Ingress traffic control

最新推荐文章于 2024-04-23 07:30:00 发布
最新推荐文章于 2024-04-23 07:30:00 发布
阅读量1.2k 收藏
点赞数 1

原文链接:http://ju.outofmemory.cn/entry/53825

相信很多人都知道 Linux 内核很难做 ingress 流量控制的,毕竟发送方理论上可以无限制地发送包到达网络接口。即使你控制了从网络接口到达协议栈的流量,你也很难从根源上控制这个流量。

利用 Linux 内核你可以轻松地完成前者,即控制从网络接口到达协议栈的流量。这个是通过一个叫做 ifb 的设备完成的,这个设备如此不起眼以至于很多人不知道它的存在。

它的使用很简单,加载 ifb 模块后,激活 ifbX 设备:

modprobe ifb numifbs=1
ip link set dev ifb0 up # ifb1, ifb2, ... 操作相同

然后就要通过 ingress tc filter 把流入某个网络接口的流量 redirect 到 ifbX 上:

tc qdisc add dev eth0 handle ffff: ingress
tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0

ingress 这个 qdisc 是不能加 class,但是我们这里使用了 ifb0,所以就可以在 ifb0 设备上添加各种 tc class,这样就和 egress 没有多少区别了。

ifb 的实现其实很简单,因为流入网络接口的流量是无法直接控制的,那么我们必须要把流入的包导入(通过 tc action)到一个中间的队列,该队列在 ifb 设备上,然后让这些包重走 tc 层,最后流入的包再重新入栈,流出的包重新出栈。看代码一目了然:

PLAIN TEXT
C:
  1. while ((skb = __skb_dequeue(&dp->tq)) != NULL) {
  2.                 u32 from = G_TC_FROM(skb->tc_verd);
  3.                 skb->tc_verd = 0;
  4.                 skb->tc_verd = SET_TC_NCLS(skb->tc_verd);
  5.                 u64_stats_update_begin(&dp->tsync);
  6.                 dp->tx_packets++;
  7.                 dp->tx_bytes += skb->len;
  8.                 u64_stats_update_end(&dp->tsync);
  9.                 rcu_read_lock();
  10.                 skb->dev = dev_get_by_index_rcu(dev_net(_dev), skb->skb_iif);
  11.                 if (!skb->dev) {
  12.                         rcu_read_unlock();
  13.                         dev_kfree_skb(skb);
  14.                         _dev->stats.tx_dropped++;
  15.                         if (skb_queue_len(&dp->tq) != 0)
  16.                                 goto resched;
  17.                         break;
  18.                 }
  19.                 rcu_read_unlock();
  20.                 skb->skb_iif = _dev->ifindex;
  21.                 if (from & AT_EGRESS) {
  22.                         dev_queue_xmit(skb);
  23.                 } else if (from & AT_INGRESS) {
  24.                         skb_pull(skb, skb->dev->hard_header_len);
  25.                         netif_receive_skb(skb);
  26.                 } else
  27.                         BUG();
  28.         }

这里有两个不太明显的地方值得注意:

1) 不论流入还是流出,tc 层的代码都是工作在 L2 的,也就是说代码是可以重入的,尤其是 skb 里的一些 header pointer;

2) 网络设备上的 ingress 队列只有一个,这也是为啥 ingress qdisc 只能做 filter 的原因,可以看下面的代码:

PLAIN TEXT
C:
  1. static int ing_filter(struct sk_buff *skb, struct netdev_queue *rxq)
  2. {
  3.         struct net_device *dev = skb->dev;
  4.         u32 ttl = G_TC_RTTL(skb->tc_verd);
  5.         int result = TC_ACT_OK;
  6.         struct Qdisc *q;
  7.         if (unlikely(MAX_RED_LOOP <ttl++)) {
  8.                 net_warn_ratelimited("Redir loop detected Dropping packet (%d->%d)\n",
  9.                                      skb->skb_iif, dev->ifindex);
  10.                 return TC_ACT_SHOT;
  11.         }
  12.         skb->tc_verd = SET_TC_RTTL(skb->tc_verd, ttl);
  13.         skb->tc_verd = SET_TC_AT(skb->tc_verd, AT_INGRESS);
  14.         q = rxq->qdisc;
  15.         if (q != &noop_qdisc) {
  16.                 spin_lock(qdisc_lock(q));
  17.                 if (likely(!test_bit(__QDISC_STATE_DEACTIVATED, &q->state)))
  18.                         result = qdisc_enqueue_root(skb, q);
  19.                 spin_unlock(qdisc_lock(q));
  20.         }
  21.         return result;
  22. }
  23. static inline struct sk_buff *handle_ing(struct sk_buff *skb,
  24.                                          struct packet_type **pt_prev,
  25.                                          int *ret, struct net_device *orig_dev)
  26. {
  27.         struct netdev_queue *rxq = rcu_dereference(skb->dev->ingress_queue);
  28.         if (!rxq || rxq->qdisc == &noop_qdisc)
  29.                 goto out;
  30.         if (*pt_prev) {
  31.                 *ret = deliver_skb(skb, *pt_prev, orig_dev);
  32.                 *pt_prev = NULL;
  33.         }
  34.         switch (ing_filter(skb, rxq)) {
  35.         case TC_ACT_SHOT:
  36.         case TC_ACT_STOLEN:
  37.                 kfree_skb(skb);
  38.                 return NULL;
  39.         }
  40. out:
  41.         skb->tc_verd = 0;
  42.         return skb;
  43. }

