IstioCon 2022 回顾|开源项目 Merbridge 深度剖析

于 2022-04-28 14:25:59 发布
阅读量372 收藏
点赞数 1
分类专栏: 干货 文章标签: 云原生 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DaoCloud_daoke/article/details/124473114
版权

IstioCon 2022 全球线上会议,于北京时间 25 日晚上 11 点盛大开启,26 日早上 9 点,迎来中国场的开幕式。

「DaoCloud 道客」的服务网格技术专家、Istio 社区指导委员会成员刘齐均 (Kebe Liu),参与了 26 日的开源生态研讨会和主题演讲,为大家分享了「DaoCloud 道客」在 Istio 社区开源的项目 Merbridge

在 Istio 社区中,一直都在讨论,使用 eBPF 替代 iptables 的可能性,但是至今还没有项目可以实现。开源项目 Merbridge 正是实现了这一点,仅用一行代码即可开启 eBPF 替代 iptables,实现 Istio 加速

Merbridge 除了提供使用 eBPF 替代 iptables,还可以实现对 Istio 的无感加速,以及提供更多便捷的使用方式,提升 Linux 内核处理流量的效率和服务之间的通讯质量,满足高性能的需求

Merbridge 具体是如何实现的呢?里面涉及很多复杂的处理环节,下面将介绍其中几个关键的点,为大家剖析其中的实现逻辑。

使用 eBPF 实现流量拦截

当应用与其他应用服务建立连接时,会经过如下步骤,在这一过程中,我们使用 eBPF 实现流量拦截。

首先,进行流量判断,识别从应用容器发送的流量 (由 UID 识别)是否是需要拦截的流量;如果是从 Sidecar 发出的流量,那么我们不应该对其做拦截,否则会导致无限重复定向到 Sidecar。

接着,修改连接发送的目的地址,从而让流量能够发送到新的接口,可以使用 eBPF 的 connect 程序修改 user_ip 和 user_port 实现:connect 程序会将目标地址修改为 127.x.y.z:15001,并用 cookie_original_dst 保存原始目的地址。

最后,Envoy (管理流量并控制流量如何发送) 收到连接请求消息后,为了让 Envoy 识别出原始的目的地址,以能够识别流量,可以通过 eBPF 的 get_sockopt 函数来修改这个调用,get_sockopt 函数会根据四元组信息从 pair_original_dst 取出原始目的地址并返回,由此建立应用之间的连接。

缩短路径,实现加速

网络连接本质上是 socket 之间的通讯,eBPF 提供了一个函数 [bpf_msg_redirect_hash],用来将应用发出的包直接转发到对端的 socket,可以极大地加速包在内核中的处理流程。

但是这会引发一个问题,sock_map 依赖的是一个 map,需要先在 sockops 的 hook 处或者其它地方,将 socket 信息保存到 sock_map,并提供一个规则 (一般为四元组) 根据 key 查找到 socket。

因为四元组在命名空间里面是隔离的,而 eBPF 是纯内核级别的,在不同的 Pod 中,可能会产生冲突的四元组,出现两个地址是相同的情况,该如何解决四元冲突呢?

四元冲突解决方案

为了解决四元冲突,sip、sport、dip 和 dport 中的任何变量都应该改变。

解决方案 1:将 dip 从 127.0.0.1 修改为 127.128.x.y,其中 x,y 在建立新连接时增加,以避免冲突。

解决方案 2:将 sip 从 127.0.0.1 修改为 Pod IP。

解决方案 3:引入 socket cookie 来识别每个连接

上述解决方案也存在一定的局限性。

对于解决方案 1,Merbridge 在早期阶段就采用了这种方法,但在 IPv6 网络中不起作用。

对于解决方案 2,eBPF 无法直接访问当前 pod 的 IP 地址信息。

对于解决方案 3,仅适用于高于 5.15 的高内核版本。

于是,Merbridge 找到了新的方案,修改原 IP。使用 CNI 插件的功能,在 Pod 创建时,将 Pod 的 IP 写入 map,这将监控 Pod 网络上的特定端口,并在 map 中将 socket 的标记设置为 Pod IP 的密钥。当 Merbridge 的 mb_connect 程序处理请求时,可以通过从当前网络中识别 socket 的标记,然后根据标记,从 map 中读取 IP ,来获取当前 IP 地址。

