tc ebpf 实践

最新推荐文章于 2023-07-18 10:02:42 发布
最新推荐文章于 2023-07-18 10:02:42 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: ebpf 虚拟化网络 网络通信 文章标签: linux ebpf tc xdp bcc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013743253/article/details/120707979
版权

1. 用 tc 加载 BPF 程序

给定一个为 tc 编译的 BPF 对象文件 prog.o, 可以通过 tc 命令将其加载到一个网 络设备(netdevice)。但与 XDP 不同,设备是否支持 attach BPF 程序并不依赖驱动 (即任何网络设备都支持 tc BPF)。下面的命令可以将程序 attach 到 em1 的ingress 网络:

$ tc qdisc add dev em1 clsact

$ tc filter add dev em1 ingress bpf da obj prog.o

第一步创建了一个 clsact qdisc (Linux 排队规则,Linux queueing discipline)。

clsact 是一个 dummy qdisc,和 ingress qdisc 类似,可以持有(hold)分类器和 动作(classifier and actions),但不执行真正的排队(queueing)。后面 attach bpf 分类器需要用到它。clsact qdisc 提供了两个特殊的 hook:ingress and egress,分类器可以 attach 到这两个 hook 点。这两个 hook 都位于 datapath 的 关键收发路径上,设备 em1 的每个包都会经过这两个点。这两个 hook 分别会被下面的内 核函数调用:

  • ingress hook:__netif_receive_skb_core() -> sch_handle_ingress()
  • egress hook:__dev_queue_xmit() -> sch_handle_egress()

 类似地,将程序 attach 到 egress hook:

$ tc filter add dev em1 egress bpf da obj prog.o

 

第二条命令,tc filter 选择了在 da(direct-action)模式中使用 bpfda 是 推荐的模式,并且应该永远指定这个参数。粗略地说,da 模式表示 bpf 分类器不需 要调用外部的 tc action 模块。事实上 bpf 分类器也完全不需要调用外部模块,因 为所有的 packet mangling、转发或其他类型的 action 都可以在这单个 BPF 程序内完成 ,因此执行会明显更快。

配置了这两条命令之后,程序就 attach 完成了,接下来只要有包经过这个设备,就会触发 这个程序执行。和 XDP 类似,如果没有使用默认 section 名字,那可以在加载时指定,例 如指定 section 为 foobar

$ tc filter add dev em1 egress bpf da obj prog.o sec foobar

查看已经 attach 的程序:

 

$ tc filter show dev em1 ingress

filter protocol all pref 49152 bpf

filter protocol all pref 49152 bpf handle 0x1 prog.o:[ingress] direct-action id 1 tag c5f7825e5dac396f

$ tc filter show dev em1 egress

filter protocol all pref 49152 bpf

filter protocol all pref 49152 bpf handle 0x1 prog.o:[egress] direct-action id 2 tag b2fd5adc0f262714

输出中的 prog.o:[ingress] 表示 section ingress 中的程序是从 文件 prog.o 加 载的,而且 bpf 工作在 direct-action 模式。上面还打印了程序的 id 和 tag, 其中 tag 是指令流(instruction stream)的哈希,可以关联到对应的对象文件或用perf 查看调用栈信息。id 是一个操作系统层唯一的 BPF 程序标识符,可以用 bpftool 进一步查看或 dump 相关的程序信息。

程序优先级(pref)和句柄(handle

在上面的 show 命令中,tc 还打印出了 pref 49152 和 handle 0x1。如果之前没有 通过命令行显式指定,这两个数据就会自动生成。pref 表示优先级,如果指定了多个分 类器,它们会按照优先级从高到低依次执行;handle 是一个标识符,在加载了同一分类器的多 个实例并且它们的优先级(pref)都一样的情况下会用到这个标识符。因为 在 BPF 的场景下,单个程序就足够了,因此 pref 和 handle 通常情况下都可以忽略。

除非打算后面原子地替换 attached BPF 程序,否则不建议在加载时显式指定 pref 和 handle。显式指定这两个参数的好处是,后面执行 replace 操作时,就不需要再去动 态地查询这两个值。显式指定 pref 和 handle 时的加载命令:

