Upgrade to Pro — share decks privately, control downloads, hide ads and more …

少しわかるCiliumのeBPFプログラム

Avatar for Tomoya Terashima Tomoya Terashima
February 17, 2024
Programming
2
610

 少しわかるCiliumのeBPFプログラム

Avatar for Tomoya Terashima

Tomoya Terashima

February 17, 2024
Tweet

Other Decks in Programming

See All in Programming
Six and a half ridiculous things to do with Quarkus
Avatar for Holly Cummins hollycummins
0
170
Advance Your Career with Open Source
Avatar for ivargrimstad ivargrimstad
0
520
[Kaigi on Rais 2025] 全問正解率3%: RubyKaigiで出題したやりがちな 危険コード5選
Avatar for Yuta Nakashima power3812
0
140
Android16 Migration Stories ~Building a Pattern for Android OS upgrades~
Avatar for Swimmy reoandroider
0
110
タスクの特性や不確実性に応じた最適な作業スタイルの選択(ペアプロ・モブプロ・ソロプロ)と実践 / Optimal Work Style Selection: Pair, Mob, or Solo Programming.
Avatar for yuki honyanya
3
170
Claude CodeによるAI駆動開発の実践 〜そこから見えてきたこれからのプログラミング〜
Avatar for 入井 啓太 iriikeita
0
200
Pull-Requestの内容を1クリックで動作確認可能にするワークフロー
Avatar for Atsuya Sato natmark
2
510
そのpreloadは必要?見過ごされたpreloadが技術的負債として爆発した日
Avatar for mugi mugitti9
2
3.4k
(Extension DC 2025) Actor境界を越える技術
Avatar for Himeshi teamhimeh
1
250
アメ車でサンノゼを走ってきたよ!
Avatar for Shigure Shimotori s_shimotori
0
220
iOSエンジニア向けの英語学習アプリを作る!
Avatar for yukawashouhei yukawashouhei
0
200
デミカツ切り抜きで面倒くさいことはPythonにやらせよう
Avatar for aokirishima aokswork3
0
230

Featured

See All Featured
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
29
5.5k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Visualization
Avatar for Eitan Lees eitanlees
149
16k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.8k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.2k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
73
11k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
900
Fireside Chat
Avatar for paigeccino paigeccino
40
3.7k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
11
900
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. 少しわかるCiliumのeBPFプログラム eBPF & コンテナ情報交換会 @ 福岡 寺嶋 友哉 1

  2. ⾃⼰紹介 ▌寺嶋友哉(てらしま ともや) ▌お仕事 n サイボウズのオンプレKubernetesクラスタの開発運⽤ n Network関連のコンポーネントを主に担当 ▌趣味 n

    Network関連ソフトウェアの⾃作 n github.com/terassyi n 将棋観戦 2

  3. ⽬次 1. ⽬的 2. Ciliumとは 3. サイボウズでのCiliumの活⽤ 4. Ciliumの通信の仕組み 5.

    CiliumのeBPFプログラム 6. eBPFプログラムの処理の追い⽅ 7. まとめ 3

  4. ⽬的 ▌対象 n Ciliumやネットワーク分野でのeBPFに興味がある⼈ ▌⽬的 n CiliumがどのようにeBPFを活⽤しているかなんとなくわかる n Ciliumの内部構造の雰囲気を掴む 4

  5. Cilium ▌CNIプラグイン ▌eBPFベースの⾼速かつ柔軟なネットワーク機能を提供 n Network Policy n L4LB n kube-proxy

    replacement n Service Mesh n etc… 5

  6. サイボウズでのCiliumの活⽤ ▌⾃社開発のCNIプラグインCoilと組み合わせて利⽤ n https://blog.cybozu.io/entry/2020/10/28/194333 ▌Coil n IPAM + 経路広報 ▌Cilium

    n Kube-proxy replacement n Network Policy n L4LB 6

  7. サイボウズでのCiliumの活⽤ ▌現在はL4LB機能にパッチを当てて運⽤中 n CNDT 2023で発表 n CiliumにおけるGeneveプロトコルを⽤いたDSRの実装と導⼊ n 発表時は本番適⽤前だったが、現在は本番でも元気に動作中 ▌UpstreamにPullRequestを提出してマージされた

    7 ソースコードレベルで調査する事も多い

  8. Ciliumの通信の仕組み ▌Kube-proxy replacement n Kube-proxy(iptables)をeBPFで置き換えて⾼速な通信を実現 8 Replacing iptables with eBPF

    in Kubernetes with Cilium

  9. CiliumのeBPFプログラム概要 9 cil_from_container-<devname> はコンテナごとにアタッチされる cil_from(to)_netdev はノードごとにアタッチされる cilium_*デバイスはデフォルトでは現在使⽤さ れない

  10. 各プログラムの役割(ホスト側) ▌cil_from_netdev n ノード外部から来たパケットを最初に処理する n NodePort(LoadBalancer)関連の処理 n 関連公式ドキュメント n cilium/bpf/bpf_host.c#cil_from_netdev

    ▌cil_to_netdev n ノードから外に出るパケットを処理する n NodePort(LoadBalancer)関連の処理 n cilium/bpf/bpf_host.c#cil_to_netdev 10

  11. 各プログラムの概要(コンテナ側) ▌cil_from_container n cil_from_netdevからパケットを引き渡されてパケットを処理する n cilium/bpf/bpf_lxc.c#cil_from_container n Service経由の通信のバックエンド選択とDNAT n Connection

    Trackingのエントリ管理 n Network Policyの適⽤ n Etc… 11

  12. 通信の追い⽅ ▌Hubbleを使って通信を可視化する n クラスタ内にhubble-relayがいれば全てのノードの通信を⾒れる n いなければ各ノードのcilium-agentに乗り込んでコマンド実⾏ 12 NodePort経由でPodに アクセスした時の通信 どのポイントで観測したか

  13. ソースコードを軽くみてみる 13 ① ② ③ エントリーポイント Tail callして別関数へ Hubbleの観測⽤ に情報を記録

  14. Tail call ▌関数呼び出しのように異なるeBPFプログラムに⾶ぶ n 通常の関数呼び出しと異なり呼び出し元に戻ってこない n 命令数制限を緩和する 14 https://ebpf.io/what-is-ebpf/

  15. CiliumのeBPFコードを追っていくコツ ▌Tail call まみれの処理を追う n エディタの定義ジャンプが効かないのでキーワードで検索していく 15

  16. まとめ ▌ホスト側デバイスに2つのeBPFプログラム n cil_to_netdev n cil_from_netdev ▌コンテナ側のデバイスに1つのeBPFプログラム n cil_from_container ▌どの機能がどのプログラムで処理されるかをなんとなくわかると⾯⽩い

    ▌Tail callが多いので⾶ぶ関数を⽂字列検索で探しながら読む 16

  17. 参考資料 ▌Life of a Packet in Cilium: Discovering the Pod-to-Service

    Traffic Path and BPF Processing Logics ▌Replacing iptables with eBPF in Kubernetes with Cilium ▌CiliumにおけるGeneveプロトコルを⽤いたDSRの実装と導⼊ 17