CNI 网络流量 5.4 为什么 Cilium 不再需要 IPVlan 了?

于 2023-03-07 23:49:54 发布
阅读量457 收藏 1
点赞数
分类专栏: CNI 从零开始 文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr1jie/article/details/129394456
版权

文章目录

前言

在 Cilium 1.11 版本,Cilium 彻底移除了 IPVlan 的代码,代表着 IPVlan 不再是 Cilium 默认支持的组网方式。那么 Cilium 为什么不再需要 IPVlan 了呢?

传统 CNI 模式

在如 Flannel,Calico 等 CNI 实现过程中,会为每一个 Pod 创建一对 veth 设备,一端在 Host ns 内,另一端在 Pod ns 内,在宿主机上有到 pod IP 的路由指向对应的 Host ns 的 veth 设备。当两个 Pod 通信时,流量流程如下图所示(calico bgp 模式):
暂时无法在飞书文档外展示此内容

流量从 pod1 到 pod2,依次经过 pod1 ns 内部网络栈,Host 网络栈和 pod2 ns 内部网络栈。

Cilium Veth 模式

Cilium Veth 模式下没有结构变化,不过没有指向 pod IP 的路由;而是在 pod1 的 lxcxxx1 加上 tc ingress ebpf 应用,将目的 IP 是 Pod2 IP 的流量重定向到 lxcxxx2。
暂时无法在飞书文档外展示此内容

流量从 pod1 到 pod2,依次经过 pod1 ns 内部网络栈,pod2 ns 内部网络栈。ns 之间执行了两次从出口到入口的切换。

Cilium IPVlan 模式

IPVlan 模式下内部转发逻辑直接是 pod 到 pod,不通过 BPF 程序执行到设备的转发,该种模式下,网络命名空间切换更高效,堆栈不需要像外部数据包基于 veth 的数据路径那样被重新遍历。
暂时无法在飞书文档外展示此内容

流量从 pod1 到 pod2,ns 之间只执行了一次从出口到入口的切换。

// Linux v6.0   drivers/net/ipvlan/ipvlan_core.c L564
static int ipvlan_xmit_mode_l3(struct sk_buff *skb, struct net_device *dev)
{
......
    if (!ipvlan_is_vepa(ipvlan->port)) {
        // 根据目的 IP 查看是否是该网卡和所有 ipvlan 子接口的 IP.
        addr = ipvlan_addr_lookup(ipvlan->port, lyr3h, addr_type, true);
        if (addr) {
            if (ipvlan_is_private(ipvlan->port)) {
                consume_skb(skb);
                return NET_XMIT_DROP;
            }
            // 如果是该网卡或子接口的 IP,且 linkup,修改 skb->dev = 接口 dev,由该接口处理。
            return ipvlan_rcv_frame(addr, &skb, true);
        }
    }
......
}

Cilium IPVlan 与 Veth 相比 堆栈需要更少的资源来将数据包推送到另一个网络命名空间,拥有更好的延迟;但是 IPVlan 也有自己的不足,不支持 NAT64,不支持 L7 Policy,Pod 不能拥有 CAP_NET_ADMIN 和 CAP_NET_RAW 特权。

形式逆转

在 linux 内核到 5.10 版本后,bpf Helper 提供了一个新的方法 bpf_redirect_peer;它支持 ebpf 可以直接将流量 redirect 到接口的 veth-pair 对端。
Cilium 在 lxcxxx1 tc ingress ebpf 程序

|- cil_from_container
  |- tail_handle_ipv4
    |- __tail_handle_ipv4
      |- tail_handle_ipv4_cont
        |- handle_ipv4_from_lxc
          |- ipv4_local_delivery   // 判断目的 IP 是本 node pod 上的
            |- redirect_ep         // 查找该 IP 在 host ns 上的索引
              |- ctx_redirect_peer

设置 redirect 的 iface 和 peer flag,转发。

// Linux v6.0   net/core/filter.c L2501

BPF_CALL_2(bpf_redirect_peer, u32, ifindex, u64, flags)
{
    struct bpf_redirect_info *ri = this_cpu_ptr(&bpf_redirect_info);

    if (unlikely(flags))
        return TC_ACT_SHOT;
    // redirect 时,加上 flag 是 peer。
    ri->flags = BPF_F_PEER;
    ri->tgt_index = ifindex;

    return TC_ACT_REDIRECT;
}

基于以上,Cilium Veth 模式变化如下
在这里插入图片描述

流量从 pod1 到 pod2,ns 之间只执行了一次从出口到入口的切换,即 pod1 ns 到 host ns。

结论

在引入 bpf_redirect_peer 后,利用 veth 即可为 Kubernetes 提供同样的性能优势,鉴于 ipvlan 自身的部分限制;所以,默认支持 ipvlan 已经不是那么重要了。

