Open vSwitch 行为匹配的实现

已于 2024-06-29 15:29:54 修改
阅读量1.1k 收藏 12
点赞数 23
分类专栏: Open vSwitch 源码阅读笔记 # Open vSwitch 数据包转发 文章标签: Open vSwitch 服务器 网络 运维
于 2024-06-28 20:33:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74457208/article/details/140052533
版权

 一、Datapath 模块的行为匹配

        在 Open vSwitch 的数据包转发流程中,存在快速路径和慢速路径两种模式,如下图所示:

        其中,快速路径直接在 Datapath 模块完成行为匹配,将数据包转发出去。而慢速路径的数据包无法在 Datapath 模块完全处理,需要通过 upcall 调用将数据包交给用户空间的 vswitchd 守护进程,但是最终守护进程会将处理后的数据包和流表发回 Datapath 模块,然后再次进行行为匹配和数据包的转发。

        对于快速路径而言,行为匹配发生在 Datapath 模块接收和检查筛选之后,即在数据包处理 ovs_dp_process_packet() 函数中调用:

void ovs_dp_process_packet(struct sk_buff *skb, struct sw_flow_key *key) {
    ......

	error = ovs_execute_actions(dp, skb, sf_acts, key);

    ......
}

        对于慢速路径而言,行为匹配发生在流表下发到 Datapath 模块和数据包通过 reinject 发回之后,即在数据包接收和执行 ovs_packet_cmd_execute() 函数中调用:

static int ovs_packet_cmd_execute(struct sk_buff *skb, struct genl_info *info) {
    ......

	err = ovs_execute_actions(dp, packet, sf_acts, &flow->key);

    ......
}

        相应的调用关系如下图所示:

        也就是说,无论是快速路径还是慢速路径,最终都会由 Datapath 模块进行行为匹配,只不过不同的路径需要走不同的流程,会有不同的函数实现。

二、行为匹配 ovs_execute_actions()

        函数 ovs_execute_actions() 是 Datapath 模块的核心部分,主要负责行为的匹配和执行,存储在 ovs-main/datapath/actions.c 文件中:

/* Execute a list of actions against 'skb'. */
int ovs_execute_actions(struct datapath *dp, struct sk_buff *skb, const struct sw_flow_actions *acts, struct sw_flow_key *key) {
	int err, level;

	level = __this_cpu_inc_return(exec_actions_level);
	if (unlikely(level > OVS_RECURSION_LIMIT)) {
		net_crit_ratelimited("ovs: recursion limit reached on datapath %s, probable configuration error\n", ovs_dp_name(dp));
		kfree_skb(skb);
		err = -ENETDOWN;
		goto out;
	}

	OVS_CB(skb)->acts_origlen = acts->orig_len;
	err = do_execute_actions(dp, skb, key, acts->actions, acts->actions_len);

	if (level == 1)
		process_deferred_actions(dp);

out:
	__this_cpu_dec(exec_actions_level);
	return err;
}

        函数的第一个输入参数 struct datapath *dp 表示 datapath 对象(代表一个 Open vSwitch 实例在内核空间的实现),第二个输入参数 struct sk_buff *skb 表示要处理的数据包,第三个输入参数 const struct sw_flow_actions *acts 表示要执行的动作,第四个输入参数 struct sw_flow_key *key 表示数据包的流关键字信息。

        函数首先维护一个当前 CPU 核心的 exec_actions_level 计数器,并进行一些预处理。然后调用 do_execute_actions(dp, skb, key, acts->actions, acts->actions_len) 函数来执行动作列表,并通过判断 exec_actions_level 计数器的值来限制递归次数。最后如果 exec_actions_level 计数器的值为 1 即表示最外层调用,则调用 process_deferred_actions(dp) 函数来处理延迟的动作。

Tips:这里的 exec_actions_level 计数器主要用于递归限制
        Open vSwitch 的 Datapath 模块支持递归执行,以处理嵌套的动作。但为了防止无限递归,代码设置了 OVS_RECURSION_LIMIT 的限制。如果递归深度超过该限制,则会打印警告日志,释放数据包,并返回相应错误码 -ENETDOWN。