$ tc filter add dev em1 ingress pref 1 handle 1 bpf da obj prog.o sec foobar
 
$ tc filter show dev em1 ingress
filter protocol all pref 1 bpf
filter protocol all pref 1 bpf handle 0x1 prog.o:[foobar] direct-action id 1 tag c5f7825e5dac396f

 对应的原子 replace 命令:将 ingress hook 处的已有程序替换为 prog.o 文件中 foobar section 中的新 BPF 程序

$ tc filter replace dev em1 ingress pref 1 handle 1 bpf da obj prog.o sec foobar

2. 用 tc 删除 BPF 程序

要分别从 ingress 和 egress 删除所有 attach 的程序

$ tc filter del dev em1 ingress
$ tc filter del dev em1 egress

要从 netdevice 删除整个 clsact qdisc(会隐式地删除 attach 到 ingress 和 egress hook 上面的所有程序),执行


$ tc qdisc del dev em1 clsact

3. offload 到网卡

如果网卡驱动支持 tc BPF 程序,那也可以将它们 offload 到网卡 。Netronome 的 nfp 网卡对 XDP 和 tc BPF 程序都支持 offload。

$ tc qdisc add dev em1 clsact
$ tc filter replace dev em1 ingress pref 1 handle 1 bpf skip_sw da obj prog.o
Error: TC offload is disabled on net device.
We have an error talking to the kernel

如果显式以上错误,那需要先启用网卡的 hw-tc-offload 功能:

$ ethtool -K em1 hw-tc-offload on
 
$ tc qdisc add dev em1 clsact
$ tc filter replace dev em1 ingress pref 1 handle 1 bpf skip_sw da obj prog.o
$ tc filter show dev em1 ingress
filter protocol all pref 1 bpf
filter protocol all pref 1 bpf handle 0x1 prog.o:[classifier] direct-action skip_sw in_hw id 19 tag 57cd311f2e27366b

