Upgrade to Pro — share decks privately, control downloads, hide ads and more …

XDPを利用したエッジデバイスでのネットワーク制御

Tomoya Amachi
November 13, 2020
Technology
0
380

 XDPを利用したエッジデバイスでのネットワーク制御

Tomoya Amachi

November 13, 2020
Tweet

More Decks by Tomoya Amachi

See All by Tomoya Amachi
Azureで守るマルチクラウド
tomoyamachi
0
370
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
820
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
830
Cloud Native Development Design Patterns
tomoyamachi
2
3.3k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
2.9k
Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方
tomoyamachi
2
1.4k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
350

Other Decks in Technology

See All in Technology
Building smarter apps with machine learning, from magic to reality
picardparis
4
3.6k
レイヤードアーキテクチャにおける 例外との向き合い方
yukihiromori
0
1.3k
LOWYAビジネスダッシュボード:DevとBizの共通認識が切り拓く未来
kazumax55
0
110
(n=1の)テーブルデータコンペの取り組み方
makotu
1
770
OCI IaaS新機能アップデート
oracle4engineer
PRO
1
110
【新卒研修資料】基礎統計学 / Basic of statistics
brainpadpr
68
44k
データベーススペシャリストというキャリアと生存戦略 ~10年後も変わらないこと、変わること / career-spiral
soudai
13
3.5k
Postmanで始めるAI・機械学習プラットフォームHugging Face
nagix
1
170
動画配信サービスの 人気番組配信のスパイクアクセスに、 サーバレスキャッシュで立ち向かう
miu_crescent
1
110
Airplay
elcuervo
0
130
できる!アクセシビリティ向上/droidkaigi2023-day2
nikkei_engineer_recruiting
0
910
Goで実装された高速な
仮想待合室サーバの実装と詳解
pyama86
13
5.5k

Featured

See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.2k
Product Roadmaps are Hard
iamctodd
42
8.7k
For a Future-Friendly Web
brad_frost
168
8.2k
Imperfection Machines: The Place of Print at Facebook
scottboms
257
12k
Art, The Web, and Tiny UX
lynnandtonic
285
18k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
12
5.6k
Optimizing for Happiness
mojombo
368
67k
Support Driven Design
roundedbygravity
91
9.2k
YesSQL, Process and Tooling at Scale
rocio
159
13k
How to train your dragon (web standard)
notwaldorf
70
4.7k

Transcript

  1. XDPを利用したエッジデバイスでのネットワーク制御
    @tomoyamachi

    View Slide

  2. 背景
    ネットワークが不安定なエッジデバイスで、
    アプリケーションごとのネットワーク制御を必要とせず
    通信を行いたい。
    Vehicle
    edge
    Vehicle
    edge
    Cloud
    4G Wi-Fi

    View Slide

  3. 現在のアーキテクチャ
    ● Transparent Proxy
    ○ すべてのリクエストを制御する
    ■ 接続可能なネットワークインタフェース制御
    ■ リクエストのバッファリング
    ■ 設定時間以上バッファリングした場合、リクエストデータを保存
    ○ 外部から動的に設定の変更が可能
    ● Manager Process
    ○ iptablesの変更
    ○ デフォルトで動作する DNS resolver停止
    ○ 不通時のみ固定値を返却する DNS resolver
    ○ 非同期でリクエスト送付

    View Slide

  4. 動作例1 : リクエストのバッファリング
    Offline
    1
    manager proxy
    3. Buffers request
    data
    app
    1. Returns a
    dummy IP
    2. Requests data
    Recover
    2
    manager envoy
    1. Check real ip
    app
    2. Request to target
    server
    3. Return response
    data

