時間到了,我們正式開始,沒有主持人了先簡單介紹一下我們的團隊對不對,段教輝,吳彪因為我們還有主持人,因為我們要到現場待會兒,為了是這個演講正式流暢的節目一個人來講,而有兩位主持人對他所做的一關,可以分辨三個話我們來看三個介紹我們簡單介紹一下我們這個項目為了我們的背景我們這個條約過去了20年一直是在網路方面在做電話工作最近開始,於明年之後的這個風情開始就到了明年之後這一關,怎麼樣網路底下有很多對方,還更多的支撐組織,信用號碼和碼之前段教輝說一直參加公開的會議因為在最後的經驗有很多大家多多指教簡單回顧一下,其實這話題今天上午下午有很多人在講我想出我們自己的好意見來談一下什麼是零件就談了很多了我想要在我們前提中國的話一個呢,叫自人自面不自信就是啥都不行自人自面不自信第二,怎麼辦呢不自信聽起來有關係性考慮一下,政策都不夠那怎麼辦呢我覺得去不光是要打資訊還有不斷的經驗有關係性所以在這種情況下我們就可以看到由於安全問題突出我們就可以看到明星的在各個領域都在原來以前叫這個那個,Internet叫ABS現在明星的叫ABS可以看到明星的網絡明星的融切明星的Softsmash明星的微風斷明星的KBS等等等等各種不同的那實際上明星每次都沒有明星的便宜但是它有非常重要非常重要所以明星的家族非常重要如果做到這個領域其實挑戰非常大主要原因在於深圳的洩漏非常特別做安全的打人之50個這個安全的問題的來源不是來源深圳的洩漏第二種東西明星的攻擊非常特別以前奶奶通過這個服務器通通直接就拿到服務器裡面已經越來越難越來越困難現在可能基本上是通過一個不太關鍵的一個Glide通過以後在不斷的橫向以後不斷的提升這個曲線以及最終如果路幹跳以後達到最好的一個目的所以東西向東西橫向以後不能接非常特別那麼比如說明星的這個概念我們希望做到什麼我最近用了這個都叫限制實際上實際上是絕對完全是所以我們希望做到通過明星的能夠限制限制深圳洩漏的影響可能做不到100%深圳洩漏的秘密如果洩漏的影響盡量減少那些第二個限制的可能不能100%避免進來也不能100%避免好影響盡快盡量限制一旦發現我都立即阻止與任何實際的一些訪問這時候整合了一個目標為了達到這個目標我們希望有一個實際上希望做一個事情下面那一套但是任何影響完全達到比生的狀況但是我們真的希望所有的影響盡可能得上怎麼說盡可能得上比如說實訊驗證對所有的東西雙方都要驗證都要加低有人驗生驗證以後還不足夠還要不斷地更換輪換證書文藥同時要把網絡活動範圍或者是業務運動範圍盡量的做一下做一下只允許訪問範圍之內也只能維生有積極廣告的維生有積極服務的維生有這麼多行動以後實際上反而這等於是也許已經很麻煩因為仍然需要在性的可能性為了範圍去維生在業務運動我們要看到他的理論架構在哪一方面從最頂層來看原人性他說他實際上是希望能夠提供一個彈性可管理可觀測的一個松某活性那從原人性的應用來講我們希望這個應用是由一種小獨立的松某的服務來構成我們看到最最上面是最往下的黃色的份維俗的意外原人性的特種技術成功包括邏輯包括網絡包括包括電話包括電話包括現在今天今天整個非常熱門收拾賣水還有一些東西這就是由這樣的一些技術成功構成原人性的應用的技術技術成功那這一次的家伙和在一起或者在這一期的家伙之間或者在這次的家內如何增加一些藍薯刺激上個年應用一個無感知的做的的話你肯定多了明星的這個時候原人性的家庭需要很多問題當然是需要在各個層面去考慮那今天我給大家的這個我告訴你主要是從容器我提出我這個場面上來看如果去提供原性的通行的其他方面包括像容器的原人應用場面的原人等等可能上午下午其他非常分別能夠談到那我今天最愛的就是從這個網絡的場面從這個網絡的場面談如果提供原性的通行的狀態不管是哪一種通行的像我們前面