Open vSwitch中的datapath flow匹配过程

最新推荐文章于 2021-09-02 20:52:35 发布
最新推荐文章于 2021-09-02 20:52:35 发布
阅读量298 收藏 3
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/neooelric/p/6598545.html
版权

 

看OVS2.7的datapath表项匹配是一件很蛋疼的事情
  1. 数据结构看不懂
  2. 匹配算法经过了多次演进,已经有点复杂了,看代码完全看不懂,我能怎么办,我也很绝望啊!
 
2.1之前精确匹配时代,匹配过程是1.0
2.1的时候改成了megaflow匹配,匹配过程加入了mask,是为2.0
2.4的时候又对megaflow本身做了cache处理,是为3.0
 
在这个过程中,数据结构本身也发生了变化,庚志辉同时写的博客里的玩意在2.7里已经完全对不上号了
先贴一张2.7版本中目前的数据结构图
 
 
先说收包的流程:
  1. 在创建一个vxlan型的vport时,会调用到vxlan_create来创建这个vport,这个函数做了两件事情

    1. 调用vxlan_tnl_create,alloc要创建的vport,并创建好vxlan设备
    2. 调用ovs_netdev_link,把上一步创建的vxlan设备与vport绑定起来,并且还注册了一个收包回调函数是为netdev_frame_hook,如下:
  2. netdev_frame_hook收到包后,把包转交给netdev_vport_receive,但由于不知道这个宏USE_UPSTREAM_TUNNEL功能是什么,所以到底转交的时候带不带第二个参数就搞不清楚了,如下

    这里要注意的是,netdev_frame_hook及netdev_port_receive是标准的收包流程,所谓标准指的是,只要是发向OVS中port的包,无论port是什么类型,是VXLAN vport,还是netdev vport,还是gre vport,走的都是这个流程,这些vport类型的收包回调统一都是netdev_frame_hook
  3. 无论什么vport类型,包都会走netdev_frame_hook->netdev_port_receive这个流程,然而在netdev_port_receive中就要分流了,如下:

    在这个函数中,根据skb下挂的dev,找出该包所收包时所属于的vport,然后调用ovs_vport_receive
  4. 接下来到了ovs_vport_receive函数中,这个函数主要就做了一件事情:把包中的标识信息(一二三四层外加conntrack信息)扒到一个sw_flow_key结构中,这个结构并不复杂,字段也比较容易理解,这个sw_flow_key结构就是后续datapath转发表匹配时很关键的一个东西。把这件事做完后,就把skb本身与扒出来的这个sw_flow_key一起送给ovs_dp_process_packet函数中进行进一步处理
  5. ovs_dp_process_packet如下

    在这个函数中,将调用ovs_flow_tbl_lookup_stats()进行datapath转发表项的匹配工作
    第一个参数是查询的转发表,这个表挂在datapath下,类型为flow_table,看上面的数据结构图
    第二个参数是之前扒出来的sw_flow_key类型结构实例
    第三个参数是调用Linux kernel函数对skb进行的一个哈希数值
    第四个参数是一个出参,如果是megaflow匹配的话,这个出参将携带掩码匹配命中的字段数出来
  6. 至此,先停一下车,上面说的是包是怎么收进来的,接下来就要看包是怎么匹配的了,先停一下车
 
 
首先先说一下datapath转发表项匹配的概览,总共是分为三个层次的:
  1. 第一个层次,假设没有megaflow,即按位选择性匹配,datapath转发表项必须全12个字段精确匹配,你会怎么做?这种情况下,匹配就很简单,我们把包中的信息扒到sw_flow_key结构中,然后在OVS中设计一个哈希表,映射的就是[sw_flow_key <==> 如何转发],直接用这个哈希表按key查询,O(1)就能完成匹配。
    做个不恰当的比喻,内核datapath中实现了一个类似于std::map的数据结构,当然这是一个哈希表,其中键是sw_flow_key类型的,值就是“要执行的动作”(也就是sw_flow类型)
    当packet收上来时,直接把packet解压出来的key当成键,去查询它对应的“要执行的动作”。。查询成功,就走快转直接从内核转走。。查询失败,就是内核datapath转发表项匹配失败,给用户态上送upcall消息。用户态根据OpenFlow流表,走慢转,然后再把慢转的行为总结成datapath转发表里的“要执行的动作”,下发给内核,这样,下一次再来,就直接走快转了。

