Houmin

使用 Go 语言开发 ebpf 程序

2021-03-31T06:28:57.000Z

在 Introduction to eBPF 这篇文章中介绍了基于内核源码开发并加载 eBPF 代码的过程。本文将介绍基于 Go 和对应的库开发 eBPF 程序，文中所有涉及的代码可以在我的 Github 中找到。

选择 eBPF 库

当涉及到选择库和工具来与 eBPF 进行交互时，会让人有所困惑。在选择时，你必须在基于 Python 的 BCC 框架、基于 C 的 libbpf 和一系列基于 Go 的 Dropbox、Cilium、Aqua 和 Calico 等库中选择。

在大多数情况下，eBPF 库主要协助实现两个功能：

将 eBPF 程序和 Map 载入内核并执行重定位，通过其文件描述符将 eBPF 程序与正确的 Map 进行关联。
与 eBPF Map 交互，允许对存储在 Map 中的键/值对进行标准的 CRUD 操作。

部分库也可以帮助你将 eBPF 程序附加到一个特定的钩子，尽管对于网络场景下，这可能很容易采用现有的 netlink API 库完成。

当涉及到 eBPF 库的选择时，仍然让人感到困惑（见[1], [2]）。事实是每个库都有各自的范围和限制。

Calico 在用 bpftool 和 iproute2 实现的 CLI 命令基础上实现了一个 Go 包装器。
Aqua 实现了对 libbpf C 库的 Go 包装器。
Dropbox 支持一小部分程序，但有一个非常干净和方便的用户API。
IO Visor 的 gobpf 是 BCC 框架的 Go 语言绑定，它更注重于跟踪和性能分析。
Cilium 和 Cloudflare 维护一个纯 Go 语言编写的库 (以下简称 “libbpf-go”)，它将所有 eBPF 系统调用抽象在一个本地 Go 接口后面。

参考使用 Go 语言管理和分发 ebpf 程序可以看到 cilium/ebpf 更加活跃，本文也选择基于 cilium/ebpf 库来开发。cilium/ebpf 纯 Go 程序编写，从而实现了程序最小依赖；与此同时其还提供了 bpf2go 工具，可用来将 eBPF 程序编译成 Go 语言中的一部分，使得交付更加方便，后续如果配合 CO-RE 功能则威力大增。

环境准备

eBPF 程序一般有两部分组成：

基于 C 语言的 eBPF 程序，最终使用 clang/llvm 编译成 elf 格式的文件，为内核中需要加载的程序；
Go 语言程序用于加载、调试 eBPF 程序，为用户空间的程序，用于配置或者读取 eBPF 程序生成的数据。

前置条件需要安装 clang/llvm 编译器：

# 安装 llvm 编译器，至少要求 clang 9.0 版本以上
$ sudo apt update -y
$ sudo apt install -y llvm
$ sudo apt install -y clang

可以从我的 Github 下载代码，目录结构如下：

[root@VM-4-27-centos demo]# tree
.
|-- bpf
|   |-- headers
|   |   |-- bpf_core_read.h
|   |   |-- bpf_helper_defs.h
|   |   |-- bpf_helpers.h
|   |   |-- bpf_tracing.h
|   |   |-- update.sh
|   |   `-- vmlinux.h
|   `-- kprobe.c
|-- Dockerfile
|-- go.mod
|-- go.sum
|-- main.go
`-- Makefile

编程规范

BPF 代码

以 kprobe 为例

// +build ignore

#include "vmlinux.h"
#include "bpf_helpers.h"

char __license[] SEC("license") = "Dual MIT/GPL";

struct bpf_map_def SEC("maps") kprobe_map = {
    .type = BPF_MAP_TYPE_ARRAY,
    .key_size = sizeof(u32),
    .value_size = sizeof(u64),
    .max_entries = 1,
};

SEC("kprobe/sys_execve")
int kprobe_execve() {
    u32 key = 0;
    u64 initval = 1, *valp;

    valp = bpf_map_lookup_elem(&kprobe_map, &key);
    if (!valp) {
        bpf_map_update_elem(&kprobe_map, &key, &initval, BPF_ANY);
        return 0;
    }
    __sync_fetch_and_add(valp, 1);

    return 0;
}

头文件

libbpf

#!/usr/bin/env bash

# Version of libbpf to fetch headers from
LIBBPF_VERSION=0.5.0

# The headers we want
prefix=libbpf-"$LIBBPF_VERSION"
headers=(
    "$prefix"/src/bpf_core_read.h
    "$prefix"/src/bpf_helper_defs.h
    "$prefix"/src/bpf_helpers.h
    "$prefix"/src/bpf_tracing.h
)

# Fetch libbpf release and extract the desired headers
curl -sL "https://github.com/libbpf/libbpf/archive/refs/tags/v${LIBBPF_VERSION}.tar.gz" | \
    tar -xz --xform='s#.*/##' "${headers[@]}"

vmlinux.h

vmlinux.h 是使用工具生成的代码文件。它包含了系统运行 Linux 内核源代码中使用的所有类型定义。当我们编译 Linux 内核时，会输出一个称作 vmlinux 的文件组件，其是一个 ELF 的二进制文件，包含了编译好的可启动内核。vmlinux 文件通常也会被打包在主要的 Linux 发行版中。

内核中的 bpftool 工具其中功能之一就是读取 vmlinux 文件并生成对应的 vmlinux.h 头文件。vmlinux.h 会包含运行内核中所使用的每一个类型定义，因此该文件的比较大。

生成 vmlinux.h 文件的命令如下：

1	$ bpftool btf dump file /sys/kernel/btf/vmlinux format c > vmlinux.h

包含该 vmlinux.h，就意味着我们的程序可以使用内核中使用的所有数据类型定义，因此 BPF 程序在读取相关的内存时，就可以映射成对应的类型结构按照字段进行读取。

例如，Linux 中的 task_struct 结构用于表示进程，如果 BPF 程序需要检查 task_struct 结构的值，那么首先就需要知道该结构的具体类型定义。

由于 vmlinux.h 文件是由当前运行内核生成的，如果你试图将编译好的 eBPF 程序在另一台运行不同内核版本的机器上运行，可能会面临崩溃的窘境。这主要是因为在不同的版本中，对应数据类型的定义可能会在 Linux 源代码中发生变化。

但是，通过使用 libbpf 库提供的功能可以实现 “CO:RE”（一次编译，到处运行）。libbpf 库定义了部分宏（比如 BPF_CORE_READ），其可分析 eBPF 程序试图访问 vmlinux.h 中定义的类型中的哪些字段。如果访问的字段在当前内核定义的结构中发生了移动，宏 / 辅助函数会协助自动找到对应字段。对于可能消失的字段，也提供了对应的辅助函数 bpf_core_field_exists。因此，我们可以使用当前内核中生成的 vmlinux.h 头文件来编译 eBPF 程序，然后在不同的内核上运行它【需要运行的内核也支持 BTF 内核编译选项】。

代码编译

bpf2go

该注解使用 bpf2go 程序将 kprobe.c 文件编译成 bpfdemo_bpfeb.go 和 bpfdemo_bpfel.go 两个文件，分别为 bigendian 和 littleendian 两种平台的程序。

其中参数中的 BPFDemo 参数为 main.go 文件中函数调用的名称，例如 objs := BPFDemoObjects{} 和 LoadBPFDemoObjects(&objs, nil);

// SPDX-License-Identifier: GPL-2.0-only
// Copyright (C) 2021 Authors of Nylon */

//go:generate sh -c "echo Generating for amd64"
//go:generate go run github.com/cilium/ebpf/cmd/bpf2go -cc clang BPFDemo ./bpf/kprobe.c -- -DOUTPUT_SKB -D__TARGET_ARCH_x86 -I./bpf/headers

package main

Makefile

GO := go
GO_BUILD = CGO_ENABLED=0 $(GO) build
GO_GENERATE = $(GO) generate
GO_TAGS ?=
TARGET=BPFDemo
BINDIR ?= /usr/local/bin
VERSION=$(shell git describe --tags --always)

$(TARGET):
$(GO_GENERATE)
$(GO_BUILD) $(if $(GO_TAGS),-tags $(GO_TAGS)) \
-ldflags "-w -s \
-X 'github.com/SimpCosm/godemo/ebpf/BPFDemo.Version=${VERSION}'"

clean:
rm -f $(TARGET)
rm -f bpfdemo_bpf*
rm -rf ./release

执行编译，可以看到生成了对应的 BPF 字节码 bpfdemo_bpfeb.o 和 bpfdemo_bpfel.o，还有对应的 go 文件：

[root@VM-4-27-centos demo]# make
go generate
Generating for amd64
Compiled /root/demo/bpfdemo_bpfel.o
Stripped /root/demo/bpfdemo_bpfel.o
Wrote /root/demo/bpfdemo_bpfel.go
Compiled /root/demo/bpfdemo_bpfeb.o
Stripped /root/demo/bpfdemo_bpfeb.o
Wrote /root/demo/bpfdemo_bpfeb.go
CGO_ENABLED=0 go build  \
-ldflags "-w -s \
-X 'github.com/SimpCosm/godemo/ebpf/BPFDemo.Version='"
[root@VM-4-27-centos demo]# ls
Dockerfile  bpf               bpfdemo_bpfeb.o   bpfdemo_bpfel.o  go.mod  main.go        main_arm64.go
Makefile    bpfdemo_bpfeb.go  bpfdemo_bpfel.go  demo             go.sum  main_amd64.go

加载代码

在我们编写的 Go 代码中，首先需要将编译好的 eBPF 代码加载进内核，调用的是 LoadBPFDemoObjects

// Load pre-compiled programs and maps into the kernel.
objs := BPFDemoObjects{}
if err := LoadBPFDemoObjects(&objs, nil); err != nil {
log.Fatalf("loading objects: %v", err)
}
defer objs.Close()

这里的 LoadBPFDemoObjects 和 BPFDemoObjects 都来自 bpf2go 自动生成的代码。

以 bpfdemo_bpfeb.go 为例，可以看到生成了很多辅助函数和结构体，其中：

BPFDemoObjects 包括 BPF 程序和 BPF Map
LoadBPFDemoObjects 会调用 LoadBPFDemo 将编译好的 ELF 格式的 BPF 代码加载进内存，然后调用 LoadAndAssign 实际调用 BPF 系统调用 load BPF 程序到内核。

// BPFDemoMaps contains all maps after they have been loaded into the kernel.
//
// It can be passed to LoadBPFDemoObjects or ebpf.CollectionSpec.LoadAndAssign.
type BPFDemoMaps struct {
        KprobeMap *ebpf.Map `ebpf:"kprobe_map"`
}