上一段說來講這個action始終是原則是要實行的一致就是要做持續的驗證要從通行的講解要做雙方的護人證要對證書和你一樣把文化要盡量說不通話不通話我們這些行動其實落到原生的這個場面上來看落到我們企圖說說smash在上面它相應它有給我們一些措施說我們對文化對文化對服務的很Magic我們這些行動當你不光是對網絡的家務不光是這個平衡的加密no的之間加密我們可能要更新的一致吧shash加密你的shash加密那不是更新的一致或shash我們這樣shashshash你要繪畫的文化對微乎的文化因為要知道這個情況不過這時候我對前面您講您現在和原原生這個場面有關鍵第一次一關鍵第一次actual您看如果在您現在也就是說在原原生這個場面提供在actual具體變成我們的演技為我們演技為我們演開源開源出界看到對對面上是我們談我們談這個這個微乎不得不談我們說基本上大家大量會逐漸牽一張服務網弄粥服務網是已經很好成功了這樣一個明信的隱藏的一些缺陷的一些缺陷的因此看到隱藏的不斷地一些新的一些防曉的新的一些路線處理您說您說您在這個新的畫面不禁您請您請您請請請您請您請請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請您請明顯是在英國的編程的問題傳統做過很多的版圖阿斯的功能其實在我身邊是相對比較成熟的那在內閣這邊在家裡面的時間能夠比較高效率去實現所以你能夠把阿斯的功能下降到CNN去做不是放在編程裡去做因為當初放在編程裡去做你可以看你這個方面你對劉亮會在洗衣站一站上課去找二課三拳再去找二課那到三拳就意味著你對智慧的戰功性能下降嚴實的增高甚至還要做阿斯的功能做代理這個精神之外在十七年前做阿斯的功能代理阿斯的功能是不可能的想像或是不可接受的一件事情阿斯的功能不至於還需要做代理就是不能接受的一件事情這件戰鬥會以阿斯的那些功能是能夠下降到CNN就是一個甚至今天這個花園還有一個說出K-Bash的功能然後輕鬆也下降到K-Bash你現在總是節省出來這樣提升氣力這樣子的那這樣一個同時都還大量想出如果把阿斯如果我僅僅是我要說我下降到CNN你愛扣了這張對炮的功能沒有輕鬆性我們原先講炮的輕鬆性非常細但是它仍然有仍然有當規模一旦大小這一點點輕鬆性實際上都已經那但你會覺得對規模比較大小就是比較難一整跟幾十個炮的那不白炮之內可能還好但是你打倒幾百個炮的這麼一點點輕鬆性把你的生機不熟它這個就用了它雖然在用而且難以解鎖所以如果能夠下降到CNN你讓輕鬆性光輕鬆弄你你輕鬆性完完全全就好第二點減少對炮帶你這個時候是NN的這個對炮炮的CNN現在不是非常提倡的NN就是提倡的我們講標準的VS2這一塊已經通過了三次連接三次連接最終打暴另外一個是三次連接四次連接一塊是不是能夠減少對炮帶的次數減少對炮帶的次數那後面兩個就是兩個最重要的EBP內閣的一些性能增強性能增強的階段這個用戶可差異才公正在用戶EBP再用戶這樣延伸技術的進步是同伏伏的是不是能夠不一樣的技術出現出來減少輕度性性量炮伏伏技術加工我們人手技戰能夠做得起標減少延遲減少浩子戰用這是買原生伏伏的同標你們看得懂這麼方案但是拆開來看其實沒有一個完美的方案不是說沒些人是有這個有一個個案沒有是說目前來看我們做一個簡單的分析就有但是它會有一個現象比如說我們講那就是一個它的可能的關它是整個研發的那些它是研發的那些方面Service的方案也是Rigidity也是它們都做得好然後但是它也有它的問題它也有它的問題但是我們講Service它在這個新的我們的狀況當然它它不然East