分会场3_阙燕文_华为云Stack基于eBPF的无侵入可观测实践_报告PPT.pdf

《分会场3_阙燕文_华为云Stack基于eBPF的无侵入可观测实践_报告PPT.pdf》由会员分享，可在线阅读，更多相关《分会场3_阙燕文_华为云Stack基于eBPF的无侵入可观测实践_报告PPT.pdf（10页珍藏版）》请在三个皮匠报告上搜索。

1、华为云Stack基于eBPF的无侵入可观测实践第三届 eBPF开发者大会w w w.e b p f t r a v e l.c o m中 国 西 安阙燕文华为云Stack架构师第 三 届 e B P F 开 发 者 大 会华为云Stack（HCS）：通过集中运维、服务治理、部署工具、统一基座构建满足政企云可批量复制、软硬协同的全栈解决方案，持续引领政企云市场连续四年中国容器软件(CIS)市场份额 No.1连续六年中国云系统和服务管理软件市场份额 No.1连续四年中国软件定义计算(SDC)软件市场份额 No.1连续七年中国云系统软件(CSS)市场份额 No.1中国私有化部署大数据平台市场份额 N

2、o.1中国大数据平台市场份额 No.1连续八年中国桌面云市场份额 No.1中国云专业服务市场份额 No.1中国混合云基础架构领导者新兴亚太地区混合云领导力领导者NO.1中国政务云市场份额连续七年中国数字政府一体化大数据平台市场份额连续三年政府央国企全量领导者央国企上云能力服务商55+央企，3大发电集团、三油一管、三峡集团NO.1中国金融自建专属云份额年度第一连续六次金融6大行+12股份制银行300+金融云900+政务云50+部委20+国家政务云Source：IDC、Forrester、沙利文等第 三 届 e B P F 开 发 者 大 会HCS管控面可观测问题与挑战4、HCS作为云平台，在网数

3、量3000+，可观测方案的实施需要对被观测业务无感，才有普适性。因而需要确保无侵入采集；5、HCS拥有14类120+服务，每个服务由不同开发团队负责，侵入式地采集必然带来协作难度和工作量的提升，因而同样需要无侵入采集。6、HCS规模庞大及众多服务的管理，将产生大量观测数据，Agent本身的开销以及服务端数据的处理和存储都是一个巨大的挑战。容器网络虚拟网络物理网络VPC/安全组/虚拟交换机/DPDK/VF直通/Vxlan/vlan.Bridge/Host/Container/serviceMesh HCS 8.5.0+HCS 8.3.1HCS 8.3.0HCS 8.2.1HCS 8.2.0HCS

4、 8.1.1HCS 8.1.0HCS 8.0.3HCS 8.0.2HCS 8.0.1HCS 8.0.014类120+云服务Spine-Leaf/BGP路由/VPN1、物理网络、虚拟网络、k8s集群网络并存，数据流向错综复杂，治理难度大；2、NAT场景、LB、AGW等网关和代理场景带来流割裂，流还原难度大；S1NAT/L4LB/L7LB/S2S1S2？3、HCS现网版本10+，可观测方案要兼容众多版本带来巨大挑战；云服务依赖关系复杂第 三 届 e B P F 开 发 者 大 会HCS管控面可观测总体方案可观测系统数据预处理告警传播链分析拓扑服务网络质量监控数据采集AgentGala-Gopher

5、TC探针Socket探针IPVS探针Syscall探针uProbeNetfilter探针NAT探针Sermant探针网络流量监控告警根因分析通信矩阵校验网络诊断管控面VM第一阶段可观测服务：基于链路的拓扑服务：通过链路数据构建微服务/进程间的依赖拓扑，精准还原告警传播链，辅助进行告警根因分析，辅助通信矩阵校验；基于指标的网络诊断：通过指标数据监控网络链路质量，进行精准的网络质量实时诊断。Agent侧无侵入数据采集：采用Gala-Gopher，基于eBPF实现无侵入数据采集；在linux内核挂载TC/Socket/Syscall/IPVS/Netfilter等eBPF探针，实现经过内核协议栈的网

6、络链路和网络指标采集，开发语言无关，普适性强；通过eBPF uProbe实现加密场景、DPDK等用户空间网络流和指标采集；通过Sermant补充JAVA应用场景应用流和指标采集。.123412NAT/代理场景链路还原通过TCP Options注入,实现各类NAT网关、代理的穿越，真实还原数据链路；5.10内核，eBPF Sockops随包注入TCP Options;5.10内核，eBPF TC clone数据包，并注入TCP Optons；7层代理场景，通过TOA识别和注入实现转发跟踪；S1Pod-A10.0.0.159SNATHost-1:192.168.3.1410.147.204.240