Accelerate Istio-CNI with ebpf

# 《Accelerate Istio-CNI with ebpf》 总结 ## 核心观点 1. **Istio-CNI 插件** - Istio-CNI 插件在 Kubernetes 集群中负责 Istio 网格流量的重定向，替代了传统的 `istio-init` 容器。 - 去除了对 `NET_ADMIN` 和 `NET_RAW` 权限的需求，简化了用户部署 Istio 网格的过程。 2. **TCP/IP 堆栈性能问题** - 在 Sidecar 和服务之间的通信中，TCP/IP 堆栈的性能开销是性能瓶颈的主要来源。 - 优化的重点包括： - **Inbound**：从服务到 Sidecar 的流量。 - **Outbound**：从 Sidecar 到服务的流量。 - **Envoy 到 Envoy（同一宿主机）**：Envoy 之间的直接通信。 3. **eBPF 技术背景** - eBPF 提供多种程序类型（如 `SOCK_OPS` 和 `SK_SKB`）来实现不同的功能。 - 通过 `SOCK_OPS` 和 `SK_SKB` 程序类型，可以实现高效的流量处理和重定向。 4. **加速实现** - **SOCK_OPS 程序**：附加到全局 cgroup，捕获处于 `ESTABLISHED` 状态的 socket，并将其添加到哈希表中。 - **SK_SKB 程序**：附加到哈希表，当 socket 发送消息时，查找对端 socket 并重定向流量。 - 通过这种方式，避免了传统的用户空间处理，减少了性能开销。 5. **性能优化方向** - 通过 eBPF 技术优化 Inbound、Outbound 以及 Envoy 之间的通信，降低延迟，提升吞吐量。 --- ## 总结 本文主要探讨了如何利用 eBPF 技术加速 Istio-CNI 插件的性能，特别是在 Kubernetes 集群中 Istio 网格的流量处理中。通过结合 `SOCK_OPS` 和 `SK_SKB` 程序类型，实现了高效的 socket 操作和流量重定向，显著降低了 TCP/IP 堆栈的性能开销。这一优化方法为 Istio 网格的性能提升提供了新的思路，适用于 Inbound、Outbound 以及 Envoy 之间的通信场景。