// BPFDemoPrograms contains all programs after they have been loaded into the kernel.
//
// It can be passed to LoadBPFDemoObjects or ebpf.CollectionSpec.LoadAndAssign.
type BPFDemoPrograms struct {
        KprobeExecve *ebpf.Program `ebpf:"kprobe_execve"`
}

// BPFDemoObjects contains all objects after they have been loaded into the kernel.
//
// It can be passed to LoadBPFDemoObjects or ebpf.CollectionSpec.LoadAndAssign.
type BPFDemoObjects struct {
        BPFDemoPrograms
        BPFDemoMaps
}

// LoadBPFDemoObjects loads BPFDemo and converts it into a struct.
//
// The following types are suitable as obj argument:
//
//     *BPFDemoObjects
//     *BPFDemoPrograms
//     *BPFDemoMaps
//
// See ebpf.CollectionSpec.LoadAndAssign documentation for details.
func LoadBPFDemoObjects(obj interface{}, opts *ebpf.CollectionOptions) error {
        spec, err := LoadBPFDemo()
        if err != nil {
                return err
        }

        return spec.LoadAndAssign(obj, opts)
}

实际查看 LoadAndAssign 可以看到它会加载 BPF Program 和 BPF Map 到内核

// LoadAndAssign loads Maps and Programs into the kernel and assigns them
// to a struct.
//    struct {
//        Foo     *ebpf.Program `ebpf:"xdp_foo"`
//        Bar     *ebpf.Map     `ebpf:"bar_map"`
//        Ignored int
//    }
func (cs *CollectionSpec) LoadAndAssign(to interface{}, opts *CollectionOptions) error {
loader := newCollectionLoader(cs, opts)
defer loader.cleanup()

// Support assigning Programs and Maps, lazy-loading the required objects.
assignedMaps := make(map[string]bool)
getValue := func(typ reflect.Type, name string) (interface{}, error) {
switch typ {

case reflect.TypeOf((*Program)(nil)):
return loader.loadProgram(name)

case reflect.TypeOf((*Map)(nil)):
assignedMaps[name] = true
return loader.loadMap(name)

default:
return nil, fmt.Errorf("unsupported type %s", typ)
}
}
  //...
}

这里的 loadProgram 会调用 newProgramWithOptions，处理很多与 BTF 等其他内容后，最终调用 sys.ProgLoad(attr)

func newProgramWithOptions(spec *ProgramSpec, opts ProgramOptions, handles *handleCache) (*Program, error) {
    // ...
    fd, err := sys.ProgLoad(attr)
  
    // ...
}

此即调用了 BPF 的系统调用：

func ProgLoad(attr *ProgLoadAttr) (*FD, error) {
fd, err := BPF(BPF_PROG_LOAD, unsafe.Pointer(attr), unsafe.Sizeof(*attr))
if err != nil {
return nil, err
}
return NewFD(int(fd))
}

加载 map 也是类似，最终调用了 sys.MapCreate

func MapCreate(attr *MapCreateAttr) (*FD, error) {
fd, err := BPF(BPF_MAP_CREATE, unsafe.Pointer(attr), unsafe.Sizeof(*attr))
if err != nil {
return nil, err
}
return NewFD(int(fd))
}

Kprobe 处理

kprobe可以对任何内核函数进行插桩，可以实时在生产环境中启用，不需要重启系统，也不需要以特殊方式重启内核。
现在有以下三种接口可以访问kprobes.

kprobe API: 如 register_kprobe() 等，在这篇文章中介绍了其用法
基于Frace的，通过 /sys/kernel/debug/tracing/kprobe_events: 通过向这个文件写入字符串，可以配置开启和停止kprobes，在这篇文章中介绍了其用法
perf_event_open(): 与 perf 工具所使用的一样，现在BPF跟踪工具也开始使用这些函数

对应到 main.go 中，在 LoadBPFDemoObjects之后，我们还调用了 link.Kprobe 来

// Open a Kprobe at the entry point of the kernel function and attach the
// pre-compiled program. Each time the kernel function enters, the program
// will increment the execution counter by 1. The read loop below polls this
// map value once per second.
kp, err := link.Kprobe(fn, objs.KprobeExecve)
if err != nil {
log.Fatalf("opening kprobe: %s", err)
}
defer kp.Close()

创建 kprobe类型的 perf event

symbol 是追踪的内核函数
prog 是编译的 eBPF 程序

func Kprobe(symbol string, prog *ebpf.Program, opts *KprobeOptions) (Link, error) {
   k, err := kprobe(symbol, prog, opts, false)
   if err != nil {
      return nil, err
   }

   lnk, err := attachPerfEvent(k, prog)
   if err != nil {
      k.Close()
      return nil, err
   }

   return lnk, nil
}

这里创建了一个 kprobe 类型的 Perf Event，传入的追踪地址是 symbol

// kprobe opens a perf event on the given symbol and attaches prog to it.
// If ret is true, create a kretprobe.
func kprobe(symbol string, prog *ebpf.Program, opts *KprobeOptions, ret bool) (*perfEvent, error) {
  // ...
  
args := probeArgs{
pid:    perfAllThreads,
symbol: platformPrefix(symbol),
ret:    ret,
}

// Use kprobe PMU if the kernel has it available.
tp, err := pmuKprobe(args)
if err == nil {
return tp, nil
}
  
  // ... 
  
// Use tracefs if kprobe PMU is missing.
args.symbol = platformPrefix(symbol)
tp, err = tracefsKprobe(args)
  // ...

return tp, nil
}

最终调用了 PerfEventOpen 来开启一个 perf event，这个系统调用可以参考这里

// pmuProbe opens a perf event based on a Performance Monitoring Unit.
//
// Requires at least a 4.17 kernel.
// e12f03d7031a "perf/core: Implement the 'perf_kprobe' PMU"
// 33ea4b24277b "perf/core: Implement the 'perf_uprobe' PMU"
//
// Returns ErrNotSupported if the kernel doesn't support perf_[k,u]probe PMU
func pmuProbe(typ probeType, args probeArgs) (*perfEvent, error) {
  // ...
switch typ {
case kprobeType:
// Create a pointer to a NUL-terminated string for the kernel.
sp, err = unsafeStringPtr(args.symbol)

attr = unix.PerfEventAttr{
Type:   uint32(et),          // PMU event type read from sysfs
Ext1:   uint64(uintptr(sp)), // Kernel symbol to trace
Config: config,              // Retprobe flag
}
case uprobeType:
    // ...
}

rawFd, err := unix.PerfEventOpen(&attr, args.pid, 0, -1, unix.PERF_FLAG_FD_CLOEXEC)
fd, err := sys.NewFD(rawFd)
  
  // ...
// Kernel has perf_[k,u]probe PMU available, initialize perf event.
return &perfEvent{
typ:    typ.PerfEventType(args.ret),
name:   args.symbol,
pmuID:  et,
cookie: args.cookie,
fd:     fd,
}, nil
}

挂载 eBPF 程序到 perf event

通过 perf_event 的 ioctl 调用把 BPF 程序 attach 到 kprobe event

PERF_EVENT_IOC_SET_BPF，表示允许 attach BPF 程序到 kprobe event 上，其中 ioctl 设置的第三个参数代表 bpf 系统调用的 fd。
PERF_EVENT_IOC_ENABLE，表示使能 event。

1 2	ioctl(perf_event_fd, PERF_EVENT_IOC_SET_BPF, bpf_prog_fd) ioctl(perf_event_fd, PERF_EVENT_IOC_ENABLE, 0)

attachPerfEvent 通过 perf_event 的 ioctl 调用把 BPF 程序 attach 到 kprobe event

// attach the given eBPF prog to the perf event stored in pe.
// pe must contain a valid perf event fd.
// prog's type must match the program type stored in pe.
func attachPerfEvent(pe *perfEvent, prog *ebpf.Program) (Link, error) {
if prog == nil {
return nil, errors.New("cannot attach a nil program")
}
if prog.FD() < 0 {
return nil, fmt.Errorf("invalid program: %w", sys.ErrClosedFd)
}

switch pe.typ {
case kprobeEvent, kretprobeEvent, uprobeEvent, uretprobeEvent:
if t := prog.Type(); t != ebpf.Kprobe {
return nil, fmt.Errorf("invalid program type (expected %s): %s", ebpf.Kprobe, t)
}
case tracepointEvent:
if t := prog.Type(); t != ebpf.TracePoint {
return nil, fmt.Errorf("invalid program type (expected %s): %s", ebpf.TracePoint, t)
}
default:
return nil, fmt.Errorf("unknown perf event type: %d", pe.typ)
}

if err := haveBPFLinkPerfEvent(); err == nil {
lnk, err := attachPerfEventLink(pe, prog)
if err != nil {
return nil, err
}
return lnk, nil
}

lnk, err := attachPerfEventIoctl(pe, prog)
if err != nil {
return nil, err
}

return lnk, nil
}

通过 ioctl 挂载 BPF 程序：

func attachPerfEventIoctl(pe *perfEvent, prog *ebpf.Program) (*perfEventIoctl, error) {
if pe.cookie != 0 {
return nil, fmt.Errorf("cookies are not supported: %w", ErrNotSupported)
}

// Assign the eBPF program to the perf event.
err := unix.IoctlSetInt(pe.fd.Int(), unix.PERF_EVENT_IOC_SET_BPF, prog.FD())
if err != nil {
return nil, fmt.Errorf("setting perf event bpf program: %w", err)
}

// PERF_EVENT_IOC_ENABLE and _DISABLE ignore their given values.
if err := unix.IoctlSetInt(pe.fd.Int(), unix.PERF_EVENT_IOC_ENABLE, 0); err != nil {
return nil, fmt.Errorf("enable perf event: %s", err)
}

pi := &perfEventIoctl{pe}

// Close the perf event when its reference is lost to avoid leaking system resources.
runtime.SetFinalizer(pi, (*perfEventIoctl).Close)
return pi, nil
}

查看 Map 信息

定期查看 eBPF map 的更新：

// Read loop reporting the total amount of times the kernel
// function was entered, once per second.
ticker := time.NewTicker(1 * time.Second)

log.Println("Waiting for events..")

for range ticker.C {
var value uint64
if err := objs.KprobeMap.Lookup(mapKey, &value); err != nil {
log.Fatalf("reading map: %v", err)
}
log.Printf("%s called %d times\n", fn, value)
}

