【译】告别 IPVS,拥抱 Cilium/XDP? | 深入浅出 eBPF

原创 已于 2022-07-19 20:54:08 修改 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2022-07-19 20:52:27 首次发布
Seznam.cz技术团队分享了他们如何从IPVS迁移到Cilium的XDP(eXpress Data Path)独立L4负载均衡器,以应对流量增长和硬件短缺。Cilium的XDP模式在高流量场景下表现出色,减少了CPU使用,提高了性能。在生产环境中切换到L4LBXDP后,他们发现CPU负载显著降低,处理能力增强。Cilium的加权后端功能开发完成后,他们计划全面切换到L4LBXDP。

原文地址:【译】告别 IPVS,拥抱 Cilium/XDP? | 深入浅出 eBPF

Seznam.cz 是一家捷克技术公司,开发定制搜索引擎、广告平台、在线地图、内容管理系统,以及私有云服务、定制硬件和数据中心。

1. 架构

Seznam 的基础设施早期采用 F5 硬件负载平衡器,但几年前我们切换到了软件负载均衡器。到目前为止,我们一直在使用 多层 架构:

最低0.47元/天 解锁文章
6、深入探索Kubernetes网络:负载均衡、eBPF与故障排查
Pepper的专栏
09-17 31
本文深入探讨了Kubernetes网络中的关键组件与技术,涵盖iptables、IPVSeBPF在服务负载均衡中的应用与优劣对比。详细分析了iptables的局限性、IPVS的多种调度算法与转发模式,以及eBPF在性能、安全和可观测性方面的优势。同时介绍了常用的网络故障排查工具如ping、traceroute、dig、nmap和cURL,并结合实际场景提供使用建议与综合排查流程。文章还强调了工具使用的安全风险,特别是setuid机制的潜在威胁,帮助读者构建高效、安全的Kubernetes网络体系。
【kubernets】eBPFXDP:现代Linux内核的可编程革命
最新发布
九师兄
12-16 8
BPF(伯克利包过滤器)最初由Steven McCanne和Van Jacobson于1992年提出,用于高效网络数据包过滤。2014年,Alexei Starovoitov扩展为eBPF,升级为通用内核可编程引擎,支持64位架构、JIT编和安全验证。eBPF广泛应用于网络、安全、可观测性等领域,并衍生出XDP(快速数据路径)实现微秒级网络包处理。现代工具链如BCC、bpftrace降低了开发门槛,而Cilium、Falco等云原生项目则展现了eBPF在容器化环境中的核心价值。eBPF被誉为操作系统领域近
Cilium 1.11 发布,带来内核级服务网格、拓扑感知路由....
KubeSphere
12-15 1608
原文链接:https://isovalent.com/blog/post/2021-12-release-111 作者:Cilium 母公司 Isovalent 团队 者:范彬,狄卫华,米开朗基杨 注:本文已取得作者本人的翻授权! Cilium 项目已逐渐成为万众瞩目之星,我们很自豪能够成为该项目的核心人员。几天前,我们发布了具有诸多新功能的 Cilium 1.11 版本,这是一个令人兴奋的版本。诸多新功能中也包括了万众期待的 Cilium Service Mesh 的 Beta 版本。在本篇.
L4LB 四层负载均衡 IP 伪造漏洞-学习笔记
weixin_45876984的博客
08-13 597
幕布链接:L4LB 四层负载均衡 IP 伪造漏洞-学习笔记 - 幕布
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 1万+
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题不仅在于网络是underlay还是overlay,也在于networkpolicy。
Kubernetes 中的 eBPF
weixin_34117522的博客
12-14 543
BPF BPF (Berkeley Packet Filter) 最早是用在 tcpdump 里面的,比如 tcpdump tcp and dst port 80 这样的过滤规则会单独复制 tcp 协议并且目的端口是 80 的包到用户态。整个实现是基于内核中的一个虚拟机来实现的,通过翻 BPF 规则到字节码运行到内核中的虚拟机当中。最早的论文是这篇,...
