IPVS源代码分析---hook函数

最新推荐文章于 2024-05-23 11:39:44 发布
最新推荐文章于 2024-05-23 11:39:44 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: IPVS的研究和分析 文章标签: IPVS iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ajigegege/article/details/19983877
版权
本文详细分析了IPVS内核模块中的hook函数,特别是`ip_vs_in`和`ip_vs_out`,探讨了它们在处理本地客户端流量时的角色。在IPVS中,`ip_vs_in`用于处理客户端发来的数据包,而`ip_vs_out`则处理服务器返回的数据包。对于本地客户端的情况,数据包会在内核中多次经过这些hook点,进行连接管理和包转发。此外,文章还介绍了不同hook点在数据包流程中的作用,如`NF_IP_LOCAL_IN`、`NF_IP_FORWARD`等,以及它们如何影响NAT和非NAT模式下的数据包处理。
摘要由CSDN通过智能技术生成 
有一个问题:IPVS中的local client 指什么? 在2.6.32的代码中,多了对于Local client的判断。
查阅IPVS的官方文档http://www.linuxvirtualserver.org/Documents.html, 可以看到所谓Local client 就是指director本身也作为一个server的情况,在这种情况下,director可以处理packet localy,而不是进行转发,所以称为local client(我觉得这里叫local server 更合适)。


对于local client的情况,如果要将包发送给本地,那么在ip_vs_in中会创建这样的一个connection entry。现在对于local client在ip_vs_in中的处理还是没弄明白。理论上,对于从local server发给client 的包,它不会经过forward这个点,但是会经过localOutput这个点。所以,可以在localOutput这个点,添加钩子,并判断数据包是不是conn_out_get,然后调用handle_response进行处理。但是,现在在程序中,把这些处理放到了ip_vs_in函数中,它是添加在localInput这个hook点的,不符合逻辑。
所以,合理的推断是,第一次数据包进入ip_vs_in时,创建了connection entry。然后,经过ip_vs_in的处理,将目的地址和端口改成了DR的另一个地址和端口,然后将包发送。发送之后,数据包会再次经过ip_vs_in。也就是说 从内核发往本地的另一个网口的包,会再次的经过ip_rcv。目前我还没有找到这个调用过程,但是我猜是这样的(这个推断应该是正确的)。




另外,在IPVS中,对于connection,从client(sip, sport)->server(dip,dport)和server(dip,dport)->client(sip,sport)的双向的数据为同一个connection entry。
对于tcp和udp,在协议中都包含连接查找函数了conn_in_get和conn_out_get,分别用于正向连接查找和反向查找。它们最终调用的也分别是__ip_vs_conn_in_get和__ip_vs_conn_out_get,在这两个函数,对于正向和反向,最后查找到了的是同一个connection。
另外,conn_out_get只用在NAT的情况 和 local client的情况。
 



 

static struct nf_hook_ops ip_vs_in_ops = {
        .hook           = ip_vs_in,
        .owner          = THIS_MODULE,
        .pf             = PF_INET,
        .hooknum        = NF_IP_LOCAL_IN,
        .priority       = 100,
};
 

ip_vs_in 是所有从client发过来的数据包的总入口。也就是说数据包首先经过ip_vs_in的处理。
 



 

/*
 *	Check if it's for virtual services, look it up,
 *	and send it on its way...
 */
static unsigned int
ip_vs_in(unsigned int hooknum, struct sk_buff *skb,
	 const struct net_device *in, const struct net_device *out,
	 int (*okfn)(struct sk_buff *))
{
	struct ip_vs_iphdr iph;
	struct ip_vs_protocol *pp;
	struct ip_vs_conn *cp;
	int ret, restart, af, pkts;

	af = (skb->protocol == htons(ETH_P_IP)) ? AF_INET : AF_INET6;

	ip_vs_fill_iphdr(af, skb_network_header(skb), &iph);

	/*
	 *	Big tappo: only PACKET_HOST, including loopback for local client
	 *	Don't handle local packets on IPv6 for now
	 */
	if (unlikely(skb->pkt_type != PACKET_HOST)) {
		IP_VS_DBG_BUF(12, "packet type=%d proto=%d daddr=%s ignored\n",
			      skb->pkt_type,
			      iph.protocol,
			      IP_VS_DBG_ADDR(af, &iph.daddr));
		return NF_ACCEPT;
	}

#ifdef CONFIG_IP_VS_IPV6
	if (af == AF_INET6) {
		if (unlikely(iph.protocol == IPPROTO_ICMPV6)) {
			int related, verdict = ip_vs_in_icmp_v6(skb, &related, hooknum);

			if (related)
				return verdict;
			ip_vs_fill_iphdr(af, skb_network_header(skb), &iph);
		}
	} else
#endif
		if (unlikely(iph.protocol == IPPROTO_ICMP)) {
			int related, verdict = ip_vs_in_icmp(skb, &related, hooknum);

			if (related)
				return verdict;
			ip_vs_fill_iphdr(af, skb_network_header(skb), &iph);
		}

