Lærdomme fra Netdev Conf 2.1 Montreal

Skrevet af Zevenet | 18 April, 2017 | Teknisk

Netdev Conf er en community-drevet konference dedikeret til teknisk Linux netværk hvor de vigtigste og relevante bidragydere, vedligeholdere og open source-støttede virksomheder mødes sammen for at præsentere de helt nye teknikker og undersøgelser, der er gjort siden sidste Netdev Conf om Linux netværk.

Ser vi på det høje niveau af de emner, der er blevet foreslået, vil vi prøve at opsummere de vigtigste i dette indlæg.

Begivenheden begyndte med Stephen Hemminger fra Microsoft hvem præsenterede det aktuelle problem med mangfoldigheden af ​​netværksenhedsnavne i Linux, ikke kun i kernelrummet men også i brugerrum. Med andre hånd Eric Dumazet fra Google talte om forbedringerne af Busypolling-teknikken, der gør det muligt at reducere netværksdriverens latenstid, idet man fordeler multicore-arkitekturen (~ 16 CPU'er), som vi bruger i datacentre i dag, i stedet for de gamle afstemningstilstande, der var optimeret til få CPU'er. Willem de Brujin fra Google og præsenterede også MSG_ZEROCOPY for at udnytte kopien til brugerplads op til 79% af CPU-ydeevne.

google busypolling netværksdrivere

På den anden side har DDoS-beskyttelsesemner været meget populære på grund af de store års bekymring for at opbygge ydeevnebeskyttelse mod så alvorlige trusler. I denne sag, Gilberto Bertin fra Cloudflare præsenterede deres nuværende implementering for DDoS-begrænsning ved L3 kaldet GateBot ved hjælp af iptables (i øjeblikket ikke testning med nftables fra indgang) og deres tilgang ved hjælp af XDP og BPF. For eksempel Facebook forelagde deres DDos mitigation og L4LB system baseret på 2 kort for at opretholde en konsistent hashing og sessions persistens.

cloudflare ddos ​​løsning iptables bpf xdp

I forhold til Savoir-Faire Linux præsenterede brugssager, hvor legendariske projekt Distributed Switch Architecture er kommet til live igen for at løse dem.

Jon fra Ericsson præsenterede sin forskning om en algoritme for at skabe en klynge med 1000-noder baseret på en sladderprotokol og ringarkitektur.

Tele Danmark Mobil i denne lejlighed viste benchmarks for forskellige TCP congestion kontrol metoder som Cubic (med forskellige kernel versioner) og BBR, udfører en download af 20MB i løbet af 6 timer gennem en motorvej. Sammenfattende holder BBR RTT meget lavere, når dækningen er lav og mindre RTO (retransmission timeouts). Med hensyn til dette emne, Hajime fra IIJ præsenterede også sit arbejde med BBR i brugerrum.

Under samtalen XDP for resten af ​​os blev præsenteret et eksempel på, hvordan man opretter et simpelt XDP + BPF-program til blacklisting, ikke fri for fejl, men som detekteres på livepræsentationen 🙂 Det blev også sammenlignet med ydeevnen med iptables, men desværre ingen sammenligning imod lige muligheder med nftables fra indtræden eller tc blev udført.

Jamal Hadi Halim ledede en meget komplet tale om TC og hardware offload udfordringer hovedsagelig ledet af Mellanox.

David Miller, netdev subsystem maintainer, i deres tale om XDP (eXpress Data Path) mythbusters, har vi diskuteret om, hvad der er og hvad der ikke er XDP til. Den endelige konklusion er at bruge XDP til en meget høj ydeevne til en meget specifik opgave, da de skal være fuldt programmerbare af brugeren.

Joe Stringer fra Vmware fremlagde deres arbejde med at understøtte SDN-evner til Openvswitch som centraliseret stateful information, flow tabeller, datapath definition med match + handlinger, præsenterede megaflow konceptet som en markeret tuple matchning og de delte flow tabeller og endelig hvordan flow tabeller kan sluttes til conntrack.

vmware sdn flow tabeller

Med hensyn til delsystemet "Conntrack" Florian Westphal fra Red Hat forklaret en dyb beskrivelse af, hvad der er, og hvordan man bruger informationen om konnektoren, der ikke er kendt af enhver bruger, ligesom den opretholder strømmen, og NAT er bygget ovenpå, muligheden for at abonnere på konfrontere hændelser, det sikrer 3-hånden håndskakning, kun Ikke-forsikrede pakker vil blive forsinket, ideen om at opretholde hjælperne udenfor hovedværdien, og endda nogle forbedringer som overløbshåndtering, gratis udvidelser (kfree) fjerner variabler med udvidelser. Dette kommer med et meget godt arbejde og ikke let opgave at forbedre sådan meget stabilt og komplekst stykke kode, godt job for Florian!

netfilter conntrack brug

Pablo Neira, vedligeholder af netfilter-projektet, præsenteret i workshoppen en komplet oversigt over hvad nftables giver i øjeblikket og de seneste opdateringer af netfilter projektet, der står over for det, er ikke så langsomt, som mange mennesker kunne tænke. Blandt de nye funktioner i nftables kan vi finde support fra nflog til logfunktioner, kvote for begrænsende ressourcer, nfacc til programmerbare tællere, ingen spor for at undgå konnektorhåndtering, fib, rt, nyttelast for statsløse NAT-kapaciteter, hjælperne er nu integreret , vmaps med wilcard-understøttelse, understøttelse af bitmaps, der kan være millioner af pakker hurtigere end hashtables osv. Som konklusion er nftables et meget fleksibelt og kraftfuldt værktøj, der bygger på en virtuel maskine med kun 25 enkle instruktioner. Nftables næsten duplikere iptables ydeevne!

netfilter iptables nftables har ydeevne

IoT har også en vigtig tilstedeværelse i denne udgave på grund af de nye netværksudfordringer, der kræver denne type industri. Kritiske IoT-systemer er lige så godt præsenteret af Tom Herbert som et fremtidigt aktiv.

I denne udgave er ZEVENET stolt over at sponsorere Netdev Conf 2.1 blandt andre open source-støttende virksomheder som Facebook, Cumulus, Verizon, Intel, Google, Red Hat, Mojatatu Networks, Vmware, Netronome, Solarflare, Netapp, Savoir-faire Linux, Covalent og Secunet.

Næste udgave i november i Sydkorea!

Videoer til rådighed snart i Youtube.

Del på:

Relaterede blogs

Sendt af zenweb | 11. oktober 2021
5G rummer et stort potentiale for virksomheder. Løftet om hastigheder på op til 20 Gbps og næsten nul latenstid kan hjælpe virksomheder med at blive hurtigere og mere forbundet end nogensinde. På trods af…
3 LikesComments Off om hvordan 5G ændrer cybersikkerhedslandskabet
Sendt af zenweb | 30. september 2021
Står du over for problemer med at arbejde eksternt? Har du brug for det rigtige værktøj til at styre din eksterne arbejdsstyrke? Over et årti er gået, og forretningsborde har udviklet sig siden.…
7 LikesComments Off på Hvilket er bedst, når man arbejder eksternt: VDI eller DaaS
Sendt af zenweb | 22. september 2021
Vi har for nylig været vidne til et stigende antal cyberkriminaliteter, der hersker i industrier over hele verden. Mens de fleste tilsyns- og styrelsesorganer skrider frem for at forhindre sådanne hændelser, er det endnu tydeligt ...
10 LikesComments Off den 10 Betydning af informationssikkerhedsrevision