转载和积累系列 - L4负载均衡的设计与实现
热门推荐
自娱自乐的代码人
08-11 5万+
目录 简介 一、LVS的局限性 1. 数据包转发性能问题 2.HA-主备结构的浪费 3.转发模式的优缺点 二、google maglev负载均衡 Maglev Consistent Hash Google下一步是什么? 三、facebook katran 第一代 L4LB 四、设计高性能负载均衡 附录: 简介 负载均衡分为L4负载均衡(例如LVS)、L7负载均衡(例如nginx),L4负载均衡工作在传输层其主要功能就是转发, 本文讲述的负载均衡为L4。 传统上通过采购硬件的..
拥抱云原生,基于eBPF技术实现Serverless节点访问K8S Service
Ucloud_TShare的博客
04-02 483
Serverless容器的服务发现 2020年9月,UCloud上线了Serverless容器产品Cube,它具备了虚拟机级别的安全隔离、轻量化的系统占用、秒级的启动速度,高度自动化的弹性伸缩,以及简洁明了的易用性。结合虚拟节点技术(Virtual Kubelet),Cube可以和UCloud容器托管产品UK8S无缝对接,极大地丰富了Kubernetes集群的弹性能力。如下图所示,Virtual Node作为一个虚拟Node在Kubernetes集群中,每个Cube实例被视为VK节点上的一个Pod。
k8s系列05-使用containerd和cilium部署kubeproxy-free的k8s集群
tinychen
05-24 1482
本文主要在centos7系统上基于containerd和stable版本(1.11.4)的cilium组件部署v1.24.0版本的k8s原生集群,由于集群主要用于自己平时学习和测试使用,加上资源有限,暂不涉及高可用部署。 此外,由于cilium已经实现了对kube-proxy的一整套替代方案,这里部署k8s集群的时候会使用cilium的kubeproxy-free方案。 此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 集群信息 机器均为8C8G的虚拟机,硬
MoonGen - 灵活又高性能的收发包工具
steeven
02-16 2503
MoonGen是一个高性能的基于CPU的收发包工具 DPDK保证其性能强大,用单核x86 CPU可以收发64B 10G Lua是比较流行的小巧灵活的脚本语言,收发包逻辑修改后不用编,直接运行,因为是脚本。 LuaJit是Lua的x86即时编工具。 这三兄弟组合就是灵活的MoonGen引擎,运行Lua脚本用来执行收发包逻辑,很容易写出比专业测试仪还复杂的逻辑。 编步骤: [li...
MoonGen:MoonGen是基于DPDK和LuaJIT构建的完全可编写脚本的高速数据包生成器。 它可以在单个CPU内核上用64个字节的数据包使10 Gbits连接饱和,同时为每个数据包执行用户提供的Lua脚本。 多核支持可提供更高的速率。 它还具有精确的时间戳记和速率控制功能
02-03
MoonGen:MoonGen是基于DPDK和LuaJIT构建的完全可编写脚本的高速数据包生成器。 它可以在单个CPU内核上用64个字节的数据包使10 Gbits连接饱和,同时为每个数据包执行用户提供的Lua脚本。 多核支持可提供更高的速率。 它还具有精确的时间戳记和速率控制功能
Cilium 1.10 重磅发布!】支持 Wireguard, BGP, Egress IP 网关, XDP 负载均衡, 阿里云集成
云原生Serverless的专栏
05-26 2442
作者: 清弦 阿里云技术专家,主要负责ACK 容器网络设计与研发,阿里云开源CNI项目Terway 主要维护者,Cilium Alibaba IPAM 贡献者 本文翻Cilium 1.10 发布文档[1]由于者水平有限,本文不免存在遗漏或错误之处。如有疑问,请查阅原文。以下是文。 Egress IP Gateway BGP for LoadBalancer VIP 阿里云集成 Wireguard 透明加密 Cilium ARM64 镜像 Cilium CL...
MoonGen 开源项目使用指南
gitblog_01181的博客
08-09 1136
MoonGen 是一个高度可扩展的软件定义网络(SDN)流量生成工具,基于 Lua 脚本语言设计,旨在提供灵活且高性能的网络测试能力。以下是其主要的目录结构概述: ```plaintext MoonGen/ │ ├── bench/ - 包含性能测试相关的脚本或数据。 ├── doc/ - 文档目录,可能包括API文档和其他说明文档。 ├── examples...
Facebook 流量路由最佳实践:从公网入口到内网业务的全路径 XDP/BPF 基础设施
easylife206的专栏
03-12 960
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux者序本文翻自 Facebook 在 LPC 2021 大会上的一篇分享:From XDP to Soc...