is它算是它是那麼一切安倍的又是一位主動體主動體當然卡我們如果說S卡我們長一比如說我們長的就是幾千個寶寶那它十個才是寶寶我們長的就是幾十個寶寶它十個才是寶寶我們長的就是一個這個性能量非常非常高非常非常高的一種它是那個分類分類在塞熱的方式裡面一種那今天我們講的是其實如果純粹從軟件Sorber這個角度來看也不太可能把這些新興順序重新去變化因為還是那句話沒有免費的午餐沒有一個東西能夠所有的場景全部適用如果條件是如果所有的外部運勢都沒有變化的話不可能有一個全部都滿足的但今天我講的題目是它的DPO協展有了另外一種易購的順利的加入以後是不是有可能我們把這些這些item能夠盡可能多的去滿足因為我增加了我的成本我改變了遊戲的規則增加了一些新的一些順利提供者那麼是不是能夠更好地滿足這些條件這是今天我講的一些這個主要的一個思想那剛才前面講的這個這個sub-smash對這個這個影響那其實還是有很多場景今天我也聽了很多專家的一些報告其實有很多的場景呢可能還不願意遷移到sub-smash這樣一個架構不管是歷史的包覆還是stk的影響還是說這個sub-smash可能還不支持類似UDP不能很好支持UDP等等這樣一些應用等等各種因素不管由於哪種因素影響其實sub-smash呢還沒有說本來通知還有很多場景沒有必要或者也沒有可能不屬服務網絡但是安全總是需要的那麼在沒有服務網絡只有容器網絡這樣的場景下零信任的同性如何去保證容器保證如何在加密的容器網絡隧道裡面去提供服務可感知的能力驗證服務雙方的身份這個是我今天講的第一個這個一個topic我們也可以看到這個是下面兩張圖分別是這個OVS和這個calico它的一個架構其實架構類似基本上都是在這個name-space裡面通過帕德協議站出來以後到OVS或者到calico這個路由出來基本上這個流程是類似的那麼現在在容器網絡提供加密隧道的方式也是類似的而就在初階口做一個IPsec做一個node到node的一個隧道做一個nodenode隧道那麼節點間通過比如說OVS通過IPseccalico标准推薦Vagard通過加密隧道傳輸容器的數據包但目前的這個标准的開源實現裡面在HOS的初階口IP隧道裡面不提供對容器數據的識別加密它是提供對node的加密但是不提供容器數據的識別和加密也只能提供即一破的IP來識別負載工作身份這裡面實際上就帶來一些安全隱患你不能識別容器所以就不能識別這個服務的身份如果你通過IP識別就工作負載身份像IP實際上是比較容易被修改或者說在一些一些這個場景下面比如說這個一旦服務中斷和這個KBUS API Server服務中斷那麼導致這個坑士裡面有很多討論導致這個IP的Cache刷新的緩慢延遲可能導致這個身份幫你冒用等等這些問題就容易發生那麼有DPU我們把DPU加入進來以後能夠做些什麼改變如果沒有DPU我們剛剛講了Celine或者說這個ambient各自從各自的角度分別在不同的地方做了加強但加強同時它就損失另外一塊所以沒有一個完美的solution那麼如果我們加入了DPU這樣的一個新的一個算力它能做些什麼變化我們首先看一下DPU它能提供什麼能力這是這個ENA算是最好的一個NVIDIA的一個CPU的一個內部的一個結構圖那麼跟聽說能力非常多那麼跟我們這個網絡相關的一些東西包括Ovalet網絡的加速各種隧道包括這個連接跟蹤包括跟可觀測性相關的各種數據流的採樣和統計包括這個林欣盛的基礎加密密藥協商這些能力IP-SAC