【从零造容器】容器网络性能真相:veth vs macvlan vs eBPF 数据面
容器网络为什么比裸机慢?veth + bridge 每个包经过两次 netfilter,macvlan 跳过了 bridge,Cilium 用 eBPF 替掉了 iptables。到底慢多少?我们用 iperf3、wrk 和自定义 echo server 实测。
networking 分类归档
共 38 篇文章 · 返回首页
【Kubernetes 网络深度系列】Linux 网络栈全景:一个包从网卡到用户态的完整旅程
从 NIC 驱动到用户态 read(),一个网络包在 Linux 内核中到底经历了什么?本文拆解 sk_buff、NAPI、softirq、netfilter 的完整收包路径,并用 bpftrace 实测追踪每一跳的延迟。
【Kubernetes 网络深度系列】虚拟网络设备:veth / bridge / tun/tap / macvlan / ipvlan
五种 Linux 虚拟网络设备的内核实现原理、数据流路径、性能代价与适用场景,附手工实验验证。
【Kubernetes 网络深度系列】Netfilter 与 iptables:Linux 防火墙的灵魂
Netfilter 五个 hook 点、四表五链的真实遍历顺序、conntrack 状态机与性能开销、SNAT/DNAT/MASQUERADE 辨析,再到 nftables 替代方案和 eBPF 数据面——从内核视角拆解 Linux 防火墙。
【Kubernetes 网络深度系列】路由与隧道:Linux 怎么决定一个包往哪走
Linux 路由表、FIB 查找、策略路由,以及 VXLAN/Geneve/WireGuard 隧道技术深度拆解
【Kubernetes 网络深度系列】BGP 基础:互联网的路由协议,也是 K8s 网络的关键拼图
从 AS 和路径属性到 Route Reflector,理解 Calico 底层依赖的 BGP 协议
【Kubernetes 网络深度系列】eBPF 网络编程:从 XDP 到 TC,可编程数据面入门
eBPF 在网络栈中的五大挂载点,bpf_redirect 三兄弟,以及动手写一个 TC BPF 包过滤器
【Kubernetes 网络深度系列】Kubernetes 网络模型:三条规则统治一切
K8s 网络三条铁律、pause 容器的真实作用、Pod 网络命名空间的创建全过程
【Kubernetes 网络深度系列】CNI 规范拆解:一个 JSON 配置怎么变成网络
从 CNI 规范的四个操作到手写一个最简 CNI 插件,理解 K8s 网络的插件化机制
【Kubernetes 网络深度系列】Service 与 kube-proxy:ClusterIP 背后的四种实现
从 userspace 到 eBPF,拆解 kube-proxy 四种模式的实现原理与性能权衡
【Kubernetes 网络深度系列】IPv4/IPv6 双栈:K8s 的地址空间演化
K8s 双栈网络的演化历程、地址分配机制、CNI 支持现状与现实中的陷阱
【Kubernetes 网络深度系列】Flannel:最简单的 Overlay 网络,以及它的天花板
Flannel 三种 backend 的深度拆解,以及为什么它仍然是某些场景的最佳选择
【Kubernetes 网络深度系列】Calico:BGP + iptables/eBPF 的网络与安全一体化
Felix、BIRD、Typha 四大组件拆解,从纯 BGP 路由到 eBPF 数据面的 Calico 全景
【Kubernetes 网络深度系列】Cilium 深度拆解:eBPF 原生的云原生网络
从 eBPF 数据面到 Identity 安全模型,全面拆解 Cilium 的架构与实现
【Kubernetes 网络深度系列】CNI 选型决策:Flannel vs Calico vs Cilium 的真实权衡
不是功能矩阵,而是基于真实场景和性能实测的 CNI 选型决策指南
【Kubernetes 网络深度系列】CoreDNS 深度拆解:ndots、search domain 与那些坑人的 DNS 行为
ndots:5 的查询放大、search domain 陷阱、NodeLocal DNSCache,以及 DNS 排查全套路
【Kubernetes 网络深度系列】Service 进阶:ExternalTrafficPolicy、拓扑感知路由与流量本地化
ExternalTrafficPolicy 的真实行为、拓扑感知路由机制、MetalLB 深度拆解