容器镜像

FROM ubuntu:20.04
RUN apt update -y -q
RUN DEBIAN_FRONTEND=noninteractive apt-get install --no-install-recommends -y -q curl build-essential ca-certificates
RUN curl -s https://storage.googleapis.com/golang/go1.16.3.linux-amd64.tar.gz| tar -v -C /usr/local -xz
ENV PATH $PATH:/usr/local/go/bin
RUN apt install -y wget gnupg2
RUN printf "deb http://apt.llvm.org/xenial/ llvm-toolchain-xenial-12 main" | tee /etc/apt/sources.list.d/llvm-toolchain-xenial-12.list
RUN wget -O - https://apt.llvm.org/llvm-snapshot.gpg.key | apt-key add -
RUN apt -y update
RUN apt install -y llvm clang git
WORKDIR /ebpf
COPY . .
RUN make
RUN chmod a+x /ebpf
ENTRYPOINT ["./ebpf"]
CMD ["./ebpf"]

参考资料

eBPF Map 操作

2021-03-28T06:25:32.000Z

eBPF Map 是用户空间和内核空间进行数据交换、信息传递的桥梁，它以 key/value 方式将数据存储在内核中，可以被任何知道它们的BPF程序访问。在内核空间的程序创建 BPF Map 并返回对应的 文件描述符，在用户空间运行的程序就可以通过这个文件描述符来访问并操作BPF Map。eBPF Map 支持多种数据结构类型，在上一篇博客中已经简单介绍过，本文将通过代码实例展示其使用方法，所有代码可以在我的 Github 中找到。

创建BPF Map

最初创建 BPF Map 的方式都是通过 bpf 系统调用函数，传入的第一个参数是BPF_MAP_CREATE，在上一篇博客中已经介绍，此处不在详述。

union bpf_attr my_map_attr {
  .map_type = BPF_MAP_TYPE_ARRAY,
  .key_size = sizeof(int),
  .value_size = sizeof(int),
  .max_entries = 1024,
  .map_flags = BPF_F_NO_PREALLOC,
};

int fd = bpf(BPF_MAP_CREATE, &my_map_attr, sizeof(my_map_attr));

相对于直接使用 bpf 系统调用函数来创建BPF Map，在实际场景中常用的是基于 SEC("maps") 这个语法糖来做到声明即创建：

struct bpf_map_def SEC("maps") my_bpf_map = {
  .type       = BPF_MAP_TYPE_HASH, 
  .key_size   = sizeof(int),
  .value_size   = sizeof(int),
  .max_entries = 100,
  .map_flags   = BPF_F_NO_PREALLOC,
};

关键点就是SEC("maps")，ELF convention，它的工作原理是这样的：

声明 ELF Section 属性 SEC("maps")
内核代码bpf_load.c 扫描目标文件中所有 Section 信息，它会扫描目标文件里定义的 Section，其中就有用来创建BPF Map的SEC("maps")，我们可以到相关代码里看到说明：

// https://elixir.bootlin.com/linux/v4.15/source/samples/bpf/bpf_load.h#L41
/* parses elf file compiled by llvm .c->.o
 * . parses 'maps' section and creates maps via BPF syscall // 就是这里
 * . parses 'license' section and passes it to syscall
 * . parses elf relocations for BPF maps and adjusts BPF_LD_IMM64 insns by
 *   storing map_fd into insn->imm and marking such insns as BPF_PSEUDO_MAP_FD
 * . loads eBPF programs via BPF syscall
 *
 * One ELF file can contain multiple BPF programs which will be loaded
 * and their FDs stored stored in prog_fd array
 *
 * returns zero on success
 */
int load_bpf_file(char *path);

bpf_load.c扫描到SEC("maps")后，对BPF Map相关的操作是由load_maps函数完成，其中的bpf_create_map_node()和bpf_create_map_in_map_node()就是创建BPF Map的关键函数
它们背后都是调用了定义在内核代码tools/lib/bpf/bpf.c中的方法，而这个方法就是使用上文提到的BPF_MAP_CREATE命令进行的系统调用。
最后在编译程序时，通过添加bpf_load.o作为依赖库，并合并为最终的可执行文件中，这样在程序运行起来时，就可以通过声明SEC("maps")即可完成创建BPF Map的行为了。

从上面梳理的过程可以看到，这个简化版虽然使用了语法糖，但最后还是会去使用 bpf() 函数完成系统调用。

数据结构

本小节将介绍 eBPF Map 的几种常见的数据结构，包括其使用场景和使用方法。

Hash Table

对于 BPF_MAP_TYPE_HASH 类型的 eBPF Map，其 key 和 value 都是可自定义的数据结构，使用方法如下所示：

// define the struct for the key of bpf map
struct pair {
  __u32 src_ip;
  __u32 dest_ip;
};

struct stats {
  __u64 tx_cnt; // the sending request count
  __u64 rx_cnt; // the received request count
  __u64 tx_bytes; // the sending request bytes
  __u64 rx_bytes; // the sending received bytes
};

struct bpf_map_def SEC("maps") tracker_map = {
    .type = BPF_MAP_TYPE_HASH,
    .key_size = sizeof(struct pair),
    .value_size = sizeof(struct stats),
    .max_entries = 2048,
};


struct stats *stats, newstats = {0, 0, 0, 0};

stats = bpf_map_lookup_elem(&tracker_map, pair);
if (stats)
{
    stats->rx_cnt++;
    stats->rx_bytes += bytes;
} else {
    newstats.rx_cnt = 1;
    newstats.rx_bytes = bytes;
    bpf_map_update_elem(&tracker_map, pair, &newstats, BPF_NOEXIST);
}

Array

对于 BPF_MAP_TYPE_ARRAY 类型的 eBPF Map，有以下特性：

它的 key 是作为一个数组的索引，只能是 4 个字节
在 Array 初始化的时候，Array 中所有的元素都 pre-allocated 并且初始化未 0
map_delete_elem() 函数会返回 EINVAL，因为 Array 中的元素不能够被删除
map_update_elem() 函数更新元素的时候是 non-atomic 的，并没有并发保护

BPF_MAP_TYPE_ARRAY 类型的 eBPF Map 主要用于以下两种情景：

全局变量：可以申请一个只有一个元素的 Array，key = 0，value 是一些全局变量的集合
aggregation of tracing events into fixed set of buckets

下面展示了使用 BPF_MAP_TYPE_ARRAY 作为全局变量的方法：

struct globals {
    u64 lat_ave;
    u64 lat_sum;
    u64 missed;
    u64 max_lat;
    int num_samples;
};

struct bpf_map_def SEC("maps") global_map = {
    .type = BPF_MAP_TYPE_ARRAY,
    .key_size = sizeof(int),
    .value_size = sizeof(struct globals),
    .max_entries = 1,
};

int bpf_prog(struct bpf_context *ctx)
{
    ...
    int ind = 0;
    struct globals *g = bpf_map_lookup_elem(&global_map, &ind);
    if (!g)
            return 0;
    if (g->lat_ave == 0) {
            g->num_samples++;
            g->lat_sum += delta;
            if (g->num_samples >= 100) {
                    g->lat_ave = g->lat_sum / g->num_samples;
    ...

Prog Array

BPF_MAP_TYPE_PROG_ARRAY 类型的 eBPF Map 主要用于尾调用，尾调用执行涉及两个步骤：

设置类型为 BPF_MAP_TYPE_PROG_ARRAY 的 map，这个 map 可以从用户空间通过 key/value 操作
调用辅助函数 bpf_tail_call() 如下所示，内核将这个辅助函数调用内联到一个特殊的 BPF 指令内。目前，这样的程序数组在用户空间侧是只写模式
- 一个对程序数组的引用（a reference to the program array）
- 一个查询 map 所用的 key。

1	long bpf_tail_call(void ctx, struct bpf_map prog_array_map, u32 index)

内核根据传入的文件描述符查找相关的 BPF 程序，自动替换给定的 map slot 处的程序指针。如果没有找到给定的 key 对应的 value，内核会跳过（fall through）这一步，继续执行 bpf_tail_call() 后面的指令。

尾调用是一个强大的功能，它可以实现：

通过尾调用结构化地解析网络报头
运行时原子地添加或替换功能，也即动态地改变 BPF 程序的执行行为

在 samples/bpf 中可以看到 BPF_MAP_TYPE_PROG_ARRAY 的使用示例：

struct {
__uint(type, BPF_MAP_TYPE_PROG_ARRAY);
__uint(key_size, sizeof(u32));
__uint(value_size, sizeof(u32));
__uint(max_entries, 8);
} jmp_table SEC(".maps");

#define PARSE_VLAN 1
#define PARSE_MPLS 2
#define PARSE_IP 3
#define PARSE_IPV6 4

/* Protocol dispatch routine. It tail-calls next BPF program depending
 * on eth proto. Note, we could have used ...
 *
 *   bpf_tail_call(skb, &jmp_table, proto);
 *
 * ... but it would need large prog_array and cannot be optimised given
 * the map key is not static.
 */
static inline void parse_eth_proto(struct __sk_buff *skb, u32 proto)
{
switch (proto) {
case ETH_P_8021Q:
case ETH_P_8021AD:
bpf_tail_call(skb, &jmp_table, PARSE_VLAN);
break;
case ETH_P_MPLS_UC:
case ETH_P_MPLS_MC:
bpf_tail_call(skb, &jmp_table, PARSE_MPLS);
break;
case ETH_P_IP:
bpf_tail_call(skb, &jmp_table, PARSE_IP);
break;
case ETH_P_IPV6:
bpf_tail_call(skb, &jmp_table, PARSE_IPV6);
break;
}
}

Map In Map

eBPF 提供了两种特殊的 Map 类型，BPF_MAP_TYPE_ARRAY_OF_MAPS 和 BPF_MAP_TYPE_HASH_OF_MAPS，实现了 map-in-map，也就是 eBPF Map 中每一个 entry 的 Value 也是一个 Map，如下所示：

BPF_MAP_TYPE_ARRAY_OF_MAPS 和 BPF_MAP_TYPE_HASH_OF_MAPS 的区别在于，outer map 是一个 Array 还是 HashTable。

Create

之前的常规 eBPF Map 是在 load time 创建的，对于 map-in-map，我们需要定义一个 outer map，inner map 是在 runtime 被用户创建并插入到 outer map。outer map 定义如下所示：

struct bpf_map_def SEC("maps") outer_map = {
    .type = BPF_MAP_TYPE_HASH_OF_MAPS,
    .key_size = sizeof(__u32),
    .value_size = sizeof(__u32), // Must be u32 becuase it is inner map id
    .max_entries = 1,
};

这里需要注意：

outer map 的 value_size 必须是 __u32，这正好是 inner map id 的大小

尽管你不需要在 BPF C 程序中定义 inner map，verifier 需要在 load time 知道 inner map 的定义。所以，在调用 bpf_object__load 前，你必须创建一个 dummy inner map 并且通过调用 bpf_map__set_inner_map_fd 设置它的 fd 到 outer map 。注意，verifier 要求 dummy inner map 的 fd 必须在 load 之后关闭。

const char* outer_map_name = "outer_map";
struct bpf_map* outer_map = bpf_object__find_map_by_name(obj, outer_map_name);
int inner_map_fd = bpf_create_map(
    BPF_MAP_TYPE_HASH,  // type
    sizeof(__u32),      // key_size
    sizeof(__u32),      // value_size
    8,                  // max_entries
    0);                 // flag
bpf_map__set_inner_map_fd(outer_map, inner_map_fd);
bpf_object__load(obj);
close(inner_map_fd); // Important

Insert

Insert Into Outer Map

插入到 outer map 步骤如下：

创建一个新的 inner map
将创建的 inner map 的 fd 作为 value 插入到 outer map
关闭 inner map fd

int inner_map_fd = bpf_create_map_name(
    BPF_MAP_TYPE_HASH,   // type
    "hechaol_inner_map", // name
    sizeof(__u32),       // key_size
    sizeof(__u32),       // value_size
    8,                   // max_entries
    0);                  // flag
__u32 outer_key = 42;
bpf_map_update_elem(outer_map_fd, &outer_key, &inner_map_fd, 0 /* flag */);
close(inner_map_fd); // Important!