TLS數據加速加密傳輸公藥加速能力那它這個能力非常強它已經本身是硬件實驗所以做到這個硬件100G限速加速那麼公藥協商也是專用專門的這個這個芯片能力來處理好那麼基於DPU來做這個事情以後那我們看林欣盛的原生服務架構會有什麼變化我們想由於有了DPU我們希望我們的這個目標我們先首先幫我們的目標先定一下既然有了硬件抑購計算能力的加持我希望提高整個吞吐提高整個吞吐降低岩石這兩個目標不一定是一樣的不一定說這個吞吐提高了岩石就降低了這個但有時候吞吐提高了岩石沒變但我們希望既提高吞吐就降低岩石第二個是這個部署給一些方式的考慮希望還是能夠由於Eastel的生態能夠兼容不能由於依構算力的引入整個全部打亂了這個就沒法去採用了第三個呢增強或者保持至少要保持安全性最好希望能夠增強安全性第四個今天講到有很多場景實際上是不能或者不需要不可能或者不需要這個編車的場景我們希望能夠支持這樣一個場景最後一個其實今天各種會議上各位專家都提到的一些需求就是我們的服務和雲煙生技術加購能不能節奏原先這個編車編車說的很多大家覺得天然認為編車就是一個天然的加購實際上最終鋪實到用戶那邊去以後發現這並不是一個天然的加購編車並不是天然的加購用戶最好希望看到編車就不存在泡的也是乾淨的泡的你的技術加購能提供什麼能力是你技術加購運營為需要考慮的最好是什麼都能提供所以服務和雲煙生技術加購希望能夠節奏那這裡面的挑戰是什麼呢第一 服務可感知第二就是安全如果破防了不可以它的影響半徑至少或者說能夠舉行現在原先的編車的半徑一樣原先編車的影響半徑還是比較好就是它的一個泡的這個被攻破了它的影響半徑是在泡的它不會去影響其他的泡的不會影響泡不會影響怒的那你引入這個以後你假設被攻破以後是不是還是只影響這個泡的當然你no的被攻破或者CA的證書被攻破那是另外一回事我們就講這個泡的被攻破以後是不是還是只影響這個泡的這個很重要我們看一下這個是現在的這樣一個標準的一個營館編車的一個架構Service報恩出來以後經過幾次協議戰從編車然後再從生愛出來我們加上DPO以後首先第一步想把生愛給卸在下來把它的網絡四重網絡能夠卸在下來Overlay網絡Underlay網絡都卸在下來這是DPO非常擅長的一件事情那第二件事情就跟我們現在的安賓裡有關係跟我們安賓的那有兩邊都做這麼多代理我是不是能夠利用安賓的這個模式不做這麼多代理我把這些能力綠色的模畫是其中的各種能力市場能力 市場能力等等把這些能力集中在安賓的這個網關上面這樣的話我營館就不需要了因為這個編車就不需要了編車不需要意味著我的服務與原生技術架構的結合目標就實現了我們可以看到在泡的裡面沒有生愛沒有營館編車在Note的裡面甚至都沒有這tunnel在DPO裡面我要希望充分利用充分發揮它的能力我們在Note的這個節點上面把L4的能力甚至部分L7的能力以及L4相關的可觀測的能力全部卸載到DPO上去這樣的話我們可以看到有一條虛線就是說如果是純粹L4的流量或者簡單的L7流量直接兩邊無代理直接連通就可以了兩邊DPO直接通過去就可以了這個對延時的降低是非常非常明顯的如果是複雜的L7流量我們還是走中間的ambient這個網關這塊來處理這樣的話整個host整個host Note上的功能就非常非常簡單內核是走了一遍協議站也沒有變車非常非常乾淨大量的功能大量的需要處理的邏輯全部轉移到基礎的基礎下面轉移到DPO上面轉移到ambient的Gateway上面去這樣整個架構就非常非常乾淨非常乾淨實際上我們不僅僅是為了簡潔性簡潔性它一方面會帶來運位的方便性另外一方面其實也帶來性能的提升吞吐的提升和延遲的降低這裡面很重要的一個問題是什麼呢我們的目標有沒有達到都下來了還能做到符合可感知嗎安全破防的影響半徑會有變化嗎這兩個挑戰我們有沒有解決掉如果沒有解決掉至少不安全不夠安全不夠安全這個就有代價了這個是比較難以接受的我們因此提出了一些解決方案第一個是基於破的IP隧道IPsec隧道這種傳統的IPsec隧道是在初階口初階口是基於node到node我們在這一塊實際上是基於破的來建立隧道node和node之間會建立多條基於服務的隧道服務的身份是由數據包轉到DPO上去所帶的Virtual