首先，注意区分使用Go mod后，module和package的概念

• module是go mod的引入单位，go.mod文件里引入的是module：

阅读更多

Docker Desktop 是 Windows 和 Mac 上最为流行 Docker 开发环境，是否有办法在Docker Desktop中，利用容器来使用eBPF呢？本文参考了部分 https://github.com/singe/ebpf-docker-for-mac 相关实现，来帮助大家尝试一下。

阅读更多

IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案，而它们都使用了Linux内核中的XFRM框架进行报文接收发送。

阅读更多

什么是 eBPF

eBPF 是嵌入在 Linux 内核中的虚拟机。它允许将小程序加载到内核中，并附加到钩子上，当某些事件发生时会触发这些钩子。这允许（有时大量）定制内核的行为。虽然 eBPF 虚拟机对于每种类型的钩子都是相同的，但钩子的功能却大不相同。由于将程序加载到内核中可能很危险；内核通过非常严格的静态验证器运行所有程序；验证程序对程序进行沙箱处理，确保它只能访问允许的内存部分，并确保它必须快速终止。

阅读更多

本文主要分析 TCP 协议的实现，但由于 TCP 协议比较复杂，所以分几篇文章进行分析，这篇主要介绍 TCP 协议建立连接时的三次握手过程。

TCP 协议应该是 TCP/IP 协议栈中最为复杂的一个协议(没有之一)，TCP 协议的复杂性来源于其面向连接和保证可靠传输。

如下图所示，TCP 协议位于 TCP/IP 协议栈的第四层，也就是传输层，其建立在网络层的 IP 协议。

阅读更多

前言

Calico团队在3.13版本引入了eBPF，这个新的dataplane与传统的linux dataplane有哪些区别呢？

• 它可以扩展到更高的吞吐量。
• 每个GBit使用更少的CPU。
• 它具有对Kubernetes服务的本机支持（无需kube-proxy），该支持：
  • 减少服务数据包的第一个数据包延迟。
  • 一直保留到外部主机的外部客户端源IP地址。
  • 支持DSR（直接服务器返回），以实现更高效的服务路由。
  • 与kube-proxy相比，使用更少的CPU来保持数据平面同步。

此外，社区对新dataplane进行了性能测试，在短连接延时、服务访问时间、cpu使用率等方面，性能都有明显提升，详见：https://www.tigera.io/blog/introducing-the-calico-ebpf-dataplane/

阅读更多

Golang内存分配整体架构

阅读更多

Kubernetes 对内存资源的限制实际上是通过 cgroup 来控制的，cgroup 是容器的一组用来控制内核如何运行进程的相关属性集合。针对内存、CPU 和各种设备都有对应的 cgroup。cgroup 是具有层级的，这意味着每个 cgroup 拥有一个它可以继承属性的父亲，往上一直直到系统启动时创建的 root cgroup。关于其背后的原理可以参考： 深入理解Kubernetes资源限制：内存。

今天我们将通过实验来探索容器在什么情况下会被 oom-killed。

阅读更多

前言

之前整理过Go性能分析，讲述了pprof的基本使用方式，本篇着重采用pprof来帮助我们分析Golang进程的内存使用。

pprof 实例

通常我们采用http api来将pprof信息暴露出来以供分析，我们可以采用net/http/pprof这个package。下面是一个简单的示例：

阅读更多

前言

Kubenretes1.6 中使用 etcd V3 版本的 API，使用 etcdctl 直接 ls 的话只能看到 /kube-centos 一个路径。需要在命令前加上 ETCDCTL_API=3 这个环境变量才能看到 kuberentes 在 etcd 中保存的数据。

1

ETCDCTL_API=3 etcdctl get /registry/namespaces/default -w=json|python -m json.tool

阅读更多