注意：

outer map 的每一项 entry 的 value 是 the id of an inner map，但是调用 bpf_map_update_elem API 时给的参数是 the fd of the inner map
在插入之后你必须关闭 inner map fd 以避免内存泄漏。

Insert Into Inner Map

如前所述，outer map 的每一项 entry 的 value 是 the id of an inner map，而不是 the fd of the inner map。即使我们在调用 bpf_map_update_elem 传递的参数是 inner map fd，使用 bpf_map_lookup_elem 的时候我们的到的 value 是 inner map id，为了获得 inner map fd，可以调用 bpf_map_get_fd_by_id。拿到 inner map fd 之后，就可以像之前一样操作 inner map 了。

const __u32 outer_key = 42;
__u32 inner_map_id;
bpf_map_lookup_elem(outer_map_fd, &outer_key, &inner_map_id);
int inner_map_fd = bpf_map_get_fd_by_id(inner_map_id);
const __u32 inner_key = 12;
__u32 inner_value;
bpf_map_lookup_elem(inner_map_fd, &inner_key, &inner_value);
// ... Use inner_value;
close(inner_map_fd); // Important!

注意，每次调用 bpf_map_get_fd_by_id 都会返回一个新的 fd，你必须在使用之后关闭它以避免内存泄露。

Delete

对于 inner map 的删除和常规 Map 一样，可以调用 bpf_map_delete_elem：

1 2	const __u32 outer_key = 42; bpf_map_delete_elem(outer_map_fd, &outer_key);

Perf Event Array

有时候我们期望 eBPF 程序能够通知用户态程序数据准备好了，array、hash 类型的 eBPF map 不满足此类使用场景，这时候就轮到 BPF_MAP_TYPE_PERF_EVENT_ARRAY 了。与普通 hash、array 类型有些不同，它没有 bpf_map_lookup_elem() 方法，使用的是 bpf_perf_event_output() 向用户态传递数据。它的 value_size 只能是 sizeof(u32)，代表的是 perf_event 的文件描述符；max_entries 则是 perf_event 的文件描述符数量。

有关源码如下：

struct msg {
__s32 seq;
__u64 cts;
__u8 comm[MAX_LENGTH];
};

struct bpf_map_def SEC("maps") map = {
.type = BPF_MAP_TYPE_PERF_EVENT_ARRAY,
.key_size = sizeof(int),
.value_size = sizeof(__u32),
.max_entries = 0,
};

SEC("kprobe/vfs_read")
int hello(struct pt_regs *ctx) {
unsigned long cts = bpf_ktime_get_ns();
struct msg val = {0};
static __u32 seq = 0;

val.seq = seq = (seq + 1) % 4294967295U;
val.cts = bpf_ktime_get_ns();
bpf_get_current_comm(val.comm, sizeof(val.comm));

bpf_perf_event_output(ctx, &map, 0, &val, sizeof(val));

return 0;
}

Note:
这里的 seq 代表的是消息序列号
若用户态不向内核态传递消息，PERFEVENT_ARRAY map 中的 max_entries 没有意义。该 map 向用户态传递的数据暂存在 perf ring buffer 中，而由 max_entries 指定的 map 存储空间存放的是 perf_event 文件描述符，若用户态程序不向 map 传递 perf_event 的文件描述符，其值可以为 0。用户态程序使用 bpf(BPF_MAP_UPDATE_ELEM) 将由 sys_perf_event_open() 取得的文件描述符传递给 eBPF 程序，eBPF 程序再使用 `bpf_perf_event{read, readvalue}()` 得到该文件描述符。于此有关的用法见 linux kernel 下的 [sample/bpf/tracex6{user, kern.c}](https://github.com/torvalds/linux/blob/v5.10/samples/bpf/tracex6_kern.c)。

libbpf 提供了 PERF_EVENT_ARRAY map 在用户态开箱即用的 API，它使用了 epoll 进行封装，仅需调用 perf_buffer__new()、perf_buffer__poll() 即可使用：

static void print_bpf_output(void *ctx, int cpu, void *data, __u32 size) {
struct msg *msg = data;

fprintf(stdout, "%.4f: @seq=%d @comm=%s\n",
 (float)msg->cts/1000000000ul, msg->seq, msg->comm);
}

int main(int argc, char *argv[]) {
struct perf_buffer_opts pb_opts = {};
struct perf_buffer *pb;
...

pb_opts.sample_cb = print_bpf_output;
pb = perf_buffer__new(map_fd, 8, &pb_opts);

while (true) {
perf_buffer__poll(pb, 1000);
if (stop)
break;
}
...
}

实战入门

现在我们就可以借助 BPF Map 来实现在内核空间收集网络包信息，主要包括源地址和目标地址，在用户空间展示这些信息。代码主要分两个部分：

一个是运行在内核空间的程序，主要功能为创建出定制版BPF Map，收集目标信息并存储至BPF Map中。
另一个是运行在用户空间的程序，主要功能为读取上面内核空间创建出的BPF Map里的数据，并进行格式化展示，以演示BPF Map在两者之间进行数据传递。

请注意，该程序的编译运行是基于Linux内核代码中BPF示例环境，如果你还不熟悉，可以参考上一篇博客。

内核空间

下面首先介绍运行在内核空间的示例代码：

#define KBUILD_MODNAME "foo"
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include "bpf_helpers.h"
#include "bpf_endian.h"
#include "xdp_ip_tracker_common.h"

#define bpf_printk(fmt, ...)                       \
    ({                                             \
        char ____fmt[] = fmt;                      \
        bpf_trace_printk(____fmt, sizeof(____fmt), \
                         ##__VA_ARGS__);           \
    })

struct bpf_map_def SEC("maps") tracker_map = {
    .type = BPF_MAP_TYPE_HASH,
    .key_size = sizeof(struct pair),
    .value_size = sizeof(struct stats),
    .max_entries = 2048,
};

static __always_inline bool parse_and_track(bool is_rx, void *data_begin, void *data_end, struct pair *pair)
{
    struct ethhdr *eth = data_begin;

    if ((void *)(eth + 1) > data_end)
        return false;

    if (eth->h_proto == bpf_htons(ETH_P_IP))
    {
        struct iphdr *iph = (struct iphdr *)(eth + 1);
        if ((void *)(iph + 1) > data_end)
            return false;

        pair->src_ip = is_rx ? iph->daddr : iph->saddr;
        pair->dest_ip = is_rx ? iph->saddr : iph->daddr;

        // update the map for track
        struct stats *stats, newstats = {0, 0, 0, 0};
        long long bytes = data_end - data_begin;

        stats = bpf_map_lookup_elem(&tracker_map, pair);
        if (stats)
        {
            if (is_rx)
            {
                stats->rx_cnt++;
                stats->rx_bytes += bytes;
            }
            else
            {
                stats->tx_cnt++;
                stats->tx_bytes += bytes;
            }
        }
        else
        {
            if (is_rx)
            {
                newstats.rx_cnt = 1;
                newstats.rx_bytes = bytes;
            }
            else
            {
                newstats.tx_cnt = 1;
                newstats.tx_bytes = bytes;
            }
            bpf_map_update_elem(&tracker_map, pair, &newstats, BPF_NOEXIST);
        }
        return true;
    }
    return false;
}

SEC("xdp_ip_tracker")
int _xdp_ip_tracker(struct xdp_md *ctx)
{
    // the struct to store the ip address as the keys of bpf map
    struct pair pair;

    bpf_printk("starting xdp ip tracker...\n");

    void *data_end = (void *)(long)ctx->data_end;
    void *data = (void *)(long)ctx->data;
    // pass if the network packet is not ipv4
    if (!parse_and_track(true, data, data_end, &pair))
        return XDP_PASS;

    return XDP_DROP;
}

char _license[] SEC("license") = "GPL";

我们先来看运行在内核空间的BPF程序代码重点内容：

通过SEC("maps")声明并创建了一个名为tracker_map 的BPF Map，它的类型是BPF_MAP_TYPE_HASH，它的 key 和 value 都是自定义的struct，定义在了xdp_ip_tracker_common.h头文件中，具体如下所示：

函数parse_and_track是对网络包进行分析和过滤，把源地址和目的地址联合起来作为BPF Map的key，把当前网络包的大小以 byte 单位记录下来，并联合网络包计数器作为BPF Map的value。对于连续的网络包，如果生成的key已经存在，就把value累加，否则就新增一对key-value存入BPF Map中。其中通过bpf_map_lookup_elem()函数来查找元素，bpf_map_update_elem()函数来新增元素。

用户空间

接下来是运行在用户空间的示例代码：

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include "bpf_load.h"
#include 
#include "bpf_util.h"
#include "xdp_ip_tracker_common.h"

static int ifindex = 6; // target network interface to attach, you can find it via `ip a`
static __u32 xdp_flags = 0;

// unlink the xdp program and exit
static void int_exit(int sig)
{
    printf("stopping\n");
    set_link_xdp_fd(ifindex, -1, xdp_flags);
    exit(0);
}

// An XDP program which track packets with IP address
// Usage: ./xdp_ip_tracker
int main(int argc, char **argv)
{
    char *filename = "xdp_ip_tracker_kern.o";
    // change limits
    struct rlimit r = {RLIM_INFINITY, RLIM_INFINITY};
    if (setrlimit(RLIMIT_MEMLOCK, &r))
    {
        perror("setrlimit(RLIMIT_MEMLOCK, RLIM_INFINITY)");
        return 1;
    }