	/* Protocol supported? */
	pp = ip_vs_proto_get(iph.protocol);
	if (unlikely(!pp))
		return NF_ACCEPT;

	/*
	 * Check if the packet belongs to an existing connection entry
	 */
	cp = pp->conn_in_get(af, skb, pp, &iph, iph.len, 0);

	if (unlikely(!cp)) {
		int v;

		/* For local client packets, it could be a response ??? wusq*/
		cp = pp->conn_out_get(af, skb, pp, &iph, iph.len, 0);
		if (cp)
			return handle_response(af, skb, pp, cp, iph.len);

		if (!pp->conn_schedule(af, skb, pp, &v, &cp))
			return v;
	}

	if (unlikely(!cp)) {
		/* sorry, all this trouble for a no-hit :) */
		IP_VS_DBG_PKT(12, pp, skb, 0,
			      "packet continues traversal as normal");
		return NF_ACCEPT;
	}

	IP_VS_DBG_PKT(11, pp, skb, 0, "Incoming packet");

	/* Check the server status */
	if (cp->dest && !(cp->dest->flags & IP_VS_DEST_F_AVAILABLE)) {
		/* the destination server is not available */

		if (sysctl_ip_vs_expire_nodest_conn) {
			/* try to expire the connection immediately */
			ip_vs_conn_expire_now(cp);
		}
		/* don't restart its timer, and silently
		   drop the packet. */
		__ip_vs_conn_put(cp);
		return NF_DROP;
	}

	ip_vs_in_stats(cp, skb);
	restart = ip_vs_set_state(cp, IP_VS_DIR_INPUT, skb, pp);
	if (cp->packet_xmit)
		ret = cp->packet_xmit(skb, cp, pp);
		/* do not touch skb anymore */
	else {
		IP_VS_DBG_RL("warning: packet_xmit is null");
		ret = NF_ACCEPT;
	}

	/* Increase its packet counter and check if it is needed
	 * to be synchronized
	 *
	 * Sync connection if it is about to close to
	 * encorage the standby servers to update the connections timeout
	 */
	pkts = atomic_add_return(1, &cp->in_pkts);
	if (af == AF_INET &&
	    (ip_vs_sync_state & IP_VS_STATE_MASTER) &&
	    (((cp->protocol != IPPROTO_TCP ||
	       cp->state == IP_VS_TCP_S_ESTABLISHED) &&
	      (pkts % sysctl_ip_vs_sync_threshold[1]
	       == sysctl_ip_vs_sync_threshold[0])) ||
	     ((cp->protocol == IPPROTO_TCP) && (cp->old_state != cp->state) &&
	      ((cp->state == IP_VS_TCP_S_FIN_WAIT) ||
	       (cp->state == IP_VS_TCP_S_CLOSE_WAIT) ||
	       (cp->state == IP_VS_TCP_S_TIME_WAIT)))))
		ip_vs_sync_conn(cp);
	cp->old_state = cp->state;

	ip_vs_conn_put(cp);
	return ret;
}
 

 

 



 

forward处的钩子。这个函数对转发包进行处理, 只用在NAT模式的均衡处理,处理的是服务器返回的包,因为TUNNEL和DR方式下都是直接发给了client,不经过load balancer的处理。客户端请求的包也不经过这个hook,客户端的请求包经过的是local in的hook。
但如果设置了DNAT规则,数据包在PREROUTING点进行了目的地址修改,这样就不会再进入INPUT点而是直接转到FORWARD点处理,这时时针对该包的 IPVS连接是没有建立的.
static struct nf_hook_ops ip_vs_out_ops =

                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  ajige
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
NF_HOOK

				
			

			

				

					tycoon的专栏
				

				

					11-05
					
					3643
					
				

			

		

		

			
				
一、   IP报文的接收到hook函数的调用
  

1.1  ip_input.c    ip_rcv()函数
以接收到的报文为例,类似的还有ip_forward(ip_forward.c)和ip_output(ip_output.c)
int ip_rcv(struct sk_buff *skb, struct net_device *dev, struct packet_type 

			
		

	



                

              
                



	

		

			

				
					
IPVS(也叫LVS)的源码分析之persistent参数

				
			

			

				

					沧海一粟
				

				

					09-04
					
					8884
					
				

			

		

		

			
				
IPVS 也叫LVS源码分析之persistent参数

			
		

	



                


  
              

                


	

		

			

				
					
