Lehren aus Netdev Conf 2.1 Montreal

Geschrieben von Zevenet | 18 April, 2017 | Technisches

Netdev Conf ist eine Community-geführte Konferenz, die dem Thema gewidmet ist technische Linux-Vernetzung Hier treffen sich die wichtigsten und relevantesten Mitwirkenden, Betreuer und von Open Source unterstützten Unternehmen, um die brandneuen Techniken und Forschungen vorzustellen, die seit der letzten Konferenz von Netdev durchgeführt wurden Linux-Vernetzung.

Mit Blick auf das hohe Niveau der vorgeschlagenen Themen werden wir versuchen, die wichtigsten in diesem Beitrag zusammenzufassen.

Die Veranstaltung begann mit Stephen Hemminger von Microsoft der das aktuelle Problem mit der Vielfalt der Netzwerkgerätenamen in Linux vorstellte, nicht nur im Kernelbereich, sondern auch im Benutzerraum. Andererseits, Eric Dumazet von Google sprach über die Verbesserungen der Busypolling-Technik, die es ermöglicht, die Latenz der Netzwerktreiber zu reduzieren, wobei die Multicore-Architektur (~ 16 CPUs), die wir heutzutage in Rechenzentren verwenden, anstelle der alten Abfragemodi, die für wenige CPUs optimiert wurden, berücksichtigt wird. Willem de Brujin von Google Außerdem wurde der MSG_ZEROCOPY vorgestellt, um die Kopie im Benutzerbereich bis zu 79% der CPU-Leistung zu nutzen.

google busypolling Netzwerktreiber

Andererseits sind DDoS-Schutzthemen aufgrund der Besorgnis der Großen, Hochleistungsschutz gegen solche schwerwiegenden Bedrohungen zu schaffen, sehr beliebt. In dieser Angelegenheit, Gilberto Bertin von Cloudflare präsentierte ihre aktuelle Implementierung für die DDoS-Minderung bei L3 mit dem Namen GateBot unter Verwendung von iptables (derzeit nicht mit Nftables von Ingress getestet) und ihren Ansatz unter Verwendung von XDP und BPF. Facebook stellte beispielsweise sein DDos-Minimierungs- und L4LB-System auf der Grundlage von 2-Karten vor, um eine konsistente Hash- und Sitzungspersistenz zu gewährleisten.

cloudflare ddos ​​lösung iptables bpf xdp

In Bezug auf Savoir-Faire Linux präsentierte Anwendungsfälle, in denen das Legendenprojekt Distributed Switch Architecture wieder zum Leben erweckt wurde, um sie zu lösen.

Jon von Ericsson präsentierte seine Forschungen über einen Algorithmus zum Erstellen eines Clusters mit 1000-Knoten basierend auf einem Klatschprotokoll und einer Ringarchitektur.

Verizon In dieser Gelegenheit wurden die Benchmarks verschiedener TCP-Überlastungssteuerungsmethoden wie Cubic (mit verschiedenen Kernel-Versionen) und BBR gezeigt, die 20MB während 6-Stunden über eine Autobahn heruntergeladen haben. Zusammenfassend lässt sich festhalten, dass BBR die RTT viel niedriger hält, wenn die Abdeckung niedrig ist, und weniger RTO (Retransmission Timeouts). In Bezug auf dieses Thema Hajime von IIJ präsentierte auch seine Arbeit mit BBR im User Space.

Während des Gesprächs XDP für den Rest von uns Es wurde ein Beispiel vorgestellt, wie ein einfaches XDP + BPF-Programm für das Blacklisting erstellt wird, das zwar nicht fehlerfrei ist, wie in der Live-Präsentation festgestellt. 🙂 Es wurde auch die Leistung mit iptables verglichen, aber leider kein Vergleich mit gleichwertigen Alternativen mit Nftables aus ingress oder tc wurde durchgeführt.

Jamal Hadi Halim Er führte ein sehr ausführliches Gespräch über TC und die Herausforderungen im Bereich Hardware-Offload, die hauptsächlich von Mellanox geleitet wurden.

David Miller, Betreuer des netdev-SubsystemsIn ihrem Vortrag über XDP-Mythbuster (eXpress Data Path) haben wir darüber diskutiert, wofür XDP ist und wofür nicht. Die endgültige Schlussfolgerung ist, XDP für eine sehr hohe Leistung für eine ganz bestimmte Aufgabe zu verwenden, da diese vom Benutzer vollständig programmierbar sein müssen.