【Kubernetes 网络深度系列】Ingress 控制器:从 Nginx 到 Envoy,七层流量入口全解
主流 Ingress Controller 架构对比、热更新机制、TLS 终止,以及为什么 Ingress API 注定被替代
【Kubernetes 网络深度系列】Gateway API:Kubernetes 流量管理的未来标准
角色分离、资源模型、高级流量管理,以及从 Ingress 迁移到 Gateway API 的实战路径
【Kubernetes 网络深度系列】Network Policy 入门到精通:不只是 YAML 游戏
从默认放行到零信任白名单,NetworkPolicy 的实现原理、策略模式与 CRD 扩展
【Kubernetes 网络深度系列】Cilium 身份识别与零信任网络
从 IP-based 到 Identity-based 安全,Cilium 零信任网络架构的实现与落地
【Kubernetes 网络深度系列】eBPF 与 Netfilter 的安全能力对比:谁是更好的防火墙
iptables、nftables、eBPF 三种防火墙机制的架构差异、性能对比与迁移路径
【Kubernetes 网络深度系列】容器网络加密:WireGuard、IPsec 与透明 mTLS
WireGuard、IPsec、透明 mTLS 三种容器网络加密方案的原理、性能与选型
【Kubernetes 网络深度系列】MTU 调优:1 字节的差距如何搞垮整个集群
MTU 层层封装计算、不匹配症状诊断、PMTUD 黑洞排查,以及各 CNI 的最佳 MTU 配置
【Kubernetes 网络深度系列】DSR(Direct Server Return):让回包绕过负载均衡器
DSR 三种实现方式、Cilium DSR 深度拆解、Maglev 一致性哈希,以及 DSR 的那些坑
【Kubernetes 网络深度系列】Kubernetes 网络可观测性:从 tcpdump 到 Hubble 到 Pixie
三层可观测性体系:经典抓包工具、eBPF 原生观测、全栈 Metrics/Logs/Traces 一体化
【Kubernetes 网络深度系列】Kubernetes 网络疑难杂症排查手册
10 个真实网络故障案例拆解,从 conntrack 表满到 ClusterMesh DNS 失败的完整排查手册
【Kubernetes 网络深度系列】多集群网络:ClusterMesh、Submariner 与 MCS API
三种多集群网络模式的深度对比,从 Cilium ClusterMesh 到 Submariner 到 MCS API
【Kubernetes 网络深度系列】跨云网络与联邦网络:从 VPC Peering 到 Network Fabric
VPC Peering、云厂商 CNI 对比、三云联邦网络架构设计实战
【Kubernetes 网络深度系列】eBPF 网络子系统的演进:从 hook 到可编程网络操作系统
从 2014 年 socket filter 到可编程拥塞控制和 SmartNIC offload,eBPF 网络能力的完整演化史
【Kubernetes 网络深度系列】Kubernetes 网络的未来:趋势、挑战与架构师指南
四大趋势、AI 工作负载挑战、架构师决策矩阵,以及 K8s 网络的知识图谱
【eBPF 系列】XDP:在网卡驱动层就把包丢掉
当 DDoS 洪水来袭,iptables 在协议栈里挣扎,而 XDP 在网卡驱动层就把垃圾包丢了。不进协议栈、不分配 skb、不走 netfilter——这才是丢包该有的样子。
【QUIC 协议拆解】QUIC 协议拆解(下):用 C 实现一个最小 QUIC 握手
上篇讲哲学,这篇写代码。用 C + ngtcp2 从 UDP socket 开始,手撕 Initial → Handshake → 1-RTT,逐帧拆解 QUIC 握手到底在干什么。
Kubernetes 网络深度系列
从 Linux 网络栈的第一个字节到多集群联邦网络的最后一跳——用代码、抓包和内核源码把 Kubernetes 网络讲透
多线程使用 libevent
多线程 Libevent 编程实践:异步网络 IO、事件驱动架构与跨平台开发
如何处理 SYN
TCP SYN 处理详解:三次握手、SYN Flood 防护与网络性能优化
我们为什么要关闭 TCP timestamp
为什么要关闭 TCP Timestamp:网络性能优化与安全考虑
libevent 源码分析:数据缓冲结构 evbuffer
Libevent 源码分析:evbuffer 数据缓冲结构设计与实现原理