Function的接口ID來標識而不再由它的IP來標識你改它的IP都沒有用修改IP沒有用它的Virtual Function ID是隨著這個數據包在DPO全流程保持不變全流程保持不變第一個就是我們建立了居於VFID的無身份識別的IPsec隧道IPsec隧道它的廟協商我們還是採取標準MTS這樣的話跟Israel整個C體系是兼容這是第一點第二點第一點我們就是通過這種方式我們建立了無可識別的容器網絡隧道第二點我們怎麼樣能夠降低它的安全破防半徑這裡面實際上是有一個之中我們沒想好還有一個更完美的方案現在想起來現在只能是提出這種方案感覺不是太完美其實還是沒有做到百分之百的服務和技術設施的架構及偶為什麼呢因為身份驗證這一塊為了縮小它的影響半徑我們把身份驗證還留在了POD裡面如果我們把這個拿出來也不是不行比如說把身份驗證我都拿到DPO上去全部由DPO來做這樣會帶來一個安全影響半徑的擴大你如果這上面發生安全問題洩漏整個Note上所有這些POD的資本都會被洩漏也可行但是如果是說需要更安全我們覺得可能還是把它留在POD裡面可能會更合適基於上面這個方案我們做一些測試下面跟大家匯報一下我們的一些測試結果這是我們的測試床寫得比較詳細福氣是用的神珠數碼自由品牌的福氣是基於華為的昆彭920也就是暗它這個福氣是兩層48盒2.6GDPO是用的NVIDIA Bluefield II然後在這裡面TSO和RV8的加密擴展指令級的缺省都使能IPERF發送4到8條TCP流根據這個爆腸大小綁定在一個盒上這個左邊是我們這個圖吧對這種正常圖結論是在一個盒上對加密TCP流的吞吐提升達到了1.8到23.5倍為什麼會跨得這麼大下面可以看詳細結果因為針對不同包廠它會有不同的加速比不同的加速比這個左邊就是這個沒有用DPO加速的右邊是用DPO加速的這樣一個圖這個DPO加速實際上是沒有用沒有用ambient的模式來加速就是純粹就用DPO來加速我們可以看一下詳細的性能這裡面可以看到隨著包廠越大加速比越高如果是2.5、2.5、6以下可能只有不到兩倍的加速比如果達到8KMessage算是達到8K的時候可能有23倍的提升在吞吐提升同時其實CPU利用率也有大幅的下降在小包的時候CPU利用率提升非常多達到40%大包的時候CPU利用率就變化不大了在這個裡面我們也看到其實IPROF使用了30%的CPU如果把CPU利用率指標考慮進去所以我們1.8倍到23.5倍的加速可以換成3到24倍的一個吞吐的提升這是一個容器網絡有和沒有DPO的一個性能測試對比這個是我們測試前面這個測試身上沒有IPSIKE這個測試我們把加密就是零星的IPSIKE加密這個放進去測試床還是基本上都一樣只是把MTS或者IPSIKE放進去它的提升是怎麼樣基本的結論是3到5倍的TCP吞吐提升這個四個盒子我們也測試了四個盒子的狀況四個盒子會有些下降1.5到40.1倍的一個提升我們可以看一下具體的一個數據指標對於單盒TCP舒服的其實我們也測了不同影響結果維查爛的配置是非常大的以配上維查爛吞吐降低了百分之十到70MTS實際上吞吐的影響並不是特別大分析原因實際上是維查爛一打開的時候TSO就不能工作了TSO比MTS對吞吐的影響更大在多盒的時候內核協議站所對性能有比較明顯的影響這是我們最後一個結果也就是我們把所有的結果所有的手段全部用上包括網絡的卸載零星人IPSIKE卸載MTS卸載包括編程模式轉召安辯的這種模式最終的一個環境就是右邊是我們最終的一個目標環境最終目標的一個環境就是各種能卸載的全部卸載的DPO上去然後完全解鎖Portnum也沒有DPO這個可能圖畫得不太對Portnum應該是沒有英文了那麼測試的硬件還是一樣我們測試的軟件從IPROF換成了Gemeter因為IPROF主要是測TCP我們測試這個環境因為在服務網格場景下主要它是HDP流量所以我們使用Gemeter來測試Gemeter主要是測QPS我們讓Gemeter發生50個併發流我們在一個盒的時候我們有看到QPS有4倍的一個提升延遲50%的降低我們可以看一下具體的數據可以看到延遲基本上都是提升一倍從20多毫秒降到10個毫秒左右原因一方面有硬件處理性能提升另外一方面也有它代理次數降低QPS也基本上提升了一倍不管是256直接長還是8K直接長QPS都有一倍的提升CPU的優勢就是CPU利用率我們可以看到也有將近一倍的降低那麼換算過去以後就是說差不多兩倍的QPS提升同時CPU利用率還降了一倍那麼換算成一個盒上差不多有4倍QPS的提升4倍QPS提升這裡面其實分析到最後我們測到最後發現一個現象或者結論這個對我們今後可能要工作下一步工作實際上是有指導意義就是80%的CPU實際上是被英文位的七成給消耗掉我們看最右下角這張圖就優勢模式和可能模式CPU利用率的一個豬狀分析圖80%的CPU其實都是被英文位的七成英文太給消耗掉了協議站消耗的並不多這個也符合我們嘗試的理解就是四成協議站相對七成的解析相對七成的規則來講七成的處理來講都還是比較簡單七成的各種流量治理各種規則的匹配非常非常複雜那麼我們實際上不光測了這些只要我們還進一步測試了這個破的數量非常非常多達到幾千個的時候它的規則的影響的程度其實它的影響非常非常大這個也是我們下一步提升的方向我們也有些出不的結果如果有興趣的話大家可以先一下想去交流謝謝大家看大家有什麼問題謝謝我這邊有一個問題就是我們大部分的所謂的資產都是在公用雲上首先第一個問題就是在公用雲上去做流量治理尤其是東西相上它這個流量鏡像的成本很高就是說這是其一然後其二的話就是在引入服務網格後我這個流量鏡像的一個採集點也有相當的變化就是說在這種第一個是在這種架構變遷過程中我應該就是如何去評估一下這個安全和成本之間的問題我嘗試理解你的問題這個是關於流量鏡像和安全性的問題對並且尤其是在傳統的一個架構到服務網格這樣一個轉變的一個過程中我該如何去做我可能需要更多交流因為我感覺我不是太能很好的理解和回答的因為服務網格和流量鏡像好像不太是個解偶的關係就是我不管服務網格怎麼變化不管怎麼流量鏡像是完全不管你這個流量去哪裡我是全部要按照採集規則採集過來不管你上面部署的是什麼網格是什麼網絡我全部都採集過來應該是沒有關係的一個這個比如說就是我舉一個例子可能過去的話我可能在NG側去做流量採集但是現在在我服務網格上我可能要在note上或者說通過那種在pod的那個vis網卡上去做流量採集了解過去可能就是取決你關注的安全點不同造成的問題過去可能更多的關注南北的安全風險現在關注東西像不光是安全風險可能還有服務治理服務質量保證所以你需要在東西像的各個節點去採集這塊我感覺好像有點重複就是說流量採集和因為和本身note的包括服務的可觀測性它裡面有很多指標是相同的但可能有些指標是不同的但從服務網格或者從東西的角度來看如果東西的流量非常大你在每個節點上都採集我覺得可能把流量都進向過去我覺得可能會不會處理不過來所以因為你流量採集上是把流量搬過去但是我們做可觀測性事實上是把觀測的指標搬過去數據量要小很多我不知道這個是不是合適的就是說我想我的想法是可能在東西像做流量採集可能在一些關鍵的節點上還可行在所有的節點上都做採集是不是成本上承受不了的所以說就是在這種你剛才講到這種DPO架構下它是不是能cover住更大的一個範圍呢就是從降本的這一塊來看你是意思說用DPO來做流量採集是吧對或者後面的一些因為你會上一些policy做一些policy的一些可以這個肯定是可以但是我的