[serviceMesh]iptables,cilium,ebpf学习

最新推荐文章于 2024-02-08 09:42:52 发布
最新推荐文章于 2024-02-08 09:42:52 发布
阅读量880 收藏 1
点赞数
分类专栏: serviceMesh 文章标签: bpf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012997470/article/details/111867688
版权

serviceMesh

A Service Mesh is a dedicated infrastructure layer for handling service-to-service communication. It’s responsible for the reliable delivery of requests through the complex topology of services that comprise a modern, cloud native application. In practice, the Service Mesh is typically implemented as an array of lightweight network proxies that are deployed alongside application code, without the application needing to be aware.

关键词: 服务间通信  基础设施层.  无感知   

1.流量转发的实现

为了将流量交给sidecar管理.业界有两种做法.

1.轻量级sdk

通过一个轻量级sdk直接将请求转发到本机的sidecar.例如mosn/octo.

但是使用轻量级sdk有一个问题,1.用户必须升级sdk. 2.如果用户不是使用sdk的怎么办?例如直接httpclient调用.

2.iptables

设置iptables,将流量拦截,并转发到sidecar.例如istio.

2.1 iptables是设置在pod还是宿主机?

如果设置在宿主机,那么iptables会很多.设置在pod可以把影响降到最低.目前istio也是这么做的. 

但是缺点:修改iptables需要root权限,很多公司并没有在生产环境开放,而且iptables模块也不一定有.

2.缺点

如果用轻量级sdk,可以避免一次tcp协议栈的处理,直接请求到本机sidecar.但是不是所有情况都能满足

如果是用iptables,性能会有所影响. istio选择了功能,舍掉了性能.

preview

轻量级sdk和iptables的区别只在于 需不需要走iptables.

轻量级sdk不需要,但是需要用户升级/且用户必须要用sdk

iptables不需要升级.需要走iptables.

但是他们始终还是要走两遍网络协议栈,第一次是通过回环网卡.第二次通过eth0.  第二次肯定是不可避免的,那第一次可不可以优化呢?

 

有!!!那就是cilium

preview

 

3.cilium

Cilium方案的好处,就在于在 socket 这个层面就完成了请求的转发,通过 sockmap 技术实现 redirect.

Cilium 方案最大的好处,是可以绕开两次TCP堆栈,绕开两次TCP堆栈的好处,则会带来一个出乎意外甚至违背常识的结果:Cilium 劫持可以比轻量级客户端不劫持更快.

3.1kernel module

Kernel Module的主要目的就是让用户可以通过这种机制,实现对内核的“赋能”,动态添加一些内核本身不支持的功能,比如硬件的驱动能力,新的文件系统或是系统调用。当然也可以融合到现有的内核处理流程中,比如在netfilter的某个hook点中添加包处理方法等。

优点:

  • 动态添加/删除,无需重新编译内核
  • 减小内核体积

缺点:

  • 一旦出现BUG可能导致内核直接崩溃
  • 增加内核攻击面,影响内核安全

3.2 bpf,ebpf

bpf全称:伯克利包过滤器 Berkeley Packet Filter.用于过滤网络报文.目的是解决当时包过滤机制效率低下的问题

特点:

  1. 过滤:根据用户输入规则过滤报文.

  2. 拷贝:负责从网卡驱动层拷贝符合条件的数据包到用户空间.

bpf只用做包过滤,使用场景有限.

eBPF(extend BPF)支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核中的程序通过共用一个位于内核中map实现通信.

简单理解,我自己编写一段代码,可以放到内核去运行.数据可以存在共享内存中.

1.例如我想去监控tcp的连接,那么我可以写一段代码,当tcp建立连接后,我生产一个计数器,+1,同时把数据放到共享map中; 我用户态再运行一个程序,例如叫 monitor.  这个用户态进程可以去读取这个共享数据.然后展示.看字节跳动容器化场景下,如何实现性能优化?

2.我想根据一些规则,把接受到的网络包获取到,然后展示出来.也可以使用eBPF. 就是tcpdump喽

 

3.3 cilium 

flannel是overlay network, 主要是L2(VXLAN)。

calico主要是L3,用BGP路由。cilium也主要是L3。

cilium的话在每个node上有个daemonSet叫cilium-agent. 这个cilium agent是用来管理BPF的。cilium的主要卖点就是这个BPF。BPF的性能非常强悍,要比iptables强上数倍。借用一个cilium的图:

 

3.4 ebpf demo

//TODO

 