Tips:延迟动作处理

        数据包的某些行为在匹配完成后,可能需要在后续处理过程中执行而不是立即执行(比如转发行为)。对于 Datapath 模块而言,这些行为会被推迟到最外层调用时统一处理,由 process_deferred_actions() 函数负责处理这些延迟的动作,该函数存储在 ovs-main/datapath/actions.c 文件中:

static void process_deferred_actions(struct datapath *dp) {
	struct action_fifo *fifo = this_cpu_ptr(action_fifos);

	/* Do not touch the FIFO in case there is no deferred actions. */
	if (action_fifo_is_empty(fifo))
		return;

	/* Finishing executing all deferred actions. */
	do {
		struct deferred_action *da = action_fifo_get(fifo);
		struct sk_buff *skb = da->skb;
		struct sw_flow_key *key = &da->pkt_key;
		const struct nlattr *actions = da->actions;
		int actions_len = da->actions_len;

		if (actions)
			do_execute_actions(dp, skb, key, actions, actions_len);
		else
			ovs_dp_process_packet(skb, key);
	} while (!action_fifo_is_empty(fifo));

	/* Reset FIFO for the next packet.  */
	action_fifo_init(fifo);
}

三、行为执行 do_execute_actions()

        函数 do_execute_actions() 的主要作用是针对不同的数据包类型执行相应的行为,存储在 ovs-main/datapath/actions.c 文件中:

/* Execute a list of actions against 'skb'. */
static int do_execute_actions(struct datapath *dp, struct sk_buff *skb, struct sw_flow_key *key, const struct nlattr *attr, int len) {
	const struct nlattr *a;
	int rem;

	for (a = attr, rem = len; rem > 0; a = nla_next(a, &rem)) {
		int err = 0;

		switch (nla_type(a)) {
    		case OVS_ACTION_ATTR_OUTPUT: {
			    int port = nla_get_u32(a);
			    struct sk_buff *clone;

			    /* Every output action needs a separate clone of 'skb', In case the output action is the last action, cloning can be avoided. */
			    if (nla_is_last(a, rem)) {
				    do_output(dp, skb, port, key);
				    /* 'skb' has been used for output. */
				    return 0;
			    }

			    clone = skb_clone(skb, GFP_ATOMIC);
			    if (clone)
				    do_output(dp, clone, port, key);
			    OVS_CB(skb)->cutlen = 0;
			    break;
		    }

		    case OVS_ACTION_ATTR_TRUNC: {
			    struct ovs_action_trunc *trunc = nla_data(a);

			    if (skb->len > trunc->max_len)
				    OVS_CB(skb)->cutlen = skb->len - trunc->max_len;
			    break;
		    }

		    case OVS_ACTION_ATTR_USERSPACE:
			    output_userspace(dp, skb, key, a, attr, len, OVS_CB(skb)->cutlen);
			    OVS_CB(skb)->cutlen = 0;
			    break;

		    case OVS_ACTION_ATTR_HASH:
			    execute_hash(skb, key, a);
			    break;

		    case OVS_ACTION_ATTR_PUSH_MPLS:
			    err = push_mpls(skb, key, nla_data(a));
			    break;

		    case OVS_ACTION_ATTR_POP_MPLS:
			    err = pop_mpls(skb, key, nla_get_be16(a));
			    break;

		    case OVS_ACTION_ATTR_PUSH_VLAN:
			    err = push_vlan(skb, key, nla_data(a));
			    break;

		    case OVS_ACTION_ATTR_POP_VLAN:
			    err = pop_vlan(skb, key);
			    break;

		    case OVS_ACTION_ATTR_RECIRC: {
			    bool last = nla_is_last(a, rem);

			    err = execute_recirc(dp, skb, key, a, last);
			    if (last) {
				    /* If this is the last action, the skb has been consumed or freed.
				     * Return immediately. */
				    return err;
			    }
			    break;
		    }

		    case OVS_ACTION_ATTR_SET:
			    err = execute_set_action(skb, key, nla_data(a));
			    break;

		    case OVS_ACTION_ATTR_SET_MASKED:
		    case OVS_ACTION_ATTR_SET_TO_MASKED:
			    err = execute_masked_set_action(skb, key, nla_data(a));
			    break;

		    case OVS_ACTION_ATTR_SAMPLE: {
			    bool last = nla_is_last(a, rem);

			    err = sample(dp, skb, key, a, last);
			    if (last)
				    return err;

			    break;
		    }

		    case OVS_ACTION_ATTR_CT:
			    if (!is_flow_key_valid(key)) {
				    err = ovs_flow_key_update(skb, key);
				    if (err)
					    return err;
			    }

			    err = ovs_ct_execute(ovs_dp_get_net(dp), skb, key, nla_data(a));

