eBPF 革命：定义网络虚拟化的第三阶段

1

引言

在数字化时代，网络虚拟化技术是推动云计算和数据中心创新的关键。

随着技术的发展，网络虚拟化从基础的网络隔离逐渐演进到复杂的软件定义网络（SDN）。这一演变不仅增强了网络的灵活性和可扩展性，还极大地改善了网络管理质量和运营效率。

但我们也注意到，当前主流的技术方案在应对复杂网络场景和对网络性能有更高要求的场景时仍存在较大挑战。

本文回顾了虚拟化网络技术的发展历史，通过对比说明基于 eBPF 实现的新一代网络虚拟化方案相较于传统方案的技术优势，并介绍了 eBPF 网络虚拟化方案在品高超融合产品中的实际运用。

2

网络虚拟化技术的演进

网络虚拟化的历史可以追溯到 20 世纪 90 年代，从简单的虚拟网络到今天的高度复杂和动态的虚拟网络架构，每个阶段都是对前一技术的扩展和优化。

第一阶段：基于 iptables、Linux bridge 的网络虚拟化

在网络虚拟化的初期，技术主要依赖于如 iptables 和 Linux bridge 这样的系统组件，它们为早期的网络设计提供了基础的隔离和流量控制功能。

• iptables：作为一种网络层的包过滤系统，iptables 允许管理员基于预设的规则集进行包过滤，实现网络的安全控制。

  它通过修改数据包的处理路径来控制数据流，有效地管理进出网络的数据包。

• Linux bridge：作为一个在软件中实现的网络桥，它通过创建虚拟的网络接口来连接不同的网络段。Linux bridge 的实现简单，易于部署，但它的性能受限于宿主机的处理能力，因此在数据中心和大规模网络环境中可能不够高效。

这一阶段的技术虽然为网络虚拟化奠定了基础，但面临诸多限制，尤其是在性能、可扩展性和网络管理复杂度方面。

第二阶段：基于 open vSwitch 的网络虚拟化

随着技术需求的增长和网络环境的复杂化，更高级的网络虚拟化技术开始出现。Open vSwitch(OVS)和软件定义网络(SDN)代表了这一阶段的核心技术。

• Open vSwitch (OVS)：OVS 是一个开源的多层虚拟交换机，它不仅支持传统的网络桥接功能，还支持通过 OpenFlow 等协议实现高级的网络管理和自动化。

  OVS 可以与硬件独立运行，提供了比传统 Linux bridge 更强的性能和更高的灵活性。

• 软件定义网络（SDN）：SDN 技术推动了网络管理的自动化和集中化。通过将控制平面从数据平面分离，SDN 允许网络管理员通过中央控制器编程和管理网络，从而实现了网络配置的灵活性和动态性。

  SDN 的这种设计不仅提升了网络的可扩展性和灵活性，还简化了网络管理和维护。

这一阶段的技术显著提升了网络的可配置性和管理能力，但在应对复杂网络和极致性能的场景时仍面临巨大挑战。

3

基于 eBPF 的网络虚拟化新阶段

在网络虚拟化的发展史中，eBPF(Extended Berkeley Packet Filter)标志着技术向前迈出的重要一步。这一部分将详细探讨 eBPF 的核心技术细节、性能优势及其在现代网络中的应用。

eBPF 的架构与工作模式

eBPF 是一种强大的编程模型，允许用户在 Linux 内核中运行预编译的程序，这些程序直接影响网络流量的处理和监控，而无需更改内核源代码或添加额外的模块。eBPF 程序以虚拟机(VM)的形式在内核中执行，提供了一个安全的环境，使程序无法访问内核空间的随机内存或执行潜在的危险操作。

• 工作原理：eBPF 程序通常在网络数据包到达或离开网络接口时触发，或在内核做出路由决策时执行。

  这些程序可以在多个挂载点执行，包括套接字、跟踪点、系统调用或网络驱动。

  eBPF 通过一套丰富的 API 接口（称为助手函数）与内核交互，这些 API 使得 eBPF 程序能够访问内核数据结构、修改或重定向数据包等。

• 编程和安全：eBPF 程序用 C 语言编写，然后通过特定的编译器（如 Clang/LLVM）转换为 BPF 字节码。在加载到内核之前，eBPF 程序必须通过一个严格的验证器，确保它们是安全的，不会引起内核崩溃或执行无限循环等危险操作。

