Upgrade to Pro — share decks privately, control downloads, hide ads and more …

少しわかるCiliumのeBPFプログラム

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Tomoya Terashima Tomoya Terashima
February 17, 2024
Programming
1.8k
2

 少しわかるCiliumのeBPFプログラム

Avatar for Tomoya Terashima

Tomoya Terashima

February 17, 2024

Other Decks in Programming

See All in Programming
The Past, Present, and Future of Enterprise Java
Avatar for ivargrimstad ivargrimstad
0
650
要はバランスからの卒業 #yumemi_grow
Avatar for Takuma Kajikawa kajitack
0
160
GitHubCopilotCLIをはじめよう.pdf
Avatar for tkym htkym
0
330
検索設計から
推論設計への重心移動と
Recall-First Retrieval
Avatar for po3rin po3rin
5
1.7k
Structured Concurrency, Scoped Values and Joiners in the JDK 25 26 27
Avatar for José josepaumard
1
150
Back to the roots of date
Avatar for jinroq jinroq
0
820
mruby on C#: From VM Implementation to Game Scripting (RubyKaigi 2026)
Avatar for hadashiA hadashia
2
1.8k
PHPでバイナリをパースして理解するASN.1
Avatar for muno92 muno92
PRO
0
460
ローカルLLMでどこまでコードが書けるか / How much code can be written on a local LLM
Avatar for Naoki Kishida kishida
2
350
AIを導入する前にやるべきこと
Avatar for Negima negima
2
350
cloudnative conference 2026 flyle
Avatar for azihsoyn azihsoyn
0
180
〜バイブコーディングを超えて〜 チームで実験し続けたAI駆動開発
Avatar for Toranosuke Minamikawa tigertora7571
0
200

Featured

See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
340
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
300
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.6k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
180
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
3
400
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
360
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
211
24k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.4k

Transcript

  1. 少しわかるCiliumのeBPFプログラム eBPF & コンテナ情報交換会 @ 福岡 寺嶋 友哉 1

  2. ⾃⼰紹介 ▌寺嶋友哉(てらしま ともや) ▌お仕事 n サイボウズのオンプレKubernetesクラスタの開発運⽤ n Network関連のコンポーネントを主に担当 ▌趣味 n

    Network関連ソフトウェアの⾃作 n github.com/terassyi n 将棋観戦 2

  3. ⽬次 1. ⽬的 2. Ciliumとは 3. サイボウズでのCiliumの活⽤ 4. Ciliumの通信の仕組み 5.

    CiliumのeBPFプログラム 6. eBPFプログラムの処理の追い⽅ 7. まとめ 3

  4. ⽬的 ▌対象 n Ciliumやネットワーク分野でのeBPFに興味がある⼈ ▌⽬的 n CiliumがどのようにeBPFを活⽤しているかなんとなくわかる n Ciliumの内部構造の雰囲気を掴む 4

  5. Cilium ▌CNIプラグイン ▌eBPFベースの⾼速かつ柔軟なネットワーク機能を提供 n Network Policy n L4LB n kube-proxy

    replacement n Service Mesh n etc… 5

  6. サイボウズでのCiliumの活⽤ ▌⾃社開発のCNIプラグインCoilと組み合わせて利⽤ n https://blog.cybozu.io/entry/2020/10/28/194333 ▌Coil n IPAM + 経路広報 ▌Cilium

    n Kube-proxy replacement n Network Policy n L4LB 6

  7. サイボウズでのCiliumの活⽤ ▌現在はL4LB機能にパッチを当てて運⽤中 n CNDT 2023で発表 n CiliumにおけるGeneveプロトコルを⽤いたDSRの実装と導⼊ n 発表時は本番適⽤前だったが、現在は本番でも元気に動作中 ▌UpstreamにPullRequestを提出してマージされた

    7 ソースコードレベルで調査する事も多い

  8. Ciliumの通信の仕組み ▌Kube-proxy replacement n Kube-proxy(iptables)をeBPFで置き換えて⾼速な通信を実現 8 Replacing iptables with eBPF

    in Kubernetes with Cilium

  9. CiliumのeBPFプログラム概要 9 cil_from_container-<devname> はコンテナごとにアタッチされる cil_from(to)_netdev はノードごとにアタッチされる cilium_*デバイスはデフォルトでは現在使⽤さ れない

  10. 各プログラムの役割(ホスト側) ▌cil_from_netdev n ノード外部から来たパケットを最初に処理する n NodePort(LoadBalancer)関連の処理 n 関連公式ドキュメント n cilium/bpf/bpf_host.c#cil_from_netdev

    ▌cil_to_netdev n ノードから外に出るパケットを処理する n NodePort(LoadBalancer)関連の処理 n cilium/bpf/bpf_host.c#cil_to_netdev 10

  11. 各プログラムの概要(コンテナ側) ▌cil_from_container n cil_from_netdevからパケットを引き渡されてパケットを処理する n cilium/bpf/bpf_lxc.c#cil_from_container n Service経由の通信のバックエンド選択とDNAT n Connection

    Trackingのエントリ管理 n Network Policyの適⽤ n Etc… 11

  12. 通信の追い⽅ ▌Hubbleを使って通信を可視化する n クラスタ内にhubble-relayがいれば全てのノードの通信を⾒れる n いなければ各ノードのcilium-agentに乗り込んでコマンド実⾏ 12 NodePort経由でPodに アクセスした時の通信 どのポイントで観測したか

  13. ソースコードを軽くみてみる 13 ① ② ③ エントリーポイント Tail callして別関数へ Hubbleの観測⽤ に情報を記録

  14. Tail call ▌関数呼び出しのように異なるeBPFプログラムに⾶ぶ n 通常の関数呼び出しと異なり呼び出し元に戻ってこない n 命令数制限を緩和する 14 https://ebpf.io/what-is-ebpf/

  15. CiliumのeBPFコードを追っていくコツ ▌Tail call まみれの処理を追う n エディタの定義ジャンプが効かないのでキーワードで検索していく 15

  16. まとめ ▌ホスト側デバイスに2つのeBPFプログラム n cil_to_netdev n cil_from_netdev ▌コンテナ側のデバイスに1つのeBPFプログラム n cil_from_container ▌どの機能がどのプログラムで処理されるかをなんとなくわかると⾯⽩い

    ▌Tail callが多いので⾶ぶ関数を⽂字列検索で探しながら読む 16

  17. 参考資料 ▌Life of a Packet in Cilium: Discovering the Pod-to-Service

    Traffic Path and BPF Processing Logics ▌Replacing iptables with eBPF in Kubernetes with Cilium ▌CiliumにおけるGeneveプロトコルを⽤いたDSRの実装と導⼊ 17