其中的 in_hw 标志表示这个程序已经被 offload 到网卡了。

注意,tc 和 XDP offload 无法同时加载,因此必须要指明是 tc 还是 XDP offload 选项 。

魏言华
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TC.rar_TC
09-23
教你怎么样用TC实现硬件的编程,对于初学C语言的大二学生有帮助。
Cilium核心技术-eBPF XDP&TC介绍
weixin_38299404的博客
07-16 1003
eBPF 是一项革命性技术,它能在内核中运行沙箱程序(sandbox programs), 而无需修改内核源码或者加载内核模块。eBPF的一个重要特性是能够使用高级语言(如C)来实现程序。LLVM有一个eBPF后端,用于编辑包含eBPF指令的ELF文件,前端(如clang)可以用于生成程序。在一个后端转换为字节码后,使用bpf()系统调用加载bpf程序,并校验安全性。
TC297源码.rar
04-26
Infineon TC297源码.rar
tc275资源介绍
03-01
tc275单片机是英飞凌公司开发的一款三核CPU,目前主要用于代替DSP系列的单片机。因为其具有三核的优势,在处理速度方面有DSP无法比拟的优点。同时网上关于tc275的介绍太少。笔者把自己看到的做成笔记,介绍TC275主要原理。
tc234说明书
09-28
tc234芯片资料说明书,详细讲解了芯片阵脚,结构,功能
ebpfxdptc获得的数据
cwyzb的博客
03-14 699
xdp获得的数据是以太网帧 数据结构体是ethhdr tc获得的是ip数据报 数据结构体是sk_buffer
在 Ubuntu 21.10 中编写 eBPF tc 程序
alenliu's blog
07-13 865
Ubuntu 21.10 编写 eBPF tc 程序
Ethtool源码分析(一):认识和使用Ethtool
lx121451的博客
02-02 3828
认识和使用Ethtool 一、介绍 ethtool是用于控制网络驱动程序和硬件的标准Linux实用程序,尤其适用于有线以太网设备。 它可以用于: 获取识别和诊断信息 获取扩展设备统计信息 控制以太网设备的速度,双工,自动协商和流量控制 控制校验和卸载和其他硬件卸载功能 控制DMA环大小和中断调节 控制多队列设备的接收队列选择 升级闪存中的固件 大多数功能都依赖于特定驱动程序中的支持...
深入理解 tc ebpf 的 direct-action (da) 模式(2020)
云原生实验室
02-22 1714
前言本文翻译自 2020 年 Quentin Monnet 的一篇英文博客:Understanding tc “direct action” mode for BPF[1]。Quentin...
network-tc-ebpf
vertor11的博客
10-30 375
linux tc ebpf 示例
TC275 用户手册
09-09
英飞凌TC275单片机用户手册,一共6000页,非常详细,用于ASILD功能安全设计
TC网络带宽控制(包含与ebpf结合方案)
07-18 350
实验环境为centos8。tc是一个很强大的网络管理工具,比如增加网络延迟、带宽流量管理等,本篇将基于流量管理来详细讲解下相关功能。,用来存放需要处理的数据包。基于队列类型有相应的规则,可以通过man tc来查看。,比如针对流量的htb qdisc,也会有很多种类别。比如限制 100m带宽的,1000m带宽的,他们属于不同的类别。类别必需要挂靠在qdisc 上。,filter同样需要挂靠在qdisc上,由filter定义数据包对应哪个class,并应用相应的规则。
eBPF理解(三)
08-20 2953
使用例子第一条如:用户态 setsockopt(sock,SOL_SOCKET,SO_ATTACH_BPF,...)绑定BPF到具体的socket上。在网络驱动程序刚收到数据包时触发,无需通过网络协议栈,可用来实现高性能网络处理方案,常用于DDos防御,防火墙,4层负载均衡等场景。类型:BPF_PROG_TYPE_SCHED_CLS 和 BPF_PROG_TYPE_SCHED_ACT。这些类型的BPF程序都可以通过BPF系统调用的BPF_PROG_ATTACH进行挂载。用于过滤,观测或重定向套接字网络包。
ingress入口排队规则分析
eydwyz的专栏
11-08 1705
[cpp] view plain copy  print? 一、ingress入口排队规则模块初始化   ingress_module_init     //注册INGRESS类型排队规则     register_qdisc(&ingress_qdisc_ops)     write_lock(&qdisc_mod_lock);          //查找
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 528
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
[转载]LinuxTC使用说明
wtsusheng的专栏
12-15 1285
一、TC原理介绍 Linux操作系统中的流量控制器TC(Traffic Control)用于Linux内核的流量控制,主要是通过在输出端口处建立一个队列来实现流量控制。 Linux流量控制的基本原理如下图所示。 [img]http://dl.iteye.com/upload/attachment/368610/244035e7-de5d-3e58-a71f-5a86b94d699e...
Linux网络和eBPF
RandyLambert的博客
03-23 1643
目录关于本文如何实现分类器和流量控制程序套接字过滤器程序(BPF_PROG_TYPE_SOCKET_FILTER)套接字相关程序功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 关于本文 Linux 现在已经支持了很多种和网络相关的
ifb与tc police对接收方向限速性能比较
forsakening的专栏
05-20 1352
参考: 【1】https://www.cnblogs.com/xingmuxin/p/10826703.html 【2】https://blog.csdn.net/dog250/article/details/40680765 dog250大神对ifb的理解 1.使用ifb进行容器的出向限速 创建ifb,并mirror流量至ifb网卡上,限制发送侧5G的发送流量 modprobe ifb //支持参数,默认创建ifbx网卡的数目 ifconfig ifb1 up ...
linux下使用命令TC进行网络限流 —— 筑梦之路
筑梦之路
12-22 1528
创建 filter 过滤 虽然创建了 class 分类,但是并没有将任何的 IP、Port 绑定到 class 上,此时并不会有控制作用。还需要创建 filter 将指定的 IP、Port 绑定到 class 上,才能使流量控制 class 生效于资源。创建 class 分类 class 实际上,就是划分流量策略分类。创建 qdisc 队列 上面提到 Linux 是通过包的排队进行流量的控制,那么首先得有一个队列。限速本机对指定IP访问,进入的流量被限制在 6 MBps 以下,而出去的流量不被限制。
eBPF 入门实践教程
最新发布
09-02
6. 部署eBPF程序:一旦你的eBPF程序通过测试,你可以使用ip、tc等工具将其部署到实际的网络环境中。这些工具允许你在网络数据包到达内核之前或之后执行eBPF程序。 以上是一个简单的eBPF入门实践教程的大致步骤。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值