    // load the kernel bpf object file
    if (load_bpf_file(filename))
    {
        printf("error - bpf_log_buf: %s", bpf_log_buf);
        return 1;
    }

    // confirm the bpf prog fd is available
    if (!prog_fd[0])
    {
        printf("load_bpf_file: %s\n", strerror(errno));
        return 1;
    }

    // add signal handlers
    signal(SIGINT, int_exit);
    signal(SIGTERM, int_exit);

    // link the xdp program to the network interface
    if (set_link_xdp_fd(ifindex, prog_fd[0], xdp_flags) < 0)
    {
        printf("link set xdp fd failed\n");
        return 1;
    }

    int result;
    struct pair next_key, lookup_key = {0, 0};
    struct stats value = {};
    while (1)
    {
        sleep(2);
        // retrieve the bpf map of statistics
        while (bpf_map_get_next_key(map_fd[0], &lookup_key, &next_key) != -1)
        {
            //printf("The local ip of next key in the map is: '%d'\n", next_key.src_ip);
            //printf("The remote ip of next key in the map is: '%d'\n", next_key.dest_ip);
            struct in_addr local = {next_key.src_ip};
            struct in_addr remote = {next_key.dest_ip};
            printf("The local ip of next key in the map is: '%s'\n", inet_ntoa(local));
            printf("The remote ip of next key in the map is: '%s'\n", inet_ntoa(remote));
            
            // get the value via the key
            // TODO: change to assert
            // assert(bpf_map_lookup_elem(map_fd[0], &next_key, &value) == 0)
            result = bpf_map_lookup_elem(map_fd[0], &next_key, &value);
            if (result == 0)
            {
                // print the value
                printf("rx_cnt value read from the map: '%llu'\n", value.rx_cnt);
                printf("rx_bytes value read from the map: '%llu'\n", value.rx_bytes);
            }
            else
            {
                printf("Failed to read value from the map: %d (%s)\n", result, strerror(errno));
            }
            lookup_key = next_key;
            printf("\n\n");
        }
        printf("start a new loop...\n");
        // reset the lookup key for a fresh start
        lookup_key.src_ip = 0;
        lookup_key.dest_ip = 0;
    }

    printf("end\n");
    // unlink the xdp program
    set_link_xdp_fd(ifindex, -1, xdp_flags);
    return 0;
}

用户空间的代码跟一般看到的C程序的结构是一样的，都是有main函数作为入口。基本流程是，通过load_bpf_file()函数（本质就是用BPF_PROG_LOAD命令进行系统调用）加载对应内核空间的BPF程序编译出来的.o文件，这种通过编程加载BPF程序的方式，和我们之前通过命令行工具的方式相比，更具灵活性，适合实际场景中的产品分发。
加载完BPF程序之后，使用set_link_xdp_fd()函数 attach 到目标hook上，看函数名就知道了，这是XDP network hook。它接受的两个主要的参数是：
- ifindex，这个是目标网卡的序号（可以通过ip a查看），我这里填写的是6，它是对应了一个docker容器的veth虚拟网络设备；
- prog_fd[0]，这个是BPF程序加载到内存后生成的文件描述符fd。
有两个神奇的变量 prog_fd 和 map_fd 得说明下：
- 它们都是定义在bpf_load.c的全局变量；
- prog_fd是一个数组，在加载内核空间BPF程序时，一旦fd生成后，就添加到这个数组中去；
- map_fd也是一个数组，在运行上文提到的load_maps()函数时，一旦完成创建BPF Map系统调用生成fd后，同样会添加到这个数组中去。因此在bpf sample文件夹下的程序可以直接使用这两个变量，作为对于BPF程序和BPF Map的引用。
从代码 71 行开始是一个无限循环，里面是每2秒获取一下目标BPF Map的数据。获取的逻辑是通过bpf_map_get_next_key(map_fd[0], &lookup_key, &next_key)函数，map_fd[0]是你的目标BPF Map； lookup_key是需要查找的BPF Map目标key，这个参数是要主动传入的，而next_key是这个目标key相邻的下一个key，这个参数是被动赋值的。如果你想从头开始遍历BPF Map，就可以通过传入一个一定不存在的key作为lookup_key，然后next_key会被自动赋值为BPF Map中第一个key，key知道了，对应的value也就可以被读取了，直到bpf_map_get_next_key()返回为-1，即next_key没有可以被赋值的了，遍历也就完成了，这个函数工作起来是不是像一个iterator。
通过上面两层循环，不停遍历BPF Map并打印里面的内容，一旦有新的网络包进来，也能及时获取到相关信息。

还有一段非常陌生的代码，如下所示：

struct rlimit r = {RLIM_INFINITY, RLIM_INFINITY};
if (setrlimit(RLIMIT_MEMLOCK, &r))
{
   perror("setrlimit(RLIMIT_MEMLOCK, RLIM_INFINITY)");
   return 1;
}

这里有一个struct叫rlimit，全称是resource limit，顾名思义，它是控制应用进程能使用资源的限额。
常量RLIM_INFINITY看起来就是无限的意思，因此第一行代码就是定义了一个没有上限的资源配额。
第二行代码使用了函数setrlimit()，传入的第一个参数是一个资源规格名称——RLIMIT_MEMLOCK，即内存；第二个参数是刚才定义的无限资源配额，可以猜出这行代码的意思就是为内存资源配置了无限配额，即没有内存上限。
为什么要把内存限制放开呢？因为操作系统在不同的CPU架构，对于应用进程能使用的内存限制是不统一的，而不同的BPF程序需要使用到的内存资源也是可变的，比如你的BPF Map申请了很大的max_entries，那么这个BPF程序一定会使用不少的内存。因此为了成功运行BPF程序，就把对于内存的限制放开成无限了。

匿名 inode

在Unix/Linux的世界，一切皆是文件，BPF Map也不例外。从上文看到我们是可以通过文件描述符fd来访问BPF Map内的数据，因此BPF Map创建是遵循Linux文件创建的过程。实现BPF_MAP_CREATE系统调用命令的函数是map_create()，即创建BPF Map的核心函数：

static int map_create(union bpf_attr *attr)
{
  int numa_node = bpf_map_attr_numa_node(attr);
  struct bpf_map *map;
  int f_flags;
  int err;

  err = CHECK_ATTR(BPF_MAP_CREATE);
  if (err)
    return -EINVAL;

  f_flags = bpf_get_file_flag(attr->map_flags);
  if (f_flags < 0)
    return f_flags;

  if (numa_node != NUMA_NO_NODE &&
      ((unsigned int)numa_node >= nr_node_ids ||
       !node_online(numa_node)))
    return -EINVAL;

  /* find map type and init map: hashtable vs rbtree vs bloom vs ... */
  map = find_and_alloc_map(attr);
  if (IS_ERR(map))
    return PTR_ERR(map);

  err = bpf_obj_name_cpy(map->name, attr->map_name);
  if (err)
    goto free_map_nouncharge;

  atomic_set(&map->refcnt, 1);
  atomic_set(&map->usercnt, 1);

  err = security_bpf_map_alloc(map);
  if (err)
    goto free_map_nouncharge;

  err = bpf_map_charge_memlock(map);
  if (err)
    goto free_map_sec;

  err = bpf_map_alloc_id(map);
  if (err)
    goto free_map;

  // assign a fd for bpf map
  err = bpf_map_new_fd(map, f_flags);
  if (err < 0) {
    /* failed to allocate fd.
     * bpf_map_put() is needed because the above
     * bpf_map_alloc_id() has published the map
     * to the userspace and the userspace may
     * have refcnt-ed it through BPF_MAP_GET_FD_BY_ID.
     */
    bpf_map_put(map);
    return err;
  }

  trace_bpf_map_create(map, err);
  return err;

free_map:
  bpf_map_uncharge_memlock(map);
free_map_sec:
  security_bpf_map_free(map);
free_map_nouncharge:
  map->ops->map_free(map);
  return err;
}

其中bpf_map_new_fd()函数就是用来为BPF Map分配fd的，下面是其函数主体：

// https://elixir.bootlin.com/linux/v4.15/source/kernel/bpf/syscall.c#L327
int bpf_map_new_fd(struct bpf_map *map, int flags)
{
  int ret;

  ret = security_bpf_map(map, OPEN_FMODE(flags));
  if (ret < 0)
    return ret;
/**
 * anon_inode_getfd - creates a new file instance by hooking it up to an
 *                    anonymous inode, and a dentry that describe the "class"
 *                    of the file
 *
 * @name:    [in]    name of the "class" of the new file
 * @fops:    [in]    file operations for the new file
 * @priv:    [in]    private data for the new file (will be file's private_data)
 * @flags:   [in]    flags
 *
 * Creates a new file by hooking it on a single inode. This is useful for files
 * that do not need to have a full-fledged inode in order to operate correctly.
 * All the files created with anon_inode_getfd() will share a single inode,
 * hence saving memory and avoiding code duplication for the file/inode/dentry
 * setup.  Returns new descriptor or an error code.
 */
  return anon_inode_getfd("bpf-map", &bpf_map_fops, map,
        flags | O_CLOEXEC);
}

要说的是anon_inode_getfd()这个函数，它不是一般的分配 fd 的方式，是一种特殊的匿名方式，它的inode没有被绑定到磁盘上的某个文件，而是仅仅在内存里。一旦fd关闭后，对应的内存空间就会被释放，相关数据，即我们的 BPF Map也就被删除了。它的comment doc写得非常好，详细大家可以自行了解。

也可以通过lsof和cat /proc/[pid]/fd命令看到BPF Map作为 anon_inode 的效果（其实普通的BPF程序也是这个type）：

BPF Map 调试

如果想看当前操作系统上面是否有正在使用BPF Map，可以使用BPF社区大力推荐的命令行工具——BPFtool，它是专门用来查看BPF程序和BPF Map的命令行工具，并且可以对它们做一些简单操作。BPFtool源码被维护在Linux内核代码里，因此一般都是通过make命令自行编译出可执行文件，操作起来并不麻烦，如下所示：

cd linux-source-code/tools
make -C  bpf/bpftool/
cd bpf/bpftool/
# the output is a binary named as `bpftool`
./bpftool [prog|map]

需要注意的是，不同内核版本下的BPFtool代码有所差异，其功能也不一样，一般来说高版本内核下的BPFtool功能更多，也是向下兼容的。我使用的就是在5.6.6内核版本下编译出来的BPFtool，并且在内核版本是4.15.0操作系统上运行顺畅。