比较kube-proxy模式:iptables还是IPVS

					
最新发布

				
			

			

				

					didiplus
				

				

					05-23
					
					1309
					
				

			

		

		

			
				
kube-proxy是任何Kubernetes部署中的关键组件。它的作用是将流向服务(通过集群 IP 和节点端口)的流量负载均衡到正确的后端pod。kube-proxyuserspaceiptablesIPVS。userspace模式非常旧且慢,绝对不推荐!但是,应该如何权衡选择iptables还是IPVS模式呢?在本文中,我们将比较这两种模式,在实际的微服务环境中衡量它们的性能,并解释在何种情况下你可能会选择其中一种。首先,我们将简要介绍这两种模式的背景,然后深入测试和结果……

			
		

	





	

		

			

				
					
【博客586】ipvshook点位置以及hook点钩子函数剖析

				
			

			

				

					qq_43684922的博客
				

				

					01-15
					
					816
					
				

			

		

		

			
				
是按照由外部客户端到IPVS内部的报文为Request;而由IPVS内部回复到外部客户端的报文为Reply。所以,Hook函数的命名中带有request的都对应IPVS核心函数ip_vs_in;而Hook函数命名中带有reply的函数都对应IPVS的核心函数ip_vs_out。

			
		

	



		

			
		



	

		

			

				
					
【博客587】ipvs hook点在netfilter中的位置以及优先级

				
			

			

				

					qq_43684922的博客
				

				

					01-15
					
					1698
					
				

			

		

		

			
				
根据定义,ipvs挂载在LOCAL_IN、FORWORD和LOCAL_OUT的hook点上了,根据优先级,我们得到以下结论:1、INPUT:ipvshook会在Filter TABLE 后执行,然后转到NAT TABLE2、OUTPUT:ipvshook会在NAT TABLE ,然后转到Filter TABLE3、FORWARD:ipvshookFilter TABLE后执行,然后结束整个FORWARD,包往POSTROUTING走。

			
		

	





	

		

			

				
					
iptablesipvs

				
			

			

				

					jingzhiz 专属移动笔记
				

				

					10-14
					
					3566
					
				

			

		

		

			
				
一、service和iptables的关系
service 的代理是 kube-proxy
kube-proxy 运行在所有节点上,它监听 apiserver 中 service 和 endpoint 的变化情况,创建路由规则以提供服务 IP 和负载均衡功能。简单理解此进程是Service的透明代理兼负载均衡器,其核心功能是将到某个Service的访问请求转发到后端的多个Pod实例上,而kube...

			
		

	





	

		

			

				
					
ip_vs_rr.rar_round-robin

				
			

			

				

					09-14
				

			

		

		

			
				
ip_vs_rr.c文件是实现轮询调度算法的源代码,它包含了处理连接分配逻辑的关键函数。在代码中,我们可以看到如何维护服务器列表,以及如何根据预设的规则选择下一个服务器进行连接。轮询算法简单易懂,易于实现,而且...

			
		

	





	

		

			

				
					
IPVS源代码阅读笔记_入门教程(负载均衡)PDF

				
			

			

				

					04-05
				

			

		

		

			
				
### IPVS源代码阅读笔记知识点概述  #### 一、IPVS简介与背景  - **IPVS**(Internet Protocol Virtual Server)是由章文嵩博士主导的一个开源项目,它主要用于实现网络层上的负载均衡服务,最早在Linux 2.2内核以...

			
		

	





	

		

			

				
					
IPVS-DR+heartbeat+ldirectord构建高可用负载均衡群集实验手册

				
			

			

				

					11-22
				

			

		

		

			
				
IPVS-DR+heartbeat+ldirectord构建高可用负载均衡群集实验手册

			
		

	





	

		

			

				
					
collectd-ipvs-5.10.0-2.el7.x86_64.rpm

				
			

			

				

					12-04
				

			

		

		

			
				
官方离线安装包,亲测可用

			
		

	





	

		

			

				
					
kpng-ipvs-backend:使用IPVS后端的kpng

				
			

			

				

					04-10
				

			

		

		

			
				
KPNG-IPVS后端 这是IPVS后端的PoC,使用cmd.Run而不是netlink  这是早期的在制品,无论如何都不应该在生产中使用 这里的想法是深入研究工作,以及如何将其与多个后端一起使用 要运行此命令:  在其他地方启动具有...

			
		

	





	

		

			

				
					
ipvsiptables的区别?