而经过 tc action 后是导入到了 ifb 设备的发送队列,见 net/sched/act_mirred.c 的 tcf_mirred() 函数:

PLAIN TEXT
C:
  1. //...
  2.         skb2->skb_iif = skb->dev->ifindex;
  3.         skb2->dev = dev;
  4.         err = dev_queue_xmit(skb2);

也就是说这样就会有多个队列了,可以添加 class 了。:) 这大体也是 ingress traffic control 如何工作的了,可见 ifb 的存在既简单又巧妙地粘合了 egress 上的流量控制。

正如本文一开始讲到的,即使用 ifb 我们所做的流量控制仍然有限,很难从根本上控制发送方的速率。如果双方是通过交换机连接的话,或许通过 L2 上的一些协议可以控制速率,而如果中间经过路由器,那么所能做的就更加有限,只能期待传输层的协议进行控制,而不是靠传输层自身感受到丢包的多少去自动调整速率,因为这可能会花很长时间。

参考资料:

1. http://serverfault.com/questions/350023/tc-ingress-policing-and-ifb-mirroring
2. http://stackoverflow.com/questions/15881921/why-tc-cannot-do-ingress-shaping-does-ingress-shaping-make-sense

HehuaTang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux网卡限速tc,Linux使用tc对网络进行限速
weixin_39535125的博客
05-01 900
Linux使用tc对网络进行限速.md一、限制向特定IP端的出流量outgoingtc qdisc del dev eth0 root 2>/dev/nulltc qdisc add dev eth0 root handle 2:0 htb default 30tc class add dev eth0 parent 2:0 classid 2:11 htb rate 20Mbit ceil...
Traffic Control
lcxhjg的专栏
07-11 2203
Qos/DSCPTC在Linux Kernel中完成Traffic Control功能主要包含以下几个组成部分:    Qdiscs (queuing disciplines): 排队规则, 该object决定进入该队列的数据包的流量控制。队列分为:不可分类队列 和 可分类队列。    Classes (within a queuing discipline): 分类器,对设备的流量控制的进行分类...
Control Ingress Traffic(0.8)
Ybt_c_index的博客
06-19 736
在一个k8s环境中, Kubernetes Ingress Resource 被用于指定一个应被暴露在集群外的服务。在一个Istio服务网格中,一个更好的方法(在k8s和其他环境都可以工作)是使用一种不同的配置模型,称作 Istio Gateway. Gateway 允许Istio功能(例如监控和路由规则)应用于进入集群的流量。 这个task描述如何使用Istio Gateway 配置Isti...
ingress介绍和ingress通过LoadBalancer暴露服务配置
树下一少年的博客
12-07 2306
工作原理了类似于nginx,等于是在ingress里建立许多规则,在通过controller监听规则变化,生成对应的配置,实现对服务的反向代理配置,为外部提供服务,并动态更新。如果要把ingress部署在公有云,那用这种方式比较合适。用Deployment部署ingress-controller,创建一个type为 LoadBalancer的 service关联这组pod。公有云为LoadBalancer的 service自动创建一个负载均衡器,这时把域名解析指向地址,就实现了集群服务的对外暴露。
K8s七层代理Ingress Controller详解
博客虽小,世界尽在其中
04-23 1287
本文旨在深入解析Kubernetes(K8s)中的七层代理Ingress Controller,探讨其在K8s集群中扮演的关键角色以及实现原理。Ingress Controller作为K8s网络模型的重要组成部分,提供了对HTTP/HTTPS等七层协议的代理功能,实现了对外部流量的高效管理和路由。
基于IFB对网络入口流量设置Qos策略
eydwyz的专栏
11-29 3205
实验目的:Open vSwitch对入口流量的QoS只能做限速操作,本实验是为了能实现像出口流量一样的QoS 实验方法:使用Linux内核直接支持的IFB(Intermediate Functional Block device)虚拟网络设备,将所有网络接口(物理 or 虚拟)的入口流量导入IFB设备,利用TC工具(利用linux内核的提供的Traffic Control 功能)在IFB设备上设
