За счет чего происходит ускорение программ при наличии модуля ядра linux?

Question

[rav_pr]

Задался таким вопросом, после появления у openvpn тоже модуля ядра DCO как и у wireguard

Так почему это ускоряет работу? Модуль ядра имеет больший приоритет в очереди на процессорное время? Или архитектурная особенность Linux, которая производит некоторые операции только через API а модуль ядра позволяет это обойти и общаться напрямую, выполнять код без лишних вызовов в одном пространстве?

Answer 1

[ValdikSS]

Модуль TUN/TAP, через которые работают все не-ядерные VPN, очень медленный из-за того, что у него есть только интерфейс получения и отправки пакетов по одному пакету за вызов. Большое количество переключений контекста между ядром и пользовательским уровнем очень затратны, что влечёт за собой неэффективное использование процессорного времени.

Это типичная известная проблема, которую можно решить в течение месяца, но которую не решили в течение двух десятилетий. Достаточно кому-нибудь взяться, внедрить современный (io_uring, например) или какой-то отдельный интерфейс для отправки и получения нескольких пакетов за один вызов, и скорость магически увеличится на порядок-два.

Оценить ускорение от уменьшения переключений контекста довольно просто, достаточно провести тестирование со значительно увеличенным MTU пакета. Вот какие цифры приводит проект slirp4netns.

Implementation |  MTU=1500  |  MTU=4000  |  MTU=16384  |  MTU=65520
---------------|------------|------------|-------------|------------
slirp4netns    | 1.07 Gbps  | 2.78 Gbps  |  4.55 Gbps  |  9.21 Gbps

Comments

[rav_pr]

ответ получился наталкивающим на вопрос, а как решают это ядерные VPN?
Они пишут свой модуль ядра, который представляет виртуальное устройство(аналог стандартному tun/tap) с кастомным интерфесом взаимодействия между пользовательской частью впн и модулем ядра?

[ValdikSS]

rav_pr, Wireguard работает целиком в ядре, а модуль OpenVPN DCO только обрабатывает пакеты с данными от подключённых клиентов (т.е. занимается шифрованием, парсингом содержимого и маршрутизацией пакетов), а процесс подключения, аутентификации, обработки control-пакетов и прочего всё ещё осуществляется средствами userspace-программы.

Между программой и модулем пишется собственный простой протокол, передающий все необходимые данные для настройки и обработки соединений.

По принципу работы OpenVPN DCO похож на устройство IPsec в Linux.

[Zerg89]

ValdikSS Тоесть по сути любой модуль какого-нибудь l2tp подключённый как .so будет в разы медленнее чем встроенный в ядро?
Или имеется ввиду конкретно та которая запущена как сервис(служба) со свом драйвером взаимлдействия с интерфейсом?

[ValdikSS]

Zerg89, Если модуль передаёт пакеты в TUN/TAP, то да, будет медленнее, чем могло бы быть. Однако есть не один способ обработки пакетов в userspace, TUN/TAP просто самый удобный из них. Можно, например, инжектить пакеты RAW-сокетами, либо же вовсе реализовать TCP/IP-стек внутри userspace-программы, а пользователю предоставлять порт прокси, а не VPN-адаптер.