Joe Stringer von Vmware präsentierte ihre Arbeit mit unterstützenden SDN-Funktionen für Openvswitch, wie zentralisierte stateful-Informationen, Flusstabellen, Datenpfaddefinition mit Übereinstimmungsaktionen, präsentierte das Megaflow-Konzept wie einen markierten Tupel-Abgleich und die gemeinsam genutzten Flusstabellen und schließlich, wie Flusstabellen mit der Datenbank verbunden werden können conntrack.

vmware sdn-flusstabellen

In Bezug auf das Teilsystem Conntrack Florian Westphal von Red Hat Eine ausführliche Beschreibung dessen, was es ist und wie man die Conntrack-Informationen verwendet, die nicht jedem Benutzer bekannt sind, so wie er die Flüsse aufrechterhält, und NAT darauf aufbaut, die Möglichkeit, Conntrack-Ereignisse zu abonnieren, stellt sicher, dass der 3-Weg nur mit dem Handshake funktioniert Nicht gesicherte Pakete werden frühzeitig verworfen, die Idee, die Helfer außerhalb des Main-Bereichs zu halten, und sogar einige Verbesserungen wie Überlaufbehandlung, freie Erweiterungen (kfree) entfernen Erweiterungen mit variabler Größe. Dies bringt eine sehr gute Arbeit mit sich und eine nicht leichte Aufgabe der Verbesserung dieses sehr stabilen und komplexen Codes, ein guter Job für Florian!

netfilter conntrack verwendung

Pablo Neira, Betreuer des Netzfilterprojekts, präsentierte im Workshop einen vollständigen Überblick über die aktuellen Angebote von nftables und die neuesten Updates des netfilter-Projekts, deren Gesichter nicht so langsam sind, wie viele Leute denken könnten. Unter den brandneuen Funktionen von nftables finden wir die Unterstützung von nflog für Protokollierungsfunktionen, Kontingent für die Begrenzung von Ressourcen, nfacc für programmierbare Zähler, keine Spur zur Vermeidung des Conntrack-Handlings, fib, rt, Nutzlast für zustandslose NAT-Funktionen. Jetzt sind Helfer integriert , vmaps mit wilcard-unterstützung, unterstützung von bitmaps, die millionen von Paketen schneller sein könnten als hashtables usw. Infolgedessen ist nftables ein sehr flexibles und leistungsfähiges Werkzeug, das auf einer virtuellen Maschine aufgebaut ist und nur aus einfachen 25-Anweisungen besteht. Nftables duplizieren fast die Leistung von iptables!

netfilter iptables nftables bietet leistungsfähigkeit

Das IoT ist auch in dieser Ausgabe aufgrund der neuen Herausforderungen für die Vernetzung, die diese Art von Industrie erfordern, von großer Bedeutung. Kritische IoT-Systeme wurden ebenfalls von präsentiert Tom Herbert als zukünftiges Asset.

In dieser Ausgabe ist ZEVENET stolz darauf, das Netdev Conf 2.1 unter anderem Open Source-Sponsoren wie Facebook, Cumulus, Verizon, Intel, Google, Red Hat, Mojatatu Networks, VMware, Netronome, Solarflare, Netapp, Savoir-faire Linux und Covalent zu unterstützen und Secunet.

Nächste Ausgabe im November in Südkorea!

Videos in Kürze in Youtube verfügbar.

Weiterleiten an:

Verwandte Blogs

Gepostet von zenweb | 16 April 2021
ZEVENET ist ein intelligentes Unternehmen, das sich auf den Application Delivery Controller-Markt konzentriert und von der Sicherheit bei der Bereitstellung besessen ist. Aus diesem Grund wissen wir wirklich, dass heute die…
88 LikesKommentare deaktiviert zu ZEVENET Multi-Layered Security Übersicht im Edge
Gepostet von zenweb | 23 März 2021
Die Welt des Internets ist voll von Menschen, die darauf warten, in Ihr System einzudringen. Sie möchten Ihre persönlichen Daten erfassen und nutzen. Das könnte…
97 LikesKommentare deaktiviert zur Bedeutung der Cybersicherheit für Unternehmen
Gepostet von zenweb | 18 März 2021
Obwohl seit dem bereits bekannten Angriff auf die SolarWinds-Lieferkette erst wenige Monate vergangen sind, müssen wir dieses Mal wieder über ein anderes Hacking-Problem schreiben…
82 LikesKommentare deaktiviert Informationen zur Minderung von Exchange-Servern Hafnium Zero-Day-Schwachstellen