Kubernetes之网络策略(Network Policy)
yuan_jiaoyoung的博客
10-26 389
Kubernetes之网络策略(Network Policy)
ingress-nginx源码
12-31
ingress-nginx源码分析 ingress在Kubernetes生态系统中扮演着至关重要的角色,它是一个外部网络访问Kubernetes服务的入口控制器。而ingress-nginx是Kubernetes社区中最流行的ingress控制器实现,它基于Nginx web...
ingress controller安装资源
10-19
ingress controller安装镜像和yaml文件
ingress.tar.gz
07-21
标题 "ingress.tar.gz" 涉及的主题是 Kubernetes 网络,特别是关于 Ingress 的概念和使用。Ingress 是 Kubernetes 集群中的一种资源对象,它提供了对外部访问 Kubernetes 服务的方法,通常用于配置 HTTP 和 HTTPS ...
ingress-nginx-controller-1.9.yaml
10-18
Ingress-Nginx控制器与应用部署详解》 在 Kubernetes 集群中,Ingress 是一种用于对外提供服务的资源对象,它定义了外部网络如何访问内部的 Service。Nginx Ingress 控制器是广泛应用的一种解决方案,通过配置 ...
kustomize 实现的 ingress 示例
最新发布
06-18
使用 kustomize 实现的 ingress 示例,语法覆盖: 覆盖,变量,嵌套等
深入理解 tc ebpf 的 direct-action (da) 模式(2020)
云原生实验室
02-22 1781
前言本文翻译自 2020 年 Quentin Monnet 的一篇英文博客:Understanding tc “direct action” mode for BPF[1]。Quentin...
libbpf-bootstrap开发指南:网络包监测-tc
阿呆的隐秘角落
07-16 885
做全网最好的libbpf-bootstrap 开发指南
Linux内核中流量控制(1)
liurq66的专栏
12-27 2172
引自:http://cxw06023273.iteye.com/blog/867318 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,  严禁用于任何商业用途。  msn: yfydz_no1@hotmail.com  来源:http://yfydz.cublog.cn  Java代码   1.
Linux内核中流量控制(9)
weixin_34414650的博客
05-14 177
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 5.9 ingress ingress流控方法是针对输入数据进行流控处理的,在net/sched/sch_ingress.c中定义, 使用时要求在内...
linux下使用命令TC进行网络限流 —— 筑梦之路
筑梦之路
12-22 1744
创建 filter 过滤 虽然创建了 class 分类,但是并没有将任何的 IP、Port 绑定到 class 上,此时并不会有控制作用。还需要创建 filter 将指定的 IP、Port 绑定到 class 上,才能使流量控制 class 生效于资源。创建 class 分类 class 实际上,就是划分流量策略分类。创建 qdisc 队列 上面提到 Linux 是通过包的排队进行流量的控制,那么首先得有一个队列。限速本机对指定IP访问,进入的流量被限制在 6 MBps 以下,而出去的流量不被限制。
Kubernetes Ingress原理和案例(ingress-nginx)
zhaikaiyun的博客
02-17 2905
1、ingress-nginx工作原理ingress contronler通过与k8s的api进行交互,动态的去感知k8s集群中ingress服务规则的变化,然后读取它,并按照定义的ingress规则,转发到k8s集群中对应的service。而这个ingress规则写明了哪个域名对应k8s集群中的哪个service,然后再根据ingress-controller中的nginx配置模板,生成一段对应...
使用Linux Tc实现入向和出向限速
cpf945的博客
08-03 4270
使用linux TC 实现入向和出向限速的方法,和ipv6限速方式。
ingress dns
04-04
Ingress DNS refers to the domain name system (DNS) configuration used in Kubernetes for traffic routing to Ingress controllers. Ingress is a Kubernetes resource that provides a way to expose ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值