接下来给大家简单演示如何使用bpftool查看BPF Map信息，主要用两个命令进行查看：

# command #1, list all the bpf map in the current node
# you can find map id, map type, map name, key type, value type, the number of max entry and memory allocation in the output
> bpftool map 
29: hash  name tracker_map  flags 0x0
  key 8B  value 32B  max_entries 2048  memlock 217088B


# command #2, show the bpf map details including keys and value in hex-format
# the map id can be found in the output of command #1
# you can also find the element number
> bpftool map dump id [map id]
key:
c0 a8 3a 01 ac 11 00 02
value:
00 00 00 00 00 00 00 00  0a 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00  e4 02 00 00 00 00 00 00
key:
ac 11 00 01 ac 11 00 02
value:
00 00 00 00 00 00 00 00  07 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00  06 02 00 00 00 00 00 00
Found 2 elements

参考资料

Introduction to eBPF

2021-03-27T06:25:03.000Z

eBPF 源于 BPF，本质上是处于内核中的一个高效与灵活的虚类虚拟机组件，以一种安全的方式在许多内核 hook 点执行字节码。BPF 最初的目的是用于高效网络报文过滤，经过重新设计，eBPF 不再局限于网络协议栈，已经成为内核顶级的子系统，演进为一个通用执行引擎。开发者可基于 eBPF 开发性能分析工具、软件定义网络、安全等诸多场景。本文将介绍 eBPF 的前世今生，并构建一个 eBPF 环境进行开发实践，文中所有的代码可以在我的 Github 中找到。

技术背景

发展历史

BPF，是类 Unix 系统上数据链路层的一种原始接口，提供原始链路层封包的收发。1992 年，Steven McCanne 和 Van Jacobson 写了一篇名为 The BSD Packet Filter: A New Architecture for User-level Packet Capture 的论文。在文中，作者描述了他们如何在 Unix 内核实现网络数据包过滤，这种新的技术比当时最先进的数据包过滤技术快 20 倍。

BPF 在数据包过滤上引入了两大革新：

一个新的虚拟机 (VM) 设计，可以有效地工作在基于寄存器结构的 CPU 之上
应用程序使用缓存只复制与过滤数据包相关的数据，不会复制数据包的所有信息，这样可以最大程度地减少BPF 处理的数据

由于这些巨大的改进，所有的 Unix 系统都选择采用 BPF 作为网络数据包过滤技术，直到今天，许多 Unix 内核的派生系统中（包括 Linux 内核）仍使用该实现。tcpdump 的底层采用 BPF 作为底层包过滤技术，我们可以在命令后面增加 -d 来查看 tcpdump 过滤条件的底层汇编指令。

$ tcpdump -d 'ip and tcp port 8080'
(000) ldh      [12]
(001) jeq      #0x800           jt 2jf 12
(002) ldb      [23]
(003) jeq      #0x6             jt 4jf 12
(004) ldh      [20]
(005) jset     #0x1fff          jt 12jf 6
(006) ldxb     4*([14]&0xf)
(007) ldh      [x + 14]
(008) jeq      #0x1f90          jt 11jf 9
(009) ldh      [x + 16]
(010) jeq      #0x1f90          jt 11jf 12
(011) ret      #262144
(012) ret      #0

2014 年初，Alexei Starovoitov 实现了 eBPF（extended Berkeley Packet Filter）。经过重新设计，eBPF 演进为一个通用执行引擎，可基于此开发性能分析工具、软件定义网络等诸多场景。eBPF 最早出现在 3.18 内核中，此后原来的 BPF 就被称为经典 BPF，缩写 cBPF（classic BPF），cBPF 现在已经基本废弃。现在，Linux 内核只运行 eBPF，内核会将加载的 cBPF 字节码透明地转换成 eBPF 再执行。

eBPF 与 cBPF

eBPF 新的设计针对现代硬件进行了优化，所以 eBPF 生成的指令集比旧的 BPF 解释器生成的机器码执行得更快。扩展版本也增加了虚拟机中的寄存器数量，将原有的 2 个 32 位寄存器增加到 10 个 64 位寄存器。由于寄存器数量和宽度的增加，开发人员可以使用函数参数自由交换更多的信息，编写更复杂的程序。总之，这些改进使 eBPF 版本的速度比原来的 BPF 提高了 4 倍。

维度	cBPF	eBPF
内核版本	Linux 2.1.75（1997年）	Linux 3.18（2014年）[4.x for kprobe/uprobe/tracepoint/perf-event]
寄存器数目	2个：A, X	10个： R0–R9, 另外 R10 是一个只读的帧指针 - R0 eBPF 中内核函数的返回值和退出值 - R1 - R5 eBF 程序在内核中的参数值 - R6 - R9 内核函数将保存的被调用者callee保存的寄存器 - R10 一个只读的堆栈帧指针
寄存器宽度	32位	64位
存储	16 个内存位: M[0–15]	512 字节堆栈，无限制大小的 `map` 存储
限制的内核调用	非常有限，仅限于 JIT 特定	有限，通过 bpf_call 指令调用
目标事件	数据包、 seccomp-BPF	数据包、内核函数、用户函数、跟踪点 PMCs 等

2014 年 6 月，eBPF 扩展到用户空间，这也成为了 BPF 技术的转折点。正如 Alexei 在提交补丁的注释中写到：「这个补丁展示了 eBPF 的潜力」。当前，eBPF 不再局限于网络栈，已经成为内核顶级的子系统。

eBPF 与内核模块

对比 Web 的发展，eBPF 与内核的关系有点类似于 JavaScript 与浏览器内核的关系，eBPF 相比于直接修改内核和编写内核模块提供了一种新的内核可编程的选项。eBPF 程序架构强调安全性和稳定性，看上去更像内核模块，但与内核模块不同，eBPF 程序不需要重新编译内核，并且可以确保 eBPF 程序运行完成，而不会造成系统的崩溃。

维度	Linux 内核模块	eBPF
kprobes/tracepoints	支持	支持
安全性	可能引入安全漏洞或导致内核 Panic	通过验证器进行检查，可以保障内核安全
内核函数	可以调用内核函数	只能通过 BPF Helper 函数调用
编译性	需要编译内核	不需要编译内核，引入头文件即可
运行	基于相同内核运行	基于稳定 ABI 的 BPF 程序可以编译一次，各处运行
与应用程序交互	打印日志或文件	通过 perf_event 或 map 结构
数据结构丰富性	一般	丰富
入门门槛	高	低
升级	需要卸载和加载，可能导致处理流程中断	原子替换升级，不会造成处理流程中断
内核内置	视情况而定	内核内置支持

eBPF 架构

eBPF 分为用户空间程序和内核程序两部分：

用户空间程序负责加载 BPF 字节码至内核，如需要也会负责读取内核回传的统计信息或者事件详情
内核中的 BPF 字节码负责在内核中执行特定事件，如需要也会将执行的结果通过 maps 或者 perf-event 事件发送至用户空间
其中用户空间程序与内核 BPF 字节码程序可以使用 map 结构实现双向通信，这为内核中运行的 BPF 字节码程序提供了更加灵活的控制

eBPF 整体结构图如下：

用户空间程序与内核中的 BPF 字节码交互的流程主要如下：

使用 LLVM 或者 GCC 工具将编写的 BPF 代码程序编译成 BPF 字节码
使用加载程序 Loader 将字节码加载至内核
内核使用验证器（Verfier）组件保证执行字节码的安全性，以避免对内核造成灾难，在确认字节码安全后将其加载对应的内核模块执行
内核中运行的 BPF 字节码程序可以使用两种方式将数据回传至用户空间
- maps 方式可用于将内核中实现的统计摘要信息（比如测量延迟、堆栈信息）等回传至用户空间；
- perf-event 用于将内核采集的事件实时发送至用户空间，用户空间程序实时读取分析；

eBPF 限制

eBPF 技术虽然强大，但是为了保证内核的处理安全和及时响应，内核中的 eBPF 技术也给予了诸多限制，当然随着技术的发展和演进，限制也在逐步放宽或者提供了对应的解决方案。

eBPF 程序不能调用任意的内核参数，只限于内核模块中列出的 BPF Helper 函数，函数支持列表也随着内核的演进在不断增加。
eBPF 程序不允许包含无法到达的指令，防止加载无效代码，延迟程序的终止。
eBPF 程序中循环次数限制且必须在有限时间内结束，这主要是用来防止在 kprobes 中插入任意的循环，导致锁住整个系统；解决办法包括展开循环，并为需要循环的常见用途添加辅助函数。Linux 5.3 在 BPF 中包含了对有界循环的支持，它有一个可验证的运行时间上限。
eBPF 堆栈大小被限制在 MAX_BPF_STACK，截止到内核 Linux 5.8 版本，被设置为 512；参见 include/linux/filter.h，这个限制特别是在栈上存储多个字符串缓冲区时：一个char[256]缓冲区会消耗这个栈的一半。目前没有计划增加这个限制，解决方法是改用 bpf 映射存储，它实际上是无限的。
1
2
/* BPF program can access up to 512 bytes of stack space. */
#define MAX_BPF_STACK512
eBPF 字节码大小最初被限制为 4096 条指令，截止到内核 Linux 5.8 版本，当前已将放宽至 100 万指令（ BPF_COMPLEXITY_LIMIT_INSNS），参见：include/linux/bpf.h，对于无权限的BPF程序，仍然保留4096条限制 ( BPF_MAXINSNS )；新版本的 eBPF 也支持了多个 eBPF 程序级联调用，虽然传递信息存在某些限制，但是可以通过组合实现更加强大的功能。
1
#define BPF_COMPLEXITY_LIMIT_INSNS 1000000 /* yes. 1M insns */

eBPF 实战

在深入介绍 eBPF 特性之前，让我们 Get Hands Dirty，切切实实的感受 eBPF 程序到底是什么，我们该如何开发 eBPF 程序。随着 eBPF 生态的演进，现在已经有越来越多的工具链用于开发 eBPF 程序，在后文也会详细介绍：

基于 bcc 开发：bcc 提供了对 eBPF 开发，前段提供 Python API，后端 eBPF 程序通过 C 实现。特点是简单易用，但是性能较差。
基于 libebpf-bootstrap 开发：libebpf-bootstrap 提供了一个方便的脚手架
基于内核源码开发：内核源码开发门槛较高，但是也更加切合 eBPF 底层原理，所以这里以这个方法作为示例

内核源码编译

系统环境如下，采用腾讯云 CVM，Ubuntu 20.04，内核版本 5.4.0

1 2	$ uname -a Linux VM-1-3-ubuntu 5.4.0-42-generic #46-Ubuntu SMP Fri Jul 10 00:24:02 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