    但是问题出现了,精确匹配的最大缺点就是datapath转发表项数量会爆炸膨胀,你想一下用户态OpenFlow流表中的安全组的实现,conjunctive,你再想一想这些安全组映射成datapath转发表项,表项数量得炸成什么样。
    所以为了解决这个问题,就出现了megaflow式匹配,这个洋文名字的意思就是:选择性的匹配某些字段
  2. megaflow匹配就是第二个层次
    1. 入的包解压出来的sw_flow_key实例是所有字段都有的
    2. 匹配时只需要匹配部分的sw_flow_key中的字段,所以OVS设计了一个数据结构叫sw_flow_mask,sw_flow_mask中有两个很重要的字段:sw_flow_key_range与sw_flow_key,其中range就指定了匹配哪些字段。。

      比如,比如,举个不严谨的例子,datapath中要支持两种匹配:

      第一种:按MAC层src与dst及IP层src与dst的匹配
      第二种:IP层src与dst的匹配
      那么就需要做两个sw_flow_mask实例,假设macsrc/macdst/ipsrc/ipdst的编号分别是3、4、5、6,那么这两个sw_flow_mask的实例的示意大致如下:
      sw_flow_mask first = {
          range = [3,4]
          key = {
              ...
              macsrc=11:22:33:44:55:66
              macdst=66:55:44:33:22:11
              ...
          }
      }
      sw_flow_mask second = {
          range = [3,6]
          key = {
              ...
              macsrc=22:22:22:33:33:33
              macdst=33:33:33:22:22:22
              ipsrc=1.2.3.4
              ipdst=4.3.2.1
              ...
          }
      }
      然后这两个实例放在哪里呢?在(datapath.table)->mask_array中,在旧版本的OVS实现中,这些sw_flow_mask的实例被组织成链表,在2.7版本中,直接组织成顺序表了

      那么packet收上来是如何进行匹配的呢?
      首先,要对(datapath.table)->mask_array中的所有sw_flow_mask进行遍历
          然后,对于每个sw_flow_mask实例,这里称为mask,去比对mask.range范围内,mask.key中的值,
          如果这些值与packet解压出来的key一致,那么就表示megaflow匹配成功

      这个时候接下来怎么搞呢?和第一步一样,依然是要去查哈希表,查出一个sw_flow出来,但是哈希表是全字段匹配的呀。
      比如包原先解压出来的sw_flow_key是为key,这个时候用key作键去查哈希表,结果并不是我们希望得到的megaflow匹配结果,而是全匹配结果(很有可能会miss)
      所以不能用key去当键去查哈希表,而应该用匹配的sw_flow_mask实例里的"range + key"这两个信息结合起来,当成键,去查哈希表。

      在这一版的匹配流程中,相较于上一版,解决了datapath转发表项数量爆炸的问题。
      并且在实际实现中,对于sw_flow结构,还增加了一个用来表示mask的字段,是为sw_flow->mask,类型是为sw_flow_mask
  3. 上一版的匹配流程虽然改善了datapath转发表项的爆炸问题,但是又引入了一个新的问题(真他妈是聋子治成哑巴了):性能下降了!
    第一版虽然很浪费内存空间,但是查找快啊!只查一次哈希表就世界太平了!顶多桶位上链表长度长一点撑死了!
    第二版虽然节省了空间,但又浪费时间了啊!你看,先要遍历所有的mask_array中的sw_flow_mask实例,来看哪个实例与包的key能对上!

    所以OVS这拨人又处心积虑的搞出了第三版匹配流程。
    核心思想还是站在前人的工作上糊一层屎:既然遍历mask_array里的实例太浪费时间,那么就不要以“遍历”的形式去做这件事,来,老子的意大利散列函数呢??想办法干他娘的一炮!