CDN基于谷歌开源Katran四层负载均衡方案的应用 - 原理篇
wjnforever的博客
10-26 2963
CDN作为一种分布式缓存加速服务,对于访问量级大的区域,单个节点带宽建设一般可达百Gb量级,对外配置虚拟IP提供服务,节点内部需要通过多层负载均衡(LB)将请求分发到内部的若干台服务器进行处理。一般情况下,我们使用LVS作为四层负载均衡(L4LB),使用Nginx作为七层负载均衡(L7LB),节点配置如图。 传统的L4LB需要对每个入站数据包进行处理,其性能决定了访问延迟和后端服务器扩展性,主要包括下面组件: VIP通告:该组件与L4LB前面的网络元件(通常是交换机)对等互联,向外界通告L4LB负责
小霸王电脑吃鸡/玩大型游戏GlobalShaderCache-PCD3D_SM4.bin is missing解决方法
糖果先生的博客
10-09 2154
(2017年9月27日) 先重现一下问题: 再说一下博主小霸王级别电脑,i3处理器,8g内存,Graphic 3000集显。 但是还是想吃鸡啊!怎么办呢,下了半天的吃鸡结果蹦出了个看不懂的错误。乍一看像是缺少了文件。我也尝试过从网上下载相关文件,但是依旧不行。 后来在网上看到了一篇关于渣机玩一些大型游戏的帖子。里面也是遇到这种类似的问题。最后用了一个神器来解决的,名字叫做dxcpl。大致的作用是跳过游戏的显卡检测。这样低配电脑也可以玩一些大型游戏(不过要小心显卡别烧了)。接下来说明一下怎么折
现代网络负载均衡与代理导论
hao_wujing的专栏
12-27 1776
负载均衡器是现代分布式系统的一个核心组件有两类通用负载均衡器:L4 和 L7,它们在现代架构中都有很重要的应用场景L4 负载均衡器正在朝着基于分布式一致性哈希的水平可扩展架构演进L7 负载均衡器近年来投入的资源非常大,源于最近火热的动态微服务架构的需求全局负载均衡,以及控制平面和数据平面的分离是负载均衡的未来, 将来大部分创新和商业机会也都会在这两个方向对于网络解决方案,工业界正在大步迈向通用开源硬件和软件解决方案。
Cilium 官方文档翻(1)什么是cilium
煮酒论架构
11-20 489
Cilium 官方文档翻第一篇
LVS的核心组件是IPVS、LVS 调度器?还是IPVSipvsadm,还是:调度器、真实服务器?
08-04
<think>我们正在讨论LVS的核心组件。根据之前的对话和引用内容,我们需要明确LVS的核心组件包括哪些部分。 引用[1]提到了ipvsadm工具和相关的配置文件,引用[2]明确指出ipvsadm是工作在用户空间,负责为ipvs内核模块编写规则。引用[3]则提到了IPVS和Netfilter的关系。 回顾之前的问题:用户问“LVS的核心组件是IPVS和LVS调度器吗?”我们回答“是的”,并详细说明了IPVS和LVS调度器。但用户现在进一步询问核心组件是否包括IPVS、LVS调度器、ipvsadm还是调度器和真实服务器? 我们需要澄清: 1. IPVS:是Linux内核的一个模块,实现负载均衡的核心转发功能。 2. LVS调度器:实际上指的是IPVS模块中实现的调度功能(如轮询、加权等),通常我们说的LVS调度器就是由IPVS模块来担任的。 3. ipvsadm:是用户空间的一个管理工具,用于配置IPVS规则,它本身不是核心组件,而是管理工具。 4. 真实服务器(Real Server):是后端提供服务的服务器,它们不属于LVS系统本身的组件,而是被负载均衡的对象。 因此,严格来说,LVS的核心组件是: - IPVS(内核模块,负责数据转发和调度) - LVS调度器(调度功能,由IPVS模块实现) 而ipvsadm是一个用户空间的管理工具,用于配置IPVS(即配置调度器和后端服务器等)。真实服务器是后端服务节点,不属于LVS系统。 所以,回答用户:LVS的核心组件包括IPVS和LVS调度器(调度器功能由IPVS实现),而不包括ipvsadm和真实服务器。 但是,我们也要注意,在配置LVS时,ipvsadm是必不可少的工具,但它不是运行时的核心组件。 根据引用[2]:“ipvsadm工作在用户空间,负责为ipvs内核模块编写规则”,这明确说明ipvsadm是一个配置工具。 因此,我们给出以下回答: 核心组件: 1. IPVS:位于Linux内核中的负载均衡引擎,负责接收请求并根据调度算法将请求转发给后端真实服务器。 