			    /* Hide stolen IP fragments from user space. */
			    if (err)
				    return err == -EINPROGRESS ? 0 : err;
			    break;

		    case OVS_ACTION_ATTR_CT_CLEAR:
			    err = ovs_ct_clear(skb, key);
			    break;

		    case OVS_ACTION_ATTR_PUSH_ETH:
			    err = push_eth(skb, key, nla_data(a));
			    break;

		    case OVS_ACTION_ATTR_POP_ETH:
			    err = pop_eth(skb, key);
			    break;

		    case OVS_ACTION_ATTR_PUSH_NSH: {
			    u8 buffer[NSH_HDR_MAX_LEN];
			    struct nshhdr *nh = (struct nshhdr *)buffer;

			    err = nsh_hdr_from_nlattr(nla_data(a), nh, NSH_HDR_MAX_LEN);
			    if (unlikely(err))
				    break;
			    err = push_nsh(skb, key, nh);
			    break;
		    }

		    case OVS_ACTION_ATTR_POP_NSH:
			    err = pop_nsh(skb, key);
			    break;

		    case OVS_ACTION_ATTR_METER:
			    if (ovs_meter_execute(dp, skb, key, nla_get_u32(a))) {
				    consume_skb(skb);
				    return 0;
			    }
                break;

		    case OVS_ACTION_ATTR_CLONE: {
			    bool last = nla_is_last(a, rem);

			    err = clone(dp, skb, key, a, last);
			    if (last)
				    return err;
			    break;
		    }

		    case OVS_ACTION_ATTR_CHECK_PKT_LEN: {
                bool last = nla_is_last(a, rem);

                err = execute_check_pkt_len(dp, skb, key, a, last);
                if (last)
                    return err;

                    break;
            }
		}

		if (unlikely(err)) {
			kfree_skb(skb);
			return err;
		}
	}

	consume_skb(skb);
	return 0;
}

        函数的第一个输入参数 struct datapath *dp 表示 datapath 对象(代表一个 Open vSwitch 实例在内核空间的实现),第二个输入参数 struct sk_buff *skb 表示要处理的数据包,第三个输入参数 struct sw_flow_key *key 表示数据包的流关键字信息,第四个输入参数 const struct nlattr *attr 表示要执行的操作列表,第五个输入参数 int len 表示操作列表的长度。

        函数使用 for 循环遍历操作列表,对于每个操作而言,它都会根据 nla_type(a) 类型执行相应的行为。支持的操作类型包括:

  • OVS_ACTION_ATTR_OUTPUT 将数据包发送到指定端口
  • OVS_ACTION_ATTR_TRUNC 截断数据包长度
  • OVS_ACTION_ATTR_USERSPACE 将数据包发送到用户空间
  • OVS_ACTION_ATTR_HASH 计算数据包的哈希值
  • OVS_ACTION_ATTR_PUSH_MPLS 为数据包添加 MPLS 头部
  • OVS_ACTION_ATTR_POP_MPLS 从数据包中删除 MPLS 头部
  • OVS_ACTION_ATTR_PUSH_VLAN 为数据包添加 VLAN 头部
  • OVS_ACTION_ATTR_POP_VLAN 从数据包中删除 VLAN 头部
  • OVS_ACTION_ATTR_RECIRC 重新循环处理数据包
  • OVS_ACTION_ATTR_SET 设置数据包的特定字段
  • OVS_ACTION_ATTR_SET_MASKED 使用掩码设置数据包的特定字段
  • OVS_ACTION_ATTR_SAMPLE 对数据包进行采样操作
  • OVS_ACTION_ATTR_CT 执行连接跟踪操作
  • OVS_ACTION_ATTR_CT_CLEAR 清除数据包的连接跟踪状态
  • OVS_ACTION_ATTR_PUSH_ETH 为数据包添加以太网头部
  • OVS_ACTION_ATTR_POP_ETH 从数据包中删除以太网头部
  • OVS_ACTION_ATTR_PUSH_NSH 为数据包添加 NSH (网络服务头) 头部
  • OVS_ACTION_ATTR_POP_NSH 从数据包中删除 NSH 头部
  • OVS_ACTION_ATTR_METER 执行数据包计量操作
  • OVS_ACTION_ATTR_CLONE 克隆数据包
  • OVS_ACTION_ATTR_CHECK_PKT_LEN 检查数据包长度