在 eBPF 里面想要去获取一个 Pod 的 IP ,逻辑上看似简单,但实际的实现过程是非常复杂的。目前此功能正在紧锣密鼓开发中,两周后将迭代到 Merbridge 的新版本中

现场演示

为了让大家更直观地了解,Merbridge 的使用和一些性能表现,刘齐均 (Kebe Liu) 在分享中为大家做了一个 live demo。在 Istio 的正常运行时,直接装上 Merbridge 就可以实现无缝接入,兼容运行,无需对其他代码进行修改

并对性能进行了简单测试,可以直观地看到Merbridge 的性能表现,对性能要求高的场景非常适用。后续,Merbridge 将提供更严谨和科学的性能测试报告。

工作规划

Merbridge 的下一步工作,将聚焦以下四个方面:

  • 细化流量管理,使用 XDP 进行流量拦截

  • 支持 IPv6

  • 采用 Merbridge CNI 来兼容 Istio 的配置

  • 实现交叉节点的加速

欢迎对 Merbridge 感兴趣的伙伴,加入 Merbridge 的开源贡献、技术讨论和使用。

云原生与道客
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
开源引领 | CloudTTY 入选 CNCF 全景图
08-08 208
CloudTTY 秉承了 ttyd[3] 从网页上访问终端命令行的理念:小巧轻量、简单易用。如今已内置到 DCE 5.0[4] 作为 Kubernetes Cloud Shell(Web Terminal)部署到了生产环境,是云原生行业内第一个开源的 Kube Cloud Shell 技术,目前已被 Kubevela 等项目采用。
博客
Kubernetes Blog 更新:DaoCloud 为数字世界寻找全局最优解
06-18 1354
DaoCloud 道客」坚持以 Kubernetes 等世界领先的云原生技术为支点,为军工、金融、制造、能源、政务、零售等垂直行业提供了前沿的云原生解决方案,为浦发银行、华泰证券、富国基金、上汽集团、海尔、复旦大学、屈臣氏、吉致汽车金融、国家电网等各行各业的优秀企业都量身定制了满意的数字化转型方案。公司基于 Kubernetes 部署了 Gitlab,形成了 “Gitlab —> PR —> 自动化测试 —> 构建发布“ 的产品开发流程,显著提升了开发效率,减少了重复测试的工作量,实现了应用的自动发布。
博客
Kubernetes 1.27 加快 Pod 启动速度
06-12 1942
这是企业集群管理员常常会面临的问题。这篇博文重点介绍了此方法不涉及通过 kube-apiserver 由 controller-manager 创建 Pod 所用的时间段,也不包含 Pod 的调度时间或在其上执行 Webhook 的时间。本文从 kubelet 的角度考虑,提及了一些重要的影响因素,但并不会详尽罗列所有诱因。此外,Kubernetes v1.27 已正式发布,本文也强调了。
博客
KCD 北京站报名开启 | 云原生英雄帖,邀您京城聚首
06-12 404
经过一轮公开的议题招募,KCD Beijing 收到了总计 21 份议题,根据 CNCF Ambassador 与 LFAPAC 云原生 SIG 两个小组参与议题投票的结果,近 20 位来自「DaoCloud 道客」、微软、阿里云、华为云、IBM、Intel、骥步科技、Flomesh、VMware、Boss 直聘等企业的云原生豪杰将齐聚京城,论道紫禁之巅。参与活动即有机会获得 CNCF 基金会官方提供的 CKA、CKAD、PCA、KCNA、CKS 等多项。北京市海淀区微软大厦 1 号楼 1 层故宫会议室。
博客
增强 Kubernetes 可观测性:API Server Tracing 特性已到达 Beta 版本
06-12 2050
SIG instrumentation 正在积极推动 Kubernetes 组件可追踪,现在 APIServer Tracing 和 kubelet Tracing 在 Kubernetes v1.27 都已到达 Beta 版本,敬请期待!
博客
Kamrada operator:新一代的 Karmada 管理方式
06-12 902
所有 Karmada 组件的 label 和 annotation 也是可以自定义的,如果设置了自定义的 label 和 annotation,它们会被同时注入到 pod 和对应的 workload 资源中。
