur wählen (SR-IOV direkt, DPDK über VF, OVS-DPDK) passend zum Serviceprofil.
• Schritt 4: CPU-Determinismus herstellen (CPU-Pinning, isolierte Kerne, IRQ-Affinity, NUMA-Affinity, Hugepages).
• Schritt 5: NIC/PF/VF QoS konfigurieren (Queues, Prioritäten, Rate-Limits/Budgets pro Tenant/CNF).
• Schritt 6: Shaping an Engpässen implementieren (Node/vSwitch/Uplink), Priorisierung innerhalb des Shapers sicherstellen.
• Schritt 7: End-to-End Markierung verifizieren (DSCP bis Underlay, ggf. PCP/TC) und Failover-/Peak-Verhalten testen.
• Schritt 8: Observability etablieren (Service-KPIs, Queueing Delay 95/99, Drops, CPU/NUMA/NIC-Stats, aktive Probes).

Häufige Fragen zu DPDK, SR-IOV und QoS in CNFs

Reicht DPDK aus, um Voice & Video stabil zu machen?

Nein. DPDK kann Latenz und CPU-Overhead reduzieren, aber ohne CPU-Isolation, NUMA-Disziplin, korrekte NIC-Queueing-Policies und konsistente DSCP/TC-Mappings bleibt QoS instabil. DPDK ist ein Performance-Baustein, QoS ist ein End-to-End-Design.

Ist SR-IOV immer besser als ein vSwitch?

Nicht immer. SR-IOV kann sehr performant sein, verschiebt QoS aber stark in die NIC/PF/VF-Konfiguration und reduziert die zentrale Steuerbarkeit. Ein vSwitch (z. B. DPDK-basiert) kann QoS zentralisieren und Policies konsistenter machen. Entscheidend ist, welches Modell Ihre Betriebs- und SLA-Anforderungen besser unterstützt.

Was ist der wichtigste Indikator, dass QoS im Telco-Kubernetes wirklich funktioniert?

Stabile Perzentile und keine Drops in Echtzeitklassen: EF/Voice darf nicht droppen, Queueing Delay 95/99 muss stabil sein, und Service-KPIs (MOS, RTP Jitter/Loss, Video Freeze Events) müssen auch in Busy Hour und bei Failover-Ereignissen stabil bleiben – korreliert mit CPU/NUMA/NIC-Telemetrie, damit Compute-Jitter nicht unbemerkt bleibt.