首先安装必要依赖：

1
2
3

sudo apt install -y bison build-essential cmake flex git libedit-dev pkg-config libmnl-dev \
   python zlib1g-dev libssl-dev libelf-dev libcap-dev libfl-dev llvm clang pkg-config \
   gcc-multilib luajit libluajit-5.1-dev libncurses5-dev libclang-dev clang-tools

一般情况下推荐采用 apt 方式的安装源码，安装简单而且只安装当前内核的源码，源码的大小在 200M 左右。

1
2
3

# apt-cache search linux-source

# apt install linux-source-5.4.0

源码安装至 /usr/src/ 目录下。

$ ls -hl
total 4.0K
drwxr-xr-x 4 root root 4.0K Nov  9 13:22 linux-source-5.4.0
lrwxrwxrwx 1 root root   45 Oct 15 10:28 linux-source-5.4.0.tar.bz2 -> linux-source-5.4.0/linux-source-5.4.0.tar.bz2
$ tar -jxvf linux-source-5.4.0.tar.bz2
$ cd linux-source-5.4.0

$ cp -v /boot/config-$(uname -r) .config # make defconfig 或者 make menuconfig
$ make headers_install
$ make modules_prepare
$ make scripts     # 可选
$ make M=samples/bpf  # 如果配置出错，可以使用 make oldconfig && make prepare 修复

编译成功后，可以在 samples/bpf 目录下看到一系列的目标文件和二进制文件。

Hello World

前面说到 eBPF 通常由内核空间程序和用户空间程序两部分组成，现在 samples/bpf 目录下有很多这种程序，内核空间程序以 _kern.c 结尾，用户空间程序以 _user.c 结尾。先不看这些复杂的程序，我们手动写一个 eBPF 程序的 Hello World。

内核中的程序 hello_kern.c：

hello_kern.c

#include 
#include "bpf_helpers.h"

#define SEC(NAME) __attribute__((section(NAME), used))

SEC("tracepoint/syscalls/sys_enter_execve")
int bpf_prog(void *ctx)
{
    char msg[] = "Hello BPF from houmin!\n";
    bpf_trace_printk(msg, sizeof(msg));
    return 0;
}

char _license[] SEC("license") = "GPL";

函数入口

上述代码和普通的C语言编程有一些区别。

程序的入口通过编译器的 pragama __section("tracepoint/syscalls/sys_enter_execve") 指定的。
入口的参数不再是 argc, argv, 它根据不同的 prog type 而有所差别。我们的例子中，prog type 是 BPF_PROG_TYPE_TRACEPOINT，它的入口参数就是 void *ctx。

头文件

`#include`

这个头文件的来源是kernel source header file 。它安装在 /usr/include/linux/bpf.h中。

它提供了bpf 编程需要的很多symbol。例如

enum bpf_func_id 定义了所有的kerne helper function 的id
enum bpf_prog_type 定义了内核支持的所有的prog 的类型。
struct __sk_buff 是bpf 代码中访问内核struct sk_buff的接口。

等等

#include “bpf_helpers.h”

来自libbpf ，需要自行安装。我们引用这个头文件是因为调用了bpf_printk()。这是一个kernel helper function。

程序解释

这里我们简单解读下内核态的 ebpf 程序，非常简单：

bpf_trace_printk 是一个 eBPF helper 函数，用于打印信息到 trace_pipe (/sys/kernel/debug/tracing/trace_pipe)，详见这里
代码声明了 SEC 宏，并且定义了 GPL 的 License，这是因为加载进内核的 eBPF 程序需要有 License 检查，类似于内核模块

加载 BPF 代码

用户态程序 hello_user.c

hello_user.c

#include 
#include "bpf_load.h"

int main(int argc, char **argv)
{
    if(load_bpf_file("hello_kern.o") != 0)
    {
        printf("The kernel didn't load BPF program\n");
        return -1;
    }

    read_trace_pipe();
    return 0;
}

在用户态 ebpf 程序中，解读如下：

通过 load_bpf_file 将编译出的内核态 ebpf 目标文件加载到内核
通过 read_trace_pipe 从 trace_pipe 读取 trace 信息，打印到控制台中

修改 samples/bpf 目录下的 Makefile 文件，在对应的位置添加以下三行：

1
2
3

hostprogs-y += hello
hello-objs := bpf_load.o hello_user.o
always += hello_kern.o

重新编译，可以看到编译成功的文件

$ make M=samples/bpf
$ ls -hl samples/bpf/hello*
-rwxrwxr-x 1 ubuntu ubuntu 404K Mar 30 17:48 samples/bpf/hello
-rw-rw-r-- 1 ubuntu ubuntu  317 Mar 30 17:47 samples/bpf/hello_kern.c
-rw-rw-r-- 1 ubuntu ubuntu 3.8K Mar 30 17:48 samples/bpf/hello_kern.o
-rw-rw-r-- 1 ubuntu ubuntu  246 Mar 30 17:47 samples/bpf/hello_user.c
-rw-rw-r-- 1 ubuntu ubuntu 2.2K Mar 30 17:48 samples/bpf/hello_user.o

进入到对应的目录运行 hello 程序，可以看到输出结果如下：

$ sudo ./hello
           <...>-102735 [001] ....  6733.481740: 0: Hello BPF from houmin!

           <...>-102736 [000] ....  6733.482884: 0: Hello BPF from houmin!

           <...>-102737 [002] ....  6733.483074: 0: Hello BPF from houmin!

代码解读

前面提到 load_bpf_file 函数将 LLVM 编译出来的 eBPF 字节码加载进内核，这到底是如何实现的呢？

经过搜查，可以看到 load_bpf_file 也是在 samples/bpf 目录下实现的，具体的参见 bpf_load.c
阅读 load_bpf_file 代码可以看到，它主要是解析 ELF 格式的 eBPF 字节码，然后调用 load_and_attach 函数
在 load_and_attach 函数中，我们可以看到其调用了 bpf_load_program 函数，这是 libbpf 提供的函数。
调用的 bpf_load_program 中的 license、kern_version 等参数来自于解析 eBPF ELF 文件，prog_type 来自于 bpf 代码里面 SEC 字段指定的类型。

static int load_and_attach(const char *event, struct bpf_insn *prog, int size)
{
  bool is_socket = strncmp(event, "socket", 6) == 0;
bool is_kprobe = strncmp(event, "kprobe/", 7) == 0;
bool is_kretprobe = strncmp(event, "kretprobe/", 10) == 0;
bool is_tracepoint = strncmp(event, "tracepoint/", 11) == 0;
bool is_raw_tracepoint = strncmp(event, "raw_tracepoint/", 15) == 0;
bool is_xdp = strncmp(event, "xdp", 3) == 0;
bool is_perf_event = strncmp(event, "perf_event", 10) == 0;
bool is_cgroup_skb = strncmp(event, "cgroup/skb", 10) == 0;
bool is_cgroup_sk = strncmp(event, "cgroup/sock", 11) == 0;
bool is_sockops = strncmp(event, "sockops", 7) == 0;
bool is_sk_skb = strncmp(event, "sk_skb", 6) == 0;
bool is_sk_msg = strncmp(event, "sk_msg", 6) == 0;
  
  //...
  
fd = bpf_load_program(prog_type, prog, insns_cnt, license, kern_version,
      bpf_log_buf, BPF_LOG_BUF_SIZE);
if (fd < 0) {
printf("bpf_load_program() err=%d\n%s", errno, bpf_log_buf);
return -1;
}
  //...
}

eBPF 特性

Hook Overview

eBPF 程序都是事件驱动的，它们会在内核或者应用程序经过某个确定的 Hook 点的时候运行，这些 Hook 点都是提前定义的，包括系统调用、函数进入/退出、内核 tracepoints、网络事件等。

如果针对某个特定需求的 Hook 点不存在，可以通过 kprobe 或者 uprobe 来在内核或者用户程序的几乎所有地方挂载 eBPF 程序。

Verification

With great power there must also come great responsibility.

每一个 eBPF 程序加载到内核都要经过 Verification，用来保证 eBPF 程序的安全性，主要包括：

要保证加载 eBPF 程序的进程有必要的特权级，除非节点开启了 unpriviledged 特性，只有特权级的程序才能够加载 eBPF 程序
- 内核提供了一个配置项 /proc/sys/kernel/unprivileged_bpf_disabled 来禁止非特权用户使用 bpf(2) 系统调用，可以通过 sysctl 命令修改
- 比较特殊的一点是，这个配置项特意设计为一次性开关（one-time kill switch），这意味着一旦将它设为 1，就没有办法再改为 0 了，除非重启内核
- 一旦设置为 1 之后，只有初始命名空间中有 CAP_SYS_ADMIN 特权的进程才可以调用 bpf(2) 系统调用。 Cilium 启动后也会将这个配置项设为 1：
  1
  $ echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled
要保证 eBPF 程序不会崩溃或者使得系统出故障
要保证 eBPF 程序不能陷入死循环，能够 runs to completion
要保证 eBPF 程序必须满足系统要求的大小，过大的 eBPF 程序不允许被加载进内核
要保证 eBPF 程序的复杂度有限，Verifier 将会评估 eBPF 程序所有可能的执行路径，必须能够在有限时间内完成 eBPF 程序复杂度分析

JIT Compilation

Just-In-Time(JIT) 编译用来将通用的 eBPF 字节码翻译成与机器相关的指令集，从而极大加速 BPF 程序的执行：

与解释器相比，它们可以降低每个指令的开销。通常，指令可以 1:1 映射到底层架构的原生指令
这也会减少生成的可执行镜像的大小，因此对 CPU 的指令缓存更友好
特别地，对于 CISC 指令集（例如 x86），JIT 做了很多特殊优化，目的是为给定的指令产生可能的最短操作码，以降低程序翻译过程所需的空间

64 位的 x86_64、arm64、ppc64、s390x、mips64、sparc64 和 32 位的 arm 、x86_32 架构都内置了 in-kernel eBPF JIT 编译器，它们的功能都是一样的，可以用如下方式打开：

1	$ echo 1 > /proc/sys/net/core/bpf_jit_enable

32 位的 mips、ppc 和 sparc 架构目前内置的是一个 cBPF JIT 编译器。这些只有 cBPF JIT 编译器的架构，以及那些甚至完全没有 BPF JIT 编译器的架构，需要通过内核中的解释器（in-kernel interpreter）执行 eBPF 程序。