想法就是說採集不在於採集點能不能承受而是在於你採集過去以後因為你被採集的東西多了你後台要處理的這個能力就非常非常需要非常非常多的服務器來處理就是DPO也好或者說你在你在任何一個交換機端管上去做採集應該都可以採集其實都可以採集那只是說如果所有的node東西像node都採集你後台可能承受不住謝謝這個後面還有一位我想問一下就是我們這一套方案有在生產環境下落地嗎包括還沒有目前真的早一些客服在談然後我們這個的話就是說這個對硬件的需求就是說是得你說是對服務器的需求是吧對對對這個是我們這個項目特別關注的一點就是要進入instagram生態不能所以對服務器需求應該主要是對內核版本的需求現在我們一個是對內核版本沒有需求第二個因為我們引入了DPODPO對服務器其實硬件版本軟件版本其實沒什麼需求它主要是對硬件需要一些功耗能不能插進去供電等等這些方面有一些需求我想問一下就是剛剛說了很多四層七層的一些的你們的就是一些納管對不對就在DPO裡面你們的話就是說這個功能的話就我怎麼怎麼說我怎麼敢知道比如說我破了創建或者是刪除了這些信息的話怎麼跟DPO來去交互呢你們現在有公開的 SDK 或者什麼的嗎這個會遵循標準的 Istel 的 SDK IPR 來做比如說我剛提的問題挺好其實我們這次皮布丁也沒有設計到就是對DPO的納管其實也是通過 KBS 來進行或者專門的 KBSDPO的 Cluster好好 謝謝我這邊您好朋友資訊您這邊在低視野上的目標有沒有好像看到最後一個圖有一個視野是10毫秒左右對但是它和一些內核加速的方案相比我們看過很多視野包括春土的一些測試像我這樣把關鍵的測試床的各項詳細都列出來基本上沒有就是他們的我也看過包括 SELIM 還是 CTO官網上專門談到一點所有的測試都一定要把測試床拿出來才具有可比性否則的話完全沒有可比性所以我這個指標我今天看了很多其他的視野方的測試甚至幾毫秒的但是確實不好比不好比比如說我這個測試環境它打了多少條流它的規則數有多少條這個完全都不一樣就是在您環境裡面有哪一就是也內核加速去驗過在我們這環境就是我這個測試結果就是我們可以看到由於DPU對規則匹配的加速的影響由於代理次數的減少整個延遲降低了50%但這個裡面其實抱歉談得不對這50%的延遲降低是只一條規則匹配就完全是代理次數減少DPU的引入如果說你整個編輯數量很多泡的數量很多大量的路由規則那延遲的我們有一個結果那個提倡非常非常顯著好 謝謝嗨 老師您好我有個問題就是現在就是正常情況下一手向軟件的話是它的控制面 數據面數據面通過Saturday Karma這樣去實現那現在我們DPU這一塊相當於是一個集中式的或者一個共享的集中起來之後那我們數據面的一些開發了一些能力你們是燒到這個DPU卡裡面的還是掩飾的是怎麼實現的好 這問題挺好就是我們現在把它的能力分成兩塊一個是R4的能力一個是L7的能力L7的能力就是標準的N變成能力就是純粹軟件能力那它因為它不太適合在硬件上面去跑當然有些基本的如果想特別在意這個性能也可以放到DPU裡面跑四層能力我們燒到DPU裡面去做所以也不叫燒進去因為它本身這個DPU是可編成的就是隨時可以像軟件一樣下載下去好 就像四層的話是硬件本身卡是用我看剛才是因為打的是吧然後你們再去做一些開發是吧在上面 做一些它本身是一個P4的引擎可能做網絡順便也瞭解它本身是一個標準的引擎但是你們要做什麼功能是你需要自己去定義去自己去編成比如說它就提供了一個連接跟路表你可以去Denial或Pass但是什麼樣情況下你去Denial或Pass或者什麼樣的一些安全策略什麼樣的路由策略或什麼樣的負責均衡策略這個需要你去定義OK 好了 謝謝好 新聞辦可以時間有限如果大家還有問題歡迎先下載個在交流謝謝大家