    在上一版的策略中,流程大概是:
    第一层:遍历mask
    第二层:根据masked_key查询flow

    所以这一版的策略就改进了这一点,现在流程是这样的:

    第一层:根据packet的key,查询masked_key
    第二层:根据masked_key,查询flow

    注意这两个层次的查询都是哈希表(字典)查询,所以总共实现了两个哈希表(字典):
    第一个字典:键为packet的标识信息,值为mask的标识信息
    第二个字典:键为masked_key,值为flow

    大概逻辑就是这样,下面将讲第三版匹配流程的具体实现
 
 
 
现在回过头来看具体实现,注意配合数据结构图看
 
第一步:根据packet查询masked_key
第一个哈希表的实现就是图中红色的部分,其查询的键是为包的skb结构下的rxhash字段,rxhash字段由Linux内核中的jhash算法,根据包的三层源IP+目的IP+四层源端口+目的端口四个信息加工而成
rxhash字段共有32位,哈希查询的时候,从低八位开始取,每次取rxhash中的八位作为哈希桶的索引号,查询重复四次
这种哈希表的散列冲突处理办法类似于cuckoo哈希表,但不同的是,这里的实现是为每个键提供四个不同的散列值,而不是提供四个散列函数
第二步:根据masked_key查询flow
 
还没有看懂的点:
  1. ufid_ti的用途?
  2. sw_flow结构中,每个table_instance都对应着两个链表字段,为什么?
  3. table_instance结构中的node_ver是什么用途?
 

 