(图片来源：eBPF)

性能和灵活性

eBPF 的设计旨在提供高性能和灵活性，使其成为处理网络流量和执行网络策略的理想工具。

• 性能优势：与传统的网络虚拟化工具如 iptables 和 OVS 相比，eBPF 的性能几乎接近硬件级别。这是因为 eBPF 减少了数据包处理过程中的上下文切换和冗余的数据复制，使数据包处理更加高效。

• 灵活性：eBPF 程序的高度可编程性允许开发者实现复杂的数据包处理逻辑，如动态负载均衡、精细的流量监控和高级安全策略。

  此外，eBPF 的扩展性和动态加载特性使得它可以在不中断服务的情况下更新和优化网络操作。

安全性和可靠性

eBPF 不仅提供了卓越的性能，还在安全性和稳定性方面设定了新标准。

• 安全机制：eBPF 的安全性主要来自于其严格的内核级验证过程，该过程确保所有 eBPF 程序在执行前不含有可能破坏系统稳定性的代码。

  此外，eBPF 的内存访问权限受到严格控制，程序只能访问经过显式授权的内存区域。

• 可靠性：由于 eBPF 程序在内核中直接运行，它们可以实现快速且可靠的网络决策。与此同时，eBPF 提供的回调和钩子机制允许网络管理员动态监控和调整网络行为，无需重启服务或重新部署网络组件。

通过深入了解 eBPF 的技术细节、性能优势及其安全机制，我们可以看到 eBPF 如何改善现有网络虚拟化技术的局限，为现代网络环境提供更高效、更安全且更灵活的解决方案。

综合比较

4

 eBPF 赋能品高超融合产品

品高超融合系统通过其网络虚拟化组件“bhci-nvs”充分展现了 eBPF 技术的强大功能和应用潜力。该组件以 eBPF 为基础，实现了丰富的网络功能虚拟化（NFV）能力，为复杂的业务场景提供了优质可靠的网络服务。

技术实现和优势

►►内核级网络处理能力

bhci-nvs 通过 eBPF 实现了在内核层面直接处理网络流量的能力。这种方法优化了传统 TCP/IP 协议栈的处理流程，显著提高了数据传输的效率，同时降低了 CPU 负载和资源消耗。

►►高性能网络虚拟化组件

eBPF 技术使得 bhci-nvs 在网络转发性能上具有明显优势。在相同硬件规格下，该模块在吞吐量、延迟、抖动和每秒百万数据包（MPPS）等关键性能指标上均表现出色。

►►灵活的网络功能部署

利用 NFV 框架，bhci-nvs 支持分布式虚拟交换机、路由器和防火墙等功能的部署。这使得用户可以快速构建适应多变需求的网络架构，无论是二层、三层还是平行网络结构。

网络安全与性能优化

►►细粒度的网络安全策略

bhci-nvs 采用 eBPF 技术实现了细粒度的分布式防火墙，支持基于 IP 地址、端口和协议类型的动态安全策略。这为虚拟机和容器提供了从东西向到南北向的全面安全防护。

►►高效的网络监控与故障排除

eBPF 的可编程性允许 bhci-nvs 实时监控网络状态，并动态调整策略以响应网络事件和异常。这种能力大大提高了网络的可见性和故障响应速度，确保业务连续性和网络稳定性。

5

未来展望

随着 eBPF 技术的不断成熟，其在品高超融合系统中的应用也将继续扩展。预计未来将有更多基于 eBPF 的高级网络功能集成到 bhci-nvs 中，如智能路由决策、自适应负载均衡和更精细的网络安全机制。这些功能将进一步推动超融合基础设施在效率、灵活性和安全性方面的发展，为企业提供更为强大和可靠的网络服务。