2. LVS调度器:即IPVS模块中实现的调度算法(如轮询、加权轮询等),它是IPVS的核心功能之一。 非核心部分: - ipvsadm:用于配置IPVS规则的用户空间工具(重要但不是核心组件)。 - 真实服务器:后端实际提供服务的服务器,不属于LVS系统。 同时,我们也要注意,在LVS的架构中,调度器通常指的是整个LVS负载均衡器(包括IPVS模块和配置),但在组件层面,核心就是IPVS。 所以,我们可以这样总结: LVS的核心是IPVS内核模块,它实现了虚拟服务器(Virtual Server)的功能,包括请求的调度(即调度器功能)。因此,核心组件就是IPVS(包含调度器功能)。 注意:有时我们会说LVS调度器,其实指的就是IPVS的调度功能。 因此,回答用户的问题:LVS的核心组件包括IPVS(包含调度器功能),而不包括ipvsadm和真实服务器。 引用说明: 引用[2]指出ipvsadm是用户空间工具,用于配置IPVS规则。 引用[1]提供了ipvsadm的相关文件路径,说明它是管理工具。 我们可以在回答中引用这些内容。 另外,用户可能混淆了“调度器”的概念。在LVS中,整个负载均衡服务器(通常称为Director)上运行着IPVS模块,而调度器(scheduler)指的是IPVS中使用的调度算法。因此,调度器是IPVS的一部分。 所以,我们回答: LVS的核心组件是IPVS(包含调度器功能)。ipvsadm是配置工具,真实服务器是后端服务节点,不属于LVS核心组件。 生成相关问题: 1. IPVS模块是如何在内核中实现流量转发的? 2. 如何通过ipvsadm配置LVS的调度算法? 3. LVS的负载均衡器(Director)和真实服务器(Real Server)之间如何协作?</think>根据LVS架构分析,其核心组件组成如下: ### LVS核心组件解析 1. **IPVS(核心引擎)** - Linux内核级流量转发模块,通过Netfilter框架实现负载均衡[^3] - 主要功能: - 接收客户端请求 - 执行调度算法选择后端服务器 - 支持NAT/DR/TUN三种转发模式 - 验证方式: ```bash lsmod | grep ip_vs # 检查内核模块加载 cat /proc/net/ip_vs # 查看运行时状态 ``` 2. **LVS调度器(策略层)** - 集成在IPVS中的调度逻辑 - 实现调度算法: - 静态算法:RR(轮询)、WRR(加权轮询)、SH(源地址哈希) - 动态算法:LC(最少连接)、WLC(加权最少连接)[^2] - 工作流程: ```mermaid graph LR A[客户端请求] --> B(IPVS内核模块) B --> C{调度器决策} C --> D[Real Server 1] C --> E[Real Server 2] ``` ### 非核心但关键组件 3. **ipvsadm(管理工具)** - **用户空间配置工具**(`/usr/sbin/ipvsadm`) - 作用:向IPVS注入规则(非常驻组件)[^1][^2] - 典型操作: ```bash # 添加虚拟服务(调度器配置) ipvsadm -A -t VIP:80 -s wrr # 添加真实服务器(权重调整) ipvsadm -a -t VIP:80 -r RIP1:80 -g -w 3 # DR模式,权重3 ``` 4. **真实服务器(非LVS组件)** - 后端业务服务器(Real Server) - 不属于LVS系统,而是被负载均衡的对象 ### 组件关系总结 | 组件 | 是否核心 | 角色说明 | |---------------|----------|----------------------------| | **IPVS** || 内核级流量转发引擎 | | **LVS调度器** || IPVS内置的调度策略逻辑 | | **ipvsadm** || 用户空间配置工具(非常驻) | | **真实服务器**|| 被负载的后端业务节点 | > **结论**: > LVS的核心组件是 **IPVS内核模块** 和其内置的 **调度器功能**。 > `ipvsadm`是配置工具(非运行核心),真实服务器属于外部资源(非LVS组件)[^1][^2][^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值