转载于:https://www.cnblogs.com/neooelric/p/6598545.html

weixin_30319153
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【OVS2.5.0源码分析】datapath之流表创建过程
one_clouder的专栏
09-02 2069
上一篇分析了流表查找过程,支撑流表查询的相关信息是什么时候建立,是怎么建立的将在本篇分析。 datapath流表更新的入口函数都定义在dp_flow_genl_ops,流表创建的入口函数是ovs_flow_cmd_new函数,通过该函数,我们可以一窥流表相关信息的建立。 1、ovs_flow_cmd_new函数 static int ovs_flow_cmd_new(struct sk_bu
open vswitch研究:datapath
majieyue的专栏
09-26 6602
struct vport是OVS的设备结构,个人认为非常类似于kernel里的netdev结构 /**  * struct vport - one port within a datapath  * @rcu: RCU callback head for deferred destruction.  * @port_no: Index into @dp's @ports array.
Open vSwitch Datapath浅析
weixin_30845171的博客
08-23 291
下图所示是Open vSwitch的组成(摘自Open vSwitch官网): 它分为Kernel部分和User部分。 安装驱动 Kerenl部分是从Linux 2.6.32开始何如内核,默认是编译为一个KO,位于/lib/modules/`uname –r`/kernel/net/openvswitch/openvswitch.ko。 应用open vswitch首...
open vswitchdatapath阅读笔记
07-25 1956
ovs_flow_cmd_new_or_set是datapath收到nlmsg后调用的。是之前注册给doit的一个回调函数。在generic netlink收到数据时触发,运行在进程上下文。 doit传入两个参数,skb为触发此回调函数的socket buffer。第二个参数是一个genl_info结构体。 static int ovs_flow_cmd_new_or_set(struct
openvswitch:OpenWrt的Open vSwitch软件包
05-10
OpenWrt安装cd $ TOPDIR 回声'src-git openvswitch git://github.com/schuza/openvswitch.git'>> feeds.conf ./scripts/feeds更新openvswitch ./scripts/feeds install -a -p openvswitch 制作menuconfig 选择...
openvswitch离线安装所需依赖包
最新发布
11-02
包含autoconf、automake、libtool和m4,以及必须的python six库 autoconf安装方法见 https://blog.csdn.net/Tiffany_959/article/details/125693188 six只需解压后执行setup.py即可
openvswitch
09-13
OpenvSwitch(简称OVS)是一款开源的虚拟交换机,被广泛应用于云计算和数据心网络环境。它支持多种网络协议和接口类型,可以实现虚拟机之间的通信以及与物理网络的连接。在Docker容器技术,OVS也常作为网络...
openvswitch_exporter:命令openvswitch_exporter为Open vSwitch实现一个Prometheus导出器
05-09
openvswitch_exporter 命令openvswitch_exporter为Open vSwitch实现一个Prometheus导出器。 Apache 2.0许可。用法openvswitch_exporter可用标志包括: $ ./openvswitch_exporter -hUsage of ./openvswitch_exporter:...
Docker如何使用OpenvSwitch网桥
09-30
本篇文章主要介绍了Docker如何使用OpenvSwitch网桥,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
openvswitch datapath 内核态流表创建过程(ovs_flow_cmd_new)
weixin_30548917的博客
03-20 617
datapath流表更新的入口函数都定义在dp_flow_genl_ops,流表创建的入口函数是ovs_flow_cmd_new函数,通过该函数,我们可以一窥流表相关信息的建立。 1、ovs_flow_cmd_new函数 1 static int ovs_flow_cmd_new(struct sk_buff *skb, struct genl_info *info) 2 { ...
openvswitchdatapath源码架构
weixin_34220963的博客
04-21 63
test 转载于:https://blog.51cto.com/coder2man/1917964
openvswitch、Bridge、Datapath
Dake0730的博客
06-07 405
在网络,交换机和桥都是同一个概念,OVS实现了一个虚拟机的以太交换机,换句话说,OVS也就是实现了一个以太桥。那么,在OVS,给一个交换机,或者说一个桥,用了一个专业的名词,叫做DataPath! 要了解,OVS如何工作,首先需要知道桥的概念。 网桥也叫做桥接器,连接两个局域网的设备,网桥工作在数据链路层,将两个LAN连接,根据MAC地址来转发帧,可以看成一个“低层的路由器”(路...
openvswitch 修改dpid(datapath id)
weixin_30699831的博客
10-02 562
版本: $ sudo ovs-vsctl -Vovs-vsctl (Open vSwitch) 2.0.2Compiled May 13 2015 18:49:53 $ sudo ovs-vsctl set bridge br0 other-config:datapath-id=0000000000000002 关键是不能写冒号。 $sudo ovs-ofctl show br0 #查看...
openvswitch datapath路径的actions处理流程分析
魏言华的博客
09-02 751
上一章节分析了datapatch的流表匹配,根据匹配结果会有两个流程,如果匹配成功会执行actions动作,如果没有匹配的流量,会通过upcall流程上送用户态ovs,本章重点分析流表匹配成功时,ovs的actions处理流程。 void ovs_dp_process_packet(struct sk_buff *skb, struct sw_flow_key *key) { const struct vport *p = OVS_CB(skb)->input_vport; struct d
OVS vport, datapath, flow_table, flex_array, sw_flow
mishuang2017的博客
06-17 631
dev_table在kernel里面有好多重名的数据结构,可以先改一下名字: $ git diff diff --git a/net/openvswitch/vport.c b/net/openvswitch/vport.c index b6c8524..554b919 100644 --- a/net/openvswitch/vport.c +++ b/net/openvswitch/vpor
理解OpenStackOpenvSwitch的几个要点
热门推荐
yeasy的专栏
02-18 1万+
OpenvSwitch是实现虚拟化网络的重要基础组件,在OpenStack利用OpenvSwitch作为底层部件来完成虚拟网络提供和租户网络管理。 在部署和应用OpenStack的过程,可能会碰到网络相关的一些问题,能够准确的理解OpenStackOpenvSwitch的角色和网络的理念,会有助于解决问题和快速部署。 OpenvSwitch可以认为是一种Linux Bridge的实现
OVS架构解析--dpdk datapath数据通路
NTF的博客
04-06 1万+
1.架构说明1.1. 整体架构OVS(openvswitch)是开源的虚拟交换机。也是当前市场上云环境部署份额最大的交换机。支持 openflow协议,ovsdb协议管理。一个OVS实例包括,ovsdb-server、ovs-vswitchd、datapath快转模块(linux内核实现,可选的。dpdk模式是在用户态实现快转,并不需要内核态的datapath模块)。ovsdb-serv...
openvswitch的转发数据面datapath的流表源码分析
魏言华的博客
08-30 785
1.datapath的底层数据结构关系 流表采用hash的方式排列存放,流表的hash头结点存储数据结构如下 该hash 桶的初始化函数alloc_buckets (),生成的数据格式可参考如下 2 流表创建流程分析 2.1 flow table数据结构 1> flow_table流表结构, 每个datapath都有一个流表 2> table_instance流表实例, 其的buckets用来存放具体的flow条目,存储方式参见FlexArray ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值