 

https://mp.weixin.qq.com/s/VL6oKW1m0PXmuuE1v8h0iw

 

https://zhuanlan.zhihu.com/p/48105816

搬砖使我快乐!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生网络利器--Cilium Service Mesh
flynetcn的专栏
08-23 651
本篇技术文章主要从 Cilium 的技术视角出发,通过分析 Service Mesh 的相关技术,来了解一下基于 eBPF 技术的网络方案 Cilium,拥有怎样处理微服务治理的相关能力。
性能优化实战|使用eBPF代替iptables优化服务网格数据面性能
极客重生
02-10 1846
目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会...
基于ebpf的防火墙--bpf-iptables
网络安全研究
11-18 4192
1. iptables iptables应用广泛,但是存在一些问题: 规则更新,需要重新创建所有规则 规则匹配效率O(n) 2. nftables nftables于2014年提出,目标是替代iptables,它仍然基于netfilter。 nftables集成了{ip,ip6,arp,eb}tables 在用户空间代码改进了规则匹配算法 但是nftables/ufw/nf-hipac都没有成功,主要是因为iptables规则语法已经被普遍使用,切换新的规则语法代价太大。 3. bpf-iptabl
Cilium v1.12 功能原理解读:ServiceMesh 令人期待
DaoCloud_daoke的博客
08-01 451
cilium 1.12 版本中,充分发挥该 envoy 实例的价值,加入了实现 Service Mesh 的能力,形成了 sidecar-free 的 per-node proxy 解决方案。
深入解读ServiceMesh背后的技术细节
01-27
Kubernetes中的服务发现主要通过Service对象实现,服务间通信依赖kube-proxy通过iptables规则进行转发。然而,这种方法无法满足大规模并发场景下对复杂服务治理的需求,如流量管理和智能路由。因此,Service Mesh...
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptables 学习笔记
11-22
iptables 学习笔记,iptables 思维导图,有需要的拿去
iptables学习笔记.pdf
10-08
iptables学习笔记.pdf
容器网络|深入理解Cilium
极客重生
01-24 559
本文翻译自 2019 年 DigitalOcean 的工程师 Nate Sweet 在 KubeCon 的一篇分享:Understanding (and Troubleshooting) ...
cilium:基于eBPF的网络,安全性和可观察性
02-02
cilium:基于eBPF的网络,安全性和可观察性
Iptables
yaoyao4959的专栏
08-12 1757
Chain, rules, policy, 1. Introduction CentOS has an extremely powerful firewall built in, commonly referred to as iptables, but more accurately is iptables/netfilter. Iptables is the us
Flomesh 服务网格采用 eBPF 实现更高效的流量拦截和通信
shaderx004的博客
04-04 336
在不久前发布的 Flomesh 服务网格 1.3.3 我们引入了 eBPF 功能,用以替代流量拦截方面的实现 iptables。由于 eBPF 对较新内核的依赖,iptables 的实现仍继续提供。同时,得益于 eBPF 网络方面的能力,我们也实现了同节点网络通信的加速。
最强 CNI 基准测试:Cilium 网络性能分析
云原生实验室
05-23 682
作者:Thomas Graf译者:罗煜、张亮,均来自 KubeSphere 团队Thomas Graf 是 Cilium 的联合创始人,同时也是 Cilium 母公司 Isovalent[...
【理解 Cilium 系列文章】(一) 初识 Cilium
云原生Serverless的专栏
08-28 3579
Knative 定期发布 Knative 最新资讯,汇集 云原生 & Serverless 技术最全内容,用户最佳落地实践。关注 Knative 趋势,更关注你落地实践中的遇到的困惑和问题。 ...
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 9736
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
体验新时代的CNI--cilium
qq_40406649的博客
01-21 1161
本文将介绍笔者体验cilium的过程Cilium 的基础是一种新的 Linux 内核技术,称为 eBPF,它支持将强大的安全性、可见性和网络控制逻辑动态插入到 Linux 内核中。eBPF 用于提供高性能网络、多集群和多云能力、高级负载均衡、透明加密、广泛的网络安全功能、透明的可观测性等等。
Cilium CNI深度指南
最新发布
残星说梦话
02-08 1725
你好,我是俞凡,在Motorola做过研发,现在在Mavenir做技术工作,对通信、网络、后端架构、云原生、DevOps、CICD、区块链、AI等技术始终保持着浓厚的兴趣,平时喜欢阅读、思考,相信持续学习、终身成长,欢迎一起交流学习。然而,这样的限制增加了复杂性和处理成本。我们的长期目标包括为pod提供一种机制来选择对等身份验证,支持可插拔的证书管理系统(如SPIFFE、Vault、SMI、Istio、cert-manager等),提供可配置的证书粒度,以及利用现有的对数据平面的加密协议支持。
Cilium——具备API感知的网络和安全性管理软件
GJ_ia的博客
01-09 269
能够保护现代应用程序协议,如REST/HTTP、gRPC和Kafka。传统防火墙在第3层和第4层运行,在特定端口上运行的协议要么完全受信任,要么完全被阻止。允许所有带有方法GET和路径/public/.*的HTTP请求。拒绝所有其他请求。* 允许service1在Kafka topic上生成topic1service2消费topic1。拒绝所有其他Kafka消息。* 要求HTTP标头出现在所有REST调用中。详情请参考7层协议。
iptables数据包处理流程与目标动作详解
"该资源是一份关于iptables学习笔记,涵盖了数据包流向、iptables的基本组成以及各种目标和跳转,旨在帮助读者理解iptables的工作原理和配置方法。" iptables是Linux操作系统中用于网络安全和流量控制的工具,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值