现象 现象是ovs占用cpu比较高，查看ovs的stack发现一直陷入内核代码，但是一直被schedule出去; 查看进程file descriptor限制 [root@node-1 zjp]# ulimit -u 102400 查看ovs-vswitchd进程打开的文件数 [root@node-1 zjp]# lsof -p $(pidof ov…

概述 上节已经按照Netfilter的框架实现自己的hook函数，下面说一下netfilter的HOOK的代码细节，先看一下之前的结构体 结构体&HOOK函数注册 struct nf_hook_ops { /* User fills in from here down. */ nf_hookfn *hook; struct net_devi…

概述 Linux Netfilter技术(1)-概述已经介绍了Netfilter的基本概念和框架，主要是了解了Netfilter框架的Hook原理，这篇主要介绍如何基于Netfiter框架实现自己的hook函数。如果google或者百度大部分都是基于老接口的示例nf_register_hook，在kernel 4.13.x之后都是新接口nf_reg…

概念 Netfilter 是 Linux 内核中进行数据包过滤，连接跟踪（Connect Track），网络地址转换（NAT）等功能的主要实现框架；该框架在网络协议栈处理数据包的关键流程中定义了一系列钩子点（Hook 点），并在这些钩子点中注册一系列函数对数据包进行处理。这些注册在钩子点的函数即为设置在网络协议栈内的数据包通行策略，也就意味着，这些…

背景 在k8s发现在net.bridge.bridge-nf-call-iptables=0和net.bridge.bridge-nf-call-iptables=1仍然是可以ping通不同的node节点的服务，按照我们的理解如果net.bridge.bridge-nf-call-iptables=0则在bridge就不会调用iptable的规则进…

问题描述 发现在node-1，2，3节点sar不定时出现较大的rx/tx的统计远远超出网卡的正常带宽。 排除思路 首先怀疑是sar工具导致的，所以将sar升级到centos8的最新版本，目前还没有复现问题； 通过EMS的监控可以发现ovs的统计也出现较大的流量，所以也怀疑是不是底层驱动出现问题，不一定是sar的问题； 分析/proc/net/dev…