        对于每个操作而言,如果执行过程中发生错误,则直接释放数据包并返回错误代码。如果所有操作都执行成功,则最终释放原始数据包。 

总结:

        在 Open vSwitch 的 Datapath 模块中,主要通过 ovs_execute_actions() 函数进行相应行为的匹配和执行,这是数据包在 Datapath 模块中必须执行的步骤。

        由于本人水平有限,以上内容如有不足之处欢迎大家指正(评论区/私信均可)。

参考资料:

Open vSwitch 官网

Open vSwitch 源代码 GitHub

Open vSwitch 数据包接收的实现-优快云博客

Open vSwitch 的 reinject 数据包发回-优快云博客

Open vSwitch v2.17.10 LTS 源代码

openvswitch datapath路径的actions处理流程分析
魏言华的博客
09-02 905
上一章节分析了datapatch中的流表匹配,根据匹配结果会有两个流程,如果匹配成功会执行actions动作,如果没有匹配的流量,会通过upcall流程上送用户态ovs,本章重点分析流表匹配成功时,ovs的actions处理流程。 void ovs_dp_process_packet(struct sk_buff *skb, struct sw_flow_key *key) { const struct vport *p = OVS_CB(skb)->input_vport; struct d
OpenVSwitch实现浅谈(一)
lingshengxiyou的博客
11-09 434
稍微早期的内核模块实现了名为microflow的缓存,这个缓存就是一个hash map,key是所有OpenFlow可能匹配的值对应的hash值,包括了网络2-4层header数据和一些其他的metadata例如in_port,value就是datapath action。传统的交换机,不论是硬件的,还是软件的,所具备的功能都是预先内置的,需要使用某个功能的时候,进行相应的配置即可。因此,OpenVSwitch在最早期的时候,在Linux内核模块实现了所有的OpenFlow的处理。
open vswitch研究:datapath
majieyue的专栏
09-26 6663
struct vport是OVS的设备结构,个人认为非常类似于kernel里的netdev结构 /**  * struct vport - one port within a datapath  * @rcu: RCU callback head for deferred destruction.  * @port_no: Index into @dp's @ports array.
Open vSwitch Datapath浅析
weixin_30845171的博客
08-23 350
下图所示是Open vSwitch的组成(摘自Open vSwitch官网): 它分为Kernel部分和User部分。 安装驱动 Kerenl部分是从Linux 2.6.32开始何如内核,默认是编译为一个KO,位于/lib/modules/`uname –r`/kernel/net/openvswitch/openvswitch.ko。 应用open vswitch首...
openvswitch datapath 内核态流表创建过程(ovs_flow_cmd_new)
weixin_30548917的博客
03-20 699
datapath流表更新的入口函数都定义在dp_flow_genl_ops中,流表创建的入口函数是ovs_flow_cmd_new函数,通过该函数,我们可以一窥流表相关信息的建立。 1、ovs_flow_cmd_new函数 1 static int ovs_flow_cmd_new(struct sk_buff *skb, struct genl_info *info) 2 { ...
openvswitch的RPM包
06-10
**OpenvSwitch详解** OpenvSwitch(简称OVS)是一个开源的虚拟交换机,它支持多种网络技术,包括OpenFlow,使得它成为构建大规模虚拟化网络的重要组件。OVS最初由Nicira Networks开发,现在是Linux基金会的一个项目...
openvswitch数据包处理
01-18
Openvswitch(OVS)是一种开源的虚拟交换机,它提供了强大的网络连接功能,支持多种协议,可以在多种环境中实现复杂的网络拓扑。OVS的主要组件包括`ovs-vswitchd`、`openvswitch.ko`、`ovsdb-server`以及`lib`等模块...
Openvswitch源码阅读笔记.pdf