博客
2 月 25 日,论道京城 | 云原生开源项目应用实践报名开启
02-20 502
2 月 25 日,论道原生·云原生开源项目应用实践专场北京站,由「DaoCloud 道客」、边无际、天谋科技和 DCE 5.0 社区联合承办,移动云、起步科技和 Kratos 社区倾情参与,与云原生领域的技术专家、最终用户和开源项目贡献者现场对话,从云原生技术视角出发,聚焦容器管理、云原生存储、低代码开发、AIoT 等热点领域,分享云原生开源项目的最新突破和应用实例,多维度展现云原生的创新实践价值。
博客
译文 | Kubernetes 1.26:PodDisruptionBudget 守护不健康 Pod 时所用的驱逐策略
01-16 899
这意味着因驱逐 Pod 而请求的自愿干扰,不应干扰守护的应用,且 PDB 的 .status.currentHealthy 不应低于 .status.desiredHealthy。如果正在运行的 Pod 状态为 Unhealthy,则该 Pod 不计入 PDB 状态,只有在应用不受干扰时,才可以驱逐这些 Pod。我们认为 AlwaysAllow 通常是一个更好的选择,但是对于某些关键负载,你可能仍然倾向于防止不健康的 Pod 被从节点上清空,或其他形式的 API 发起的驱逐。
博客
Kubernetes 正式发布 v1.26,稳定性显著提升
12-30 4216
作为 2022 年最后的一个版本,增加了很多新的功能,同时在稳定性上也得到显著提升,我们将从以下多个角度来介绍 1.26 版本的更新。作为 Kubernetes 请求的入口,本次更新增加了 4 个 KEP 新功能,并且在响应压缩上做了一些优化,另外还有 2 个功能也从 Alpha 升级到了 Beta。我们将与 kubelet 关系最为密切的更新放在这里,主要包括 4 个新增的 KEP 功能,并且有 4 个功能在该版本 GA。
博客
DaoCloud 结合 Karmada 打造新一代企业级多云平台
12-30 1527
现在 KairShip 已经完美集成到「DaoCloud 道客」最新发布的下一代云操作系统「云原生应用云平台 DaoCloud Enterprise 5.0」之中,通过与应用工作台、可观测性、全局管理、云原生化应用、多云编排、容器管理等功能模块结合,实现一键创建多云集群实例、多云管理权限、应用跨集群分发、存储及配置跨集群创建、跨集群资源检索、跨集群故障转移等多集群管理的核心能力。,用户不必对原来使用的 Kubernetes 平台做过多的改造,就能很好地适配 Karmada 的多集群管理平台。
博客
SpiderPool - 云原生容器网络 IPAM 插件
11-21 571
应用存在多种方式,可定制路由。优先级由低到高(应用路由-->IP Pool )。
博客
生产可运维的云原生本地存储系统 HwameiStor 入选 CNCF 全景图
11-10 509
当 Kubernetes 系统节点 由于各种原因需要进行维护或者下线时,节点上的资源需要先给释放和驱逐,HwameiStor 会自动及时响应这个运维操作,主动将位于该节点上的数据卷副本迁移到其他节点上,一方面保证应用数据不会丢失和损坏,另一方面,被驱逐的应用 Pod 可以很快在其他节点上恢复并访问已有数据,保证了业务的连续性。此外,运维人员也可以主动迁移数据卷,从而平衡系统资源,保证系统平稳运行。,将任意时间点的数据进行拷贝,提供在线数据备份与恢复,进一步提高数据的安全性和可靠性,提升数据的灾备能力。
博客
Karmada 1.3 新特性:基于污点的故障迁移
11-04 611
集群状态的 condition 为 `Ready`, 每次检测集群的隔间时间为 10 秒,可以通过 --cluster-status-update-frequency 的 flag 来设置。cluster-status 控制器来判断集群的健康状态,如果集群被判定为故障集群后,cluster 控制器会将集群标记 `effect` 为 “NoExecute” 的污点,随后 taint-manager 控制器根据容忍机制开始驱逐该该集群上的工作负载,最后调度器将重新调度被驱逐的工作负载到候选集群上。
博客
云原生中间件 -- MongoDB Operator 篇
11-03 655