				
			

			

				

					lbzrl的博客
				

				

					04-13
					
					549
					
				

			

		

		

			
				
1)实现方式:iptables是基于Netfilter框架的网络过滤工具,它使用链表(chain)和规则(rule)来处理网络数据包。2)功能:iptables主要用于实现网络地址转换(NAT)、端口转发(forwarding)、流量过滤等功能,而ipvs主要用于实现负载均衡(load balancing)和服务器健康检查(health check)。4)使用场景:iptables更适合用于防火墙、NAT和端口转发等场景,而ipvs更适合用于负载均衡和服务器集群管理。

			
		

	





	

		

			

				
					
kube-proxy中使用ipvsiptables的比较

				
			

			

				

					linus.lin的博客
				

				

					10-24
					
					7011
					
				

			

		

		

			
				
Iptables模式
kube-proxy 就可以通过 Service 的 Informer 感知到API Server中service和endpoint的变化情况。而作为对这个事件的响应,它就会在宿主机上创建这样一条 iptables 规则(你可以通过 iptables-save 看到它)。这些规则捕获到service的clusterIP和port的流量,并将这些流量随机重定向到service后端Pod。对于每个endpoint对象,它生成选择后端Pod的iptables规则。
如果选择的第一个Pod没有

			
		

	





	

		

			

				
					
12、Kubernetes中KubeProxy实现之iptablesipvs

				
			

			

				

					weixiaohuai的博客
				

				

					09-30
					
					1407
					
				

			

		

		

			
				
iptablesipvs其实都是依赖的一个共同的Linux内核模块:Netfilter。Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。

			
		

	





	

		

			

				
					
iptablesipvs的异同

				
			

			

				

					Q先生
				

				

					12-14
					
					1037
					
				

			

		

		

			
				
Kubernetes 1.29 新版将抛弃 iptables那么我们就来聊一下iptablesipvs的异同iptablesipvs都是Linux系统中用于网络流量控制和管理的工具,但它们在实现方式、功能和性能上有所不同。本文将对iptablesipvs进行比较,以帮助读者更好地了解它们之间的区别。

			
		

	





	

		

			

				
					
IPVS系统的路由和发送

				
			

			

				

					redwingz的博客
				

				

					10-08
					
					1221
					
				

			

		

		

			
				
IPVS不管是配置的NAT/Masq、Direct Route或者隧道Tunnel转发模式,在执行发送时,都需要进行出口路由的查找。
路由查找
在出口路由查找函数__ip_vs_get_out_rt中,通常根据目的服务器的地址信息进行查找。如下,首先检查此目的服务器结构中是否缓存了路由信息,以及是否还是有效的,如果成立,直接使用缓存的路由表项。否则,就需要进行路由的查找。路由查找函数do_outp...

			
		

	





	

		

			

				
					
浅析 Kubernetes Kube-Proxy 组件 IPVS 模式工作原理及常用故障排查指南

				
			

			

				

					easylife206的专栏
				

				

					11-04
					
					784
					
				

			

		

		

			
				
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !❝本文转自 Yoaz 的博客,原文:https://lqingcloud.cn/post/kube-proxy-02/,版权归原作者所有。在 iptables 工作模式下,iptables 中 KUBE-SEP-XXX 链上规则和 Pod 数量成正比,当集群规模增大(10000 个 Pod 以上)时每个 k8s 节...

			
		

	





	

		

			

				
					
k8s中iptablesipvs详解——2023.05

				
			

			

				

					我是小bā吖的博客
				

				

					05-30
					
					4048
					
				

			

		

		

			
				
从k8s的1.8版本开始,kube-proxy引入了IPVS模式,IPVS模式与iptables同样基于Netfilter,但是ipvs采用的hash表,iptables采用一条条的规则列表。iptables又是为了防火墙设计的,集群数量越多iptables规则就越多,而iptables规则是从上到下匹配,所以效率就越是低下。因此当service数量达到一定规模时,hash查表的速度优势就会显现出来,从而提高service的服务性能。

			
		

	





	

		

			

				
					
怎么将ipvs绑定到kube-proxy

				
			

			

				

					03-31
				

			

		

		

			
				
要将IPVS绑定到kube-proxy,需要在kube-proxy的配置文件中添加以下内容:

```
kubeProxy:
  config:
    mode: "ipvs"
    ipvs:
      excludeCIDRs: null
      minSyncPeriod: 0s
      scheduler: rr
```

其中,`mode`设置为`ipvs`,`scheduler`设置为IPVS的负载均衡算法(如`rr`表示轮询调度算法),其他参数可以根据需要进行调整。

然后,重新启动kube-proxy即可生效。可以使用以下命令重启kube-proxy:

```
$ kubectl delete pods -n kube-system -l k8s-app=kube-proxy
```

注意,IPVS需要在系统内核中启用,需要确保系统内核开启了IPVS支持。另外,IPVS需要安装ipvsadm和ipset工具,在Linux系统中可以使用以下命令进行安装:

```
$ sudo apt-get install ipvsadm ipset
```

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值