junjie xu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cilium ebpf helper函数bpf_redirect/peer/neigh
fengcai_ke的博客
08-12 599
设置接口索引和flags,如果flags为BPF_F_INGRESS,则将skb->dev设置为ifindex指定的dev,并将报文enqueue_to_backlog到cpu队列,下次软中断再处理报文,就像报文从ifindex指定的接口接收。如果不指定BPF_F_INGRESS,则执行dev_queue_xmit将报文从ifindex指定的接口发送出去。上面三个bpf helper函数实现很简单,只是设置flag和接口索引,并没有真正执行报文重定向的处理,但都会返回 TC_ACT_REDIRECT。
Cilium:基于 BPF/XDP 实现 Kubernetes Service 负载均衡
Docker的专栏
11-30 2417
本文翻译自 2020 年 Daniel Borkmann 和 Martynas Pumputis 在 Linux Plumbers Conference 的一篇分享:《Kubernete...
Cilium之BGP router模式
weixin_42562106的博客
01-10 1055
kube-router -> agrs 配置如下: - "--run-router=true" - "--run-firewall=false" - "--run-service-proxy=false" - "--enable-cni=false" - "--enable-pod-egress=false" - "--enable-ibgp=true" - "--enable-overla
Cilium网络概述
Docker的专栏
08-12 4364
K8s已经成为一线大厂分布式平台的标配技术。你是不是还在惆怅怎么掌握它?来这里,大型互联网公司一线工程师亲授,不来虚的,直接上手实战,3天时间带你搭建K8s平台,快速学会K8s,点击下方...
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9637
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
k8s搭建Kubernetes(k8s)集群用到的部署CNI网络插件
最新发布
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
Kubernetes部署CNI网络插件
04-18
部署CNI网络插件
kubernetes 使用cilium 网络插件 替换kube-proxy
02-10
简单来说可以理解为 Kube-proxy + CNI 网络实现。Cilium 位于容器编排系统和Linux Kernel 之间,向上可以通过编排平台为容器进行网络以及相应的安全配置,向下可以通过在 Linux 内核挂载 eBPF 程序,来控制容器网络...
搭建Kubernetes(k8s)集群用到的部署CNI网络插件
05-25
搭建Kubernetes(k8s)集群用到的部署CNI网络插件,因为这个插件是国外的源,很多小伙伴没办法拿到这里分享个大家 资源源地址在 ...
部署CNI网络插件calico.yaml,下载这个自行修改
01-09
部署CNI网络插件calico.yaml,下载这个自行修改
Cilium架构:提供并透明地保护应用程序工作负载之间的网络连接和负载平衡
RToax
10-30 1064
本文档介绍了Cilium体系结构。它着重于记录用于实现Cilium数据路径的BPF数据路径挂钩,Cilium数据路径如何与容器编排层集成以及在层之间共享的对象(例如BPF数据路径和Cilium代理)。 数据路径 Linux内核在网络堆栈中支持一组BPF挂钩,可用于运行BPF程序。Cilium数据路径使用这些挂钩来加载BPF程序,这些程序一起使用时会创建更高级别的网络结构。 以下是Cilium使用的钩子的列表和简要说明。有关每个挂钩的详细信息,请参阅《BPF和XDP参考指南》。 XDP:X...
下一代数据平面 Cilium:支撑 100Gbit/s Kubernetes 集群
easylife206的专栏
11-22 631
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !译者序本文翻译自 KubeCon+CloudNativeCon North America 2022 的一篇分享:100 Gbit/s Clusters with Cilium: Building Tomorrow’s Networking Data Plane[1]。作者 Daniel Borkmann, Nik...
Cilium创建pod network源码解析
HULK一线技术杂谈
12-09 790
01Overview我们生产K8s使用容器网络插件 Cilium 来创建 Pod network,下发 eBPF 程序实现 service 负载均衡来替换 kube-proxy,并且使用 ...
linux中修改vlanip地址,Linux网络协议栈6--ipvlan
weixin_28800247的博客
05-06 1033
本来想将macvlanipvlan放一起写,但是在测试过程中发现,ipvlan使用起来还是挺复杂的,于是单独作为一章来写。ipvlan 和 macvlan 类似,都是从一个主机接口虚拟出多个虚拟网络接口。一个重要的区别就是所有的虚拟接口都有相同的 macv 地址,而拥有不同的 ip 地址。ipvlan 有两种不同的模式:L2 和 L3。一个父接口只能选择一种模式,依附于它的所有虚拟接口都运行在这...
docker (二)
yiqinshang的博客
03-30 1000
比较docker和虚拟机的区别: docker的优势: 1、启动速度快 2、方便扩展 3、资源消耗小 使用docker 容器去启动软件,颠覆了我们软件安装的方式 docker的底层隔离机制 1、name space docker 内部有多少种命名空间?namespace 命名空间有什么作用? 隔离资源,画地为牢 2、kernel lxc-----》LXC-Linux Containers 3、Control Groups (对资源进...
利用 ebpf sockmap/redirection 提升 socket 性能(2020)
云原生实验室
02-01 1644
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io译者序本文翻译自 2020 年的一篇英文博客 How to use eBPF for acceleratin...
eBPF技术应用云原生网络实践:kubernetes网络 | 凌云时刻
云布道师
04-20 1113
凌云时刻 · 洞见导读:eBPF起源于 Linux 网络子系统,由于其灵活性和高性能等特点,被迅速应用在不同领域。事实上网络领域中,eBPF由于其高性能支持更高的吞吐率、平均每GB带宽消...
云原生网络利器--Cilium 总览
DaoCloud_daoke的博客
03-02 742
在云原生相对成熟的今天,对于 Kubernetes 本身的能力需求,逐渐变得不那么迫切,因为常见的能力都已经成熟稳定了。但是在周边领域还处于不断发展的过程,特别是容器的网络方案,存储方案,安全领域等。
干货 | 携程 Cilium+BGP 云原生网络实践
携程技术
11-19 3228
作者简介Arthur,Stephen,Jaff,Weir,几位均来自携程云平台基础设施和网络研发团队,目前专注于网络和云原生安全相关的开发。Cilium 是近两年最火的云原生网络方案之...
什么是podman的容器的网络后端,什么是 netavark 和 CNI
06-12
Podman可以使用CNI插件来实现容器网络功能,例如创建虚拟网络、分配IP地址和配置网络路由等。 总的来说,Netavark是Podman的默认容器网络后端,提供了基本的网络功能,而CNI则是一个通用的容器网络规范,可以让...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值