MongoDB 中的记录的数据结构类似一个文档,它是由字段和值对组成的。MongoDB 文档类似于 JSON 对象。字段的值可能包括其他文档、数组和文档数组。图片来源:https://mongodb.net.cn/Upload/crud-annotated-document.bakedsvg.svg。
博客
深入 Ambient Mesh - 流量路径
10-24 904
在 Ambient 模式下 istio-cni 变成了默认组件。上面我们主要分析了在 Ambient 模式下对于 Pod 流量拦截的方案,还没有涉及到七成流量的处理,以及 ztunnel 实现的具体原理,后续将分析流量在 ztunnel 和 waypoint proxy 中详细的处理路径。我们知道,在 Sidecar 模式下,Envoy 和业务容器运行在相同的网络 NS 中,对于业务容器的流量,我们需要全部拦截,以保证对流量的完成掌控,但是在 Ambient 模式下是否需要呢?
博客
6 种 K8s 协同工具,助你提高工作效率
10-18 674
如果一个 Pod 被删除,它就会从尾部移除,如果添加了一个新的 Pod,它会自动被拖到尾部。此外,如果我们的 Kubernetes 集群过载,它会报告分配过多/分配不足的资源,在集群容量不足时发出警告。这些年来,Kubectl 已经与开源社区开发的其他工具深度结合,不仅改善了用户体验,也让我们的生产工作变得更加高效。为了方便测试以下工具,建议在本机使用 kind 创建一个 Kubernetes 集群,使用 kind 可以便于安装 Kubernetes 集群,并且在结束时容易清理。云原生研究院产品经理。
博客
共建云原生 GIS 联合解决方案,超图与「DaoCloud 道客」完成产品兼容性认证
10-13 343
超图云原生 GIS 不仅具备全面的 GIS 能力,还拥有更稳定、更弹性和更便捷等特点,已广泛应用于国土、测绘、交通、电力、公安、水务等诸多领域,并收获用户的认可。通过此次产品兼容性认证,依托超图长期在云 GIS 技术、云原生领域的深耕探索实践,以及「DaoCloud 道客」在云原生及核心领域 Kubernetes 方面的技术沉淀,双方携手打造基于 DaoCloud 企业级云原生应用云平台的云原生 GIS 联合解决方案,可极大推动云原生 GIS 项目快速落地。
博客
KubeEdge v1.12 发布,重要功能速览
10-12 495
北京时间 2022 年 9 月 29 日,。新版本新增多个增强功能,在。在本次 KubeEdge 整个架构的大升级中,由「DaoCloud 道客」于去年提案并一直深度参与研发贡献的全新的边缘设备管理接口 DMI (Alpha)DMI 接口通过云原生的方式,使得 KubeEdge 的物联网设备管理,功能涵盖设备生命周期管理、设备操作、设备数据管理。简化操作,使物联网设备的生命周期管理如同管理一个 Pod 一样简单。提供通过 Kubernetes API 操作设备的能力。
博客
云原生社区直播回顾|丰富的 Kubernetes 生态助力多云平台建设
10-10 724
除此之外,用户本身能获取到的可能只有原生的资源样式,Clusterpedia 提供的多集群 Metrics Server 功能,可以在获取资源的同时了解到其计算和存储的真实用量信息,帮助用户更加方便地获取到多个集群内 Pod 和 Node 的资源用量,还可以让用户实现更加灵活的多集群动态调度。「DaoCloud 道客」的开源项目 Ferry,通过一个控制面定义不同集群,确定需要开放到其他集群的服务,并通过 Ferry Tunnel 实现网络隧道的打通,进行服务的转发。在多云平台的建设过程中,
博客
官宣!CNCF 正式接受 Istio 成为孵化项目
09-30 612
上述这些云原生硬核项目的大获成功,有赖于 CNCF 丰富和专业的孵化指导及社区推广经验,Istio 想在可扩展性(extensibility)、可触达性(Expanding reach)得到更进一步的发展,加入 CNCF 是必然的选择。1. Istio 是一个开源的、目前最受欢迎的服务网格,它透明地分层部署到现有的分布式应用上,提供了一种统一有效的方式来保护、连接和监视各类服务,是实现负载均衡、服务到服务身份验证和监视的路径。通过 Istio 的监控能力,可以真正的了解到服务的性能是如何影响上游和下游的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值