network/XDP #183
giscus[bot]
bot
Replies: 3 comments 3 replies
-
|
如果在安装了cilium的集群中,同时使用Iptables编写防火墙规则,这两个组件 (XDP和Netfilter)会同时对数据包进行过滤吗? 是否会有冲突 比如:基于Iptables编写防火墙, 阻止192.168.1.5 访问本机80端口 而XDP这里并没有做限制, 此时这条防火墙是否会生效? 我们自建机房,用了cilium做CNI,需要在物理机上加一些防火墙规则。 打算使用ufw、firewalld等工具编写防火墙,但担心会和XDP这里的规则冲突。 |
Beta Was this translation helpful? Give feedback.
-
|
片面之言,你可以参考一下: cilium 管理的是k8s集群流量(container、pod、service)。你设置的 192.168.1.5 是宿主机上的 iptable 规则。 一个数据包到了网卡。XDP 的 cilium hook 判断是 k8s 集群流量(比如是 Vxlan 模式,解包之后是某个 pod 的ip 172.1.xx),那么这个数据包送到 cilium 中处理。不再到 linux 内核协议栈(宿主机的 iptables 也不再生效)。 如果不是 k8s 集群的数据(比如是 192.168 ),那么会 XDP_PASS 到内核协议栈处理,跟 cilium 没关系了,你设置的 iptables 就会生效。 |
Beta Was this translation helpful? Give feedback.
-
|
根据文中描述,XDP的钩子位于网卡驱动层内,在数据包进入网络协议栈之前。 |
Beta Was this translation helpful? Give feedback.
-
|
是的 |
Beta Was this translation helpful? Give feedback.
-
|
XDP_REDIRECT:当返回 XDP_REDIRECT 时,将数据包重定向到其他的网卡或 CPU,结合 AF_XDP[2]可以将数据包直接送往用户空间。 针对这个我有一个疑问就是 没有经过TCP/IP层的封装/解封装,直接抵达用户空间的数据是什么数据?应用程序能获取应用数据? |
Beta Was this translation helpful? Give feedback.
-
|
一个 XDP 特有的类型数据。它相当于包裹着数据帧,从里面可以提取 TCP、IP 数据 |
Beta Was this translation helpful? Give feedback.
-
network/XDP
构建大规模高可用的分布式系统
https://www.thebyte.com.cn/network/XDP.html
Beta Was this translation helpful? Give feedback.
All reactions