08-03
综上所述,OpenvSwitch源码阅读笔记涵盖了OVS的网络架构、内部组件、代码组织以及核心功能实现,对于初学者来说,这是一份很好的指南,可以帮助理解OVS如何实现虚拟交换以及OpenFlow协议的运用。
Openvswitch源码阅读笔记.rar
04-11
OpenvSwitch(简称OVS)是一款开源的虚拟交换机,广泛应用于云计算、数据中心网络和SDN(Software Defined Networking,软件定义网络)环境中。本笔记主要针对OVS的源码进行深度解析,帮助读者理解其内部工作原理和...
openvswitch之datapath源码架构
weixin_34220963的博客
04-21 104
test 转载于:https://blog.51cto.com/coder2man/1917964
Open vSwitch中的datapath flow匹配过程
weixin_30319153的博客
03-22 350
看OVS2.7的datapath表项匹配是一件很蛋疼的事情 数据结构看不懂 匹配算法经过了多次演进,已经有点复杂了,看代码完全看不懂,我能怎么办,我也很绝望啊! 2.1之前精确匹配时代,匹配过程是1.0 2.1的时候改成了megaflow匹配匹配过程加入了mask,是为2.0 2.4的时候又对megaflow本身做了cache处理,是为3.0 在这个过程...
openvswitch、Bridge、Datapath
Dake0730的博客
06-07 470
网络中,交换机和桥都是同一个概念,OVS实现了一个虚拟机的以太交换机,换句话说,OVS也就是实现了一个以太桥。那么,在OVS中,给一个交换机,或者说一个桥,用了一个专业的名词,叫做DataPath! 要了解,OVS如何工作,首先需要知道桥的概念。 网桥也叫做桥接器,连接两个局域网的设备,网桥工作在数据链路层,将两个LAN连接,根据MAC地址来转发帧,可以看成一个“低层的路由器”(路...
openvswitch 修改dpid(datapath id)
weixin_30699831的博客
10-02 619
版本: $ sudo ovs-vsctl -Vovs-vsctl (Open vSwitch) 2.0.2Compiled May 13 2015 18:49:53 $ sudo ovs-vsctl set bridge br0 other-config:datapath-id=0000000000000002 关键是不能写冒号。 $sudo ovs-ofctl show br0 #查看...
Open vSwitch 数据包处理流程
最新发布
m0_74457208的博客
06-07 1594
Open vSwitch 在不同模式下的数据包转发流程
理解OpenStack中的OpenvSwitch的几个要点
yeasy的专栏
02-18 1万+
OpenvSwitch实现虚拟化网络的重要基础组件,在OpenStack中利用OpenvSwitch作为底层部件来完成虚拟网络提供和租户网络管理。 在部署和应用OpenStack的过程中,可能会碰到网络相关的一些问题,能够准确的理解OpenStack中OpenvSwitch的角色和网络的理念,会有助于解决问题和快速部署。 OpenvSwitch可以认为是一种Linux Bridge的实现
OVS架构解析--dpdk datapath数据通路
热门推荐
NTF的博客
04-06 1万+
1.架构说明1.1. 整体架构OVS(openvswitch)是开源的虚拟交换机。也是当前市场上云环境中部署份额最大的交换机。支持 openflow协议,ovsdb协议管理。一个OVS实例包括,ovsdb-server、ovs-vswitchd、datapath快转模块(linux内核中实现,可选的。dpdk模式是在用户态实现快转,并不需要内核态的datapath模块)。ovsdb-serv...
openvswitch的转发数据面datapath中的流表源码分析
魏言华的博客
08-30 926
1.datapath的底层数据结构关系 流表采用hash的方式排列存放,流表的hash头结点存储数据结构如下 该hash 桶的初始化函数alloc_buckets (),生成的数据格式可参考如下 2 流表创建流程分析 2.1 flow table数据结构 1> flow_table流表结构, 每个datapath都有一个流表 2> table_instance流表实例, 其中的buckets用来存放具体的flow条目,存储方式参见FlexArray ...
ovs原理与实践
NUCEMLS的博客
07-10 4427
ovs简单原理与实践
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值