    View Slide

  5. 動作例2 : 非同期でのリクエスト管理
    request情報のハッシュ値を元に
    同一リクエストかを判断

    View Slide

  6. 課題
    ● 既存の手法(iptables)の場合、ネットワーク制御の管理が煩雑
    ○ ネットワークの状態などに応じて、動的に制御を行いたい
    ○ iptablesのデバッグが難しく、原因特定が難しい
    要求機能
    ● ネットワークがない状況での名前解決は、ローカルマシン上で行う
    ● すべてのパケットリクエストを、ローカルマシンで動作する透過プロキシのポートへ
    集約する
    ● 透過プロキシが動作するポートからのリクエストのみ、外部へのリクエストを許可す

    View Slide

  7. 今回の解決策
    ● XDPを利用することにより、
    エッジデバイスでもパケット制御をプログラマブルに
    行うことができるのではないか。
    ● 先行事例
    ○ Cilium : Kubernetesで動作するプロキシ。パケット制御を eBPF&XDPを利用して行う。

    View Slide

  8. XDPとは
    ● ネットワークインタフェースをカーネルレベルでプログラマブルに記述
    ● C言語のプログラムをeBPFバイトコードにコンパイルできる
    ● eBPFバイトコードを、ユーザランドからそのままロードできる
    https://medium.com/@fntlnz/load-xdp-programs-using-the-ip-iproute2-command-502043898263

    View Slide

  9. XDPプログラム
    #define KBUILD_MODNAME "filter"
    #include
    #include
    #include
    #include
    #include
    // DNS resolverをポート54で動かす
    int dnsredirect (struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;
    struct ethhdr *eth = data;
    if ((void*)eth + sizeof(*eth) > data_end) {
    return XDP_PASS;
    }
    struct iphdr *ip = data + sizeof(*eth);
    if ((void*)ip + sizeof(*ip) > data_end) {
    return XDP_PASS;
    }
    if (ip->protocol == IPPROTO_UDP) {
    struct udphdr *udp = (void*)ip + sizeof(*ip);
    if ((void*)udp + sizeof(*udp) <= data_end) {
    if (udp->dest == ntohs(53)) {
    udp->dest = ntohs(54);
    } else if (udp->source == ntohs(54)) {
    udp->source = ntohs(53);
    }
    }
    }
    return XDP_PASS;
    }
    eBPF
    バイトコード
    生成
    verifier (検証)
    BPF XDP
    Kernel Land
    User Land
    名前解決をport 54で行う

    View Slide

  10. 結果
    ● ネットワークがない状況での名前解決は、ローカルマシン上で行う
    ● すべてのパケットリクエストを、ローカルマシンで動作する透過プロキシのポートへ
    集約する
    ● 透過プロキシが動作するポートからのリクエストのみ、外部へのリクエストを許可す

    動作確認済
    動作確認済
    動作確認済

    View Slide

  11. 評価
    ● 元々の目的である、iptablesによる制御の複雑度は下げることができた。
    ○ コードを元に、直感的に経路を把握できる
    ○ パケット制御する関数を動的に変更できるので、ルールセットの定義が容易
    ● 原理的にiptablesよりも高速に動作するので、性能試験なども行いたい
    ● 成熟段階の技術のため、今後より成熟していけばコントロールできる部分が増えて
    いくと予想される
    ● 実際にプロダクトに取り込む場合は、今後のロードマップを確認しながら取り入れた
    ほうがよい。

    View Slide

  12. 今後したいこと
    ● 実装した結果、利用できる関数も充実しており、
    ユーザランドでの制御が困難な操作も行えるため、透過Proxy機能をXDPで実装
    する手法を検討して実装したい
    ○ パケットの解析を行い、リクエスト先に応じて利用する NICを変更する
    ○ 名前解決をXDP内の制御のみで完結させる
    ● eBPFバイトコードをControl Planeから
    配信する形式で動作できるかチェック

    View Slide

  13. 参照
    A practical introduction to XDP
    https://linuxplumbersconf.org/event/2/contributions/71/attachments/17/9/presentati
    on-lpc2018-xdp-tutorial.pdf
    The eXpress Data Path
    https://github.com/tohojo/xdp-paper/blob/master/xdp-the-express-data-path.pdf

    View Slide