要判断哪些平台支持 eBPF JIT，可以在内核源文件中 grep HAVE_EBPF_JIT：

$ git grep HAVE_EBPF_JIT arch/
arch/arm/Kconfig:       select HAVE_EBPF_JIT   if !CPU_ENDIAN_BE32
arch/arm64/Kconfig:     select HAVE_EBPF_JIT
arch/powerpc/Kconfig:   select HAVE_EBPF_JIT   if PPC64
arch/mips/Kconfig:      select HAVE_EBPF_JIT   if (64BIT && !CPU_MICROMIPS)
arch/s390/Kconfig:      select HAVE_EBPF_JIT   if PACK_STACK && HAVE_MARCH_Z196_FEATURES
arch/sparc/Kconfig:     select HAVE_EBPF_JIT   if SPARC64
arch/x86/Kconfig:       select HAVE_EBPF_JIT   if X86_64

Maps

BPF Map 是驻留在内核空间中的高效 Key/Value store，包含多种类型的 Map，由内核实现其功能，具体实现可以参考我的这篇博文。

BPF Map 的交互场景有以下几种：

BPF 程序和用户态程序的交互：BPF 程序运行完，得到的结果存储到 map 中，供用户态程序通过文件描述符访问
BPF 程序和内核态程序的交互：和 BPF 程序以外的内核程序交互，也可以使用 map 作为中介
BPF 程序间交互：如果 BPF 程序内部需要用全局变量来交互，但是由于安全原因 BPF 程序不允许访问全局变量，可以使用 map 来充当全局变量
BPF Tail call：Tail call 是一个BPF程序跳转到另一BPF程序，BPF程序首先通过 BPF_MAP_TYPE_PROG_ARRAY 类型的 map 来知道另一个BPF程序的指针，然后调用 tail_call() 的 helper function 来执行Tail call

共享 map 的 BPF 程序不要求是相同的程序类型，例如 tracing 程序可以和网络程序共享 map，单个 BPF 程序目前最多可直接访问 64 个不同 map。

当前可用的 通用 map 有：

BPF_MAP_TYPE_HASH
BPF_MAP_TYPE_ARRAY
BPF_MAP_TYPE_PERCPU_HASH
BPF_MAP_TYPE_PERCPU_ARRAY
BPF_MAP_TYPE_LRU_HASH
BPF_MAP_TYPE_LRU_PERCPU_HASH
BPF_MAP_TYPE_LPM_TRIE

以上 map 都使用相同的一组 BPF 辅助函数来执行查找、更新或删除操作，但各自实现了不同的后端，这些后端各有不同的语义和性能特点。随着多CPU架构的成熟发展，BPF Map也引入了 per-cpu 类型，如BPF_MAP_TYPE_PERCPU_HASH、BPF_MAP_TYPE_PERCPU_ARRAY等，当你使用这种类型的BPF Map时，每个CPU都会存储并看到它自己的Map数据，从属于不同CPU之间的数据是互相隔离的，这样做的好处是，在进行查找和聚合操作时更加高效，性能更好，尤其是你的BPF程序主要是在做收集时间序列型数据，如流量数据或指标等。

当前内核中的 非通用 map 有：

BPF_MAP_TYPE_PROG_ARRAY：一个数组 map，用于 hold 其他的 BPF 程序
BPF_MAP_TYPE_PERF_EVENT_ARRAY
BPF_MAP_TYPE_CGROUP_ARRAY：用于检查skb中的cgroup2成员信息
BPF_MAP_TYPE_STACK_TRACE：用于存储栈跟踪的MAP
BPF_MAP_TYPE_ARRAY_OF_MAPS：持有（hold）其他 map 的指针，这样整个 map 就可以在运行时实现原子替换
BPF_MAP_TYPE_HASH_OF_MAPS：持有（hold）其他 map 的指针，这样整个 map 就可以在运行时实现原子替换

Helper Calls

eBPF 程序不能够随意调用内核函数，如果这么做的话会导致 eBPF 程序与特定的内核版本绑定，相反它内核定义的一系列 Helper functions。 Helper functions 使得 BPF 能够通过一组内核定义的稳定的函数调用来从内核中查询数据，或者将数据推送到内核。所有的 BPF 辅助函数都是核心内核的一部分，无法通过内核模块来扩展或添加。当前可用的 BPF 辅助函数已经有几十个，并且数量还在不断增加，你可以在 Linux Manual Page: bpf-helpers 看到当前 Linux 支持的 Helper functions。

不同类型的 BPF 程序能够使用的辅助函数可能是不同的，例如:

与 attach 到 tc 层的 BPF 程序相比，attach 到 socket 的 BPF程序只能够调用前者可以调用的辅助函数的一个子集
lightweight tunneling 使用的封装和解封装辅助函数，只能被更低的 tc 层使用；而推送通知到用户态所使用的事件输出辅助函数，既可以被 tc 程序使用也可以被 XDP 程序使用

所有的辅助函数都共享同一个通用的、和系统调用类似的函数方法，其定义如下：

1	u64 fn(u64 r1, u64 r2, u64 r3, u64 r4, u64 r5)

内核将辅助函数抽象成 BPF_CALL_0() 到 BPF_CALL_5() 几个宏，形式和相应类型的系统调用类似，这里宏的定义可以参见 include/linux/filter.h 。以 bpf_map_update_elem 为例，可以看到它通过调用相应 map 的回调函数完成更新 map 元素的操作：

/kernel/bpf/helpers.c

BPF_CALL_4(bpf_map_update_elem, struct bpf_map *, map, void *, key,
           void *, value, u64, flags)
{
    WARN_ON_ONCE(!rcu_read_lock_held());
    return map->ops->map_update_elem(map, key, value, flags);
}

const struct bpf_func_proto bpf_map_update_elem_proto = {
    .func           = bpf_map_update_elem,
    .gpl_only       = false,
    .ret_type       = RET_INTEGER,
    .arg1_type      = ARG_CONST_MAP_PTR,
    .arg2_type      = ARG_PTR_TO_MAP_KEY,
    .arg3_type      = ARG_PTR_TO_MAP_VALUE,
    .arg4_type      = ARG_ANYTHING,
};

这种方式有很多优点：

虽然 cBPF 允许其加载指令（load instructions）进行超出范围的访问（overload），以便从一个看似不可能的包偏移量（packet offset）获取数据以唤醒多功能辅助函数，但每个 cBPF JIT 仍然需要为这个 cBPF 扩展实现对应的支持。而在 eBPF 中，JIT 编译器会以一种透明和高效的方式编译新加入的辅助函数，这意味着 JIT 编译器只需要发射（emit）一条调用指令（call instruction），因为寄存器映射的方式使得 BPF 排列参数的方式（assignments）已经和底层架构的调用约定相匹配了。这使得基于辅助函数扩展核心内核（core kernel）非常方便。所有的 BPF 辅助函数都是核心内核的一部分，无法通过内核模块（kernel module）来扩展或添加。
前面提到的函数签名还允许校验器执行类型检测（type check）。上面的 struct bpf_func_proto 用于存放校验器必需知道的所有关于该辅助函数的信息，这样校验器可以确保辅助函数期望的类型和 BPF 程序寄存器中的当前内容是匹配的。
参数类型范围很广，从任意类型的值，到限制只能为特定类型，例如 BPF 栈缓冲区（stack buffer）的 pointer/size 参数对，辅助函数可以从这个位置读取数据或向其写入数据。对于这种情况，校验器还可以执行额外的检查，例如，缓冲区是否已经初始化过了。

Tail Calls

尾调用的机制是指：一个 BPF 程序可以调用另一个 BPF 程序，并且调用完成后不用返回到原来的程序。

和普通函数调用相比，这种调用方式开销最小，因为它是用长跳转（long jump）实现的，复用了原来的栈帧 （stack frame）
BPF 程序都是独立验证的，因此要传递状态，要么使用 per-CPU map 作为 scratch 缓冲区，要么如果是 tc 程序的话，还可以使用 skb 的某些字段（例如 cb[]）
相同类型的程序才可以尾调用，而且它们还要与 JIT 编译器相匹配，因此要么是 JIT 编译执行，要么是解释器执行（invoke interpreted programs），但不能同时使用两种方式

BPF to BPF Calls

除了 BPF 辅助函数和 BPF 尾调用之外，BPF 核心基础设施最近刚加入了一个新特性：BPF to BPF calls。在这个特性引入内核之前，典型的 BPF C 程序必须将所有需要复用的代码进行特殊处理，例如，在头文件中声明为 always_inline。当 LLVM 编译和生成 BPF 对象文件时，所有这些函数将被内联，因此会在生成的对象文件中重复多次，导致代码尺寸膨胀：

#include 

#ifndef __section
# define __section(NAME)                  \
   __attribute__((section(NAME), used))
#endif

#ifndef __inline
# define __inline                         \
   inline __attribute__((always_inline))
#endif

static __inline int foo(void)
{
    return XDP_DROP;
}

__section("prog")
int xdp_drop(struct xdp_md *ctx)
{
    return foo();
}

char __license[] __section("license") = "GPL";

之所以要这样做是因为 BPF 程序的加载器、校验器、解释器和 JIT 中都缺少对函数调用的支持。从 Linux 4.16 和 LLVM 6.0 开始，这个限制得到了解决，BPF 程序不再需要到处使用 always_inline 声明了。因此，上面的代码可以更自然地重写为：

#include 

#ifndef __section
# define __section(NAME)                  \
   __attribute__((section(NAME), used))
#endif

static int foo(void)
{
    return XDP_DROP;
}

__section("prog")
int xdp_drop(struct xdp_md *ctx)
{
    return foo();
}

char __license[] __section("license") = "GPL";

BPF 到 BPF 调用是一个重要的性能优化，极大减小了生成的 BPF 代码大小，因此 对 CPU 指令缓存（instruction cache，i-cache）更友好。

BPF 辅助函数的调用约定也适用于 BPF 函数间调用：

r1 - r5 用于传递参数，返回结果放到 r0
r1 - r5 是 scratch registers，r6 - r9 像往常一样是保留寄存器
最大嵌套调用深度是 8
调用方可以传递指针（例如，指向调用方的栈帧的指针）给被调用方，但反过来不行

当前，BPF 函数间调用和 BPF 尾调用是不兼容的，因为后者需要复用当前的栈设置（ stack setup），而前者会增加一个额外的栈帧，因此不符合尾调用期望的布局。

BPF JIT 编译器为每个函数体发射独立的镜像（emit separate images for each function body），稍后在最后一通 JIT 处理（final JIT pass）中再修改镜像中函数调用的地址。已经证明，这种方式需要对各种 JIT 做最少的修改，因为在实现中它们可以将 BPF 函数间调用当做常规的 BPF 辅助函数调用。

Object Pinning

BPF map 和程序作为内核资源只能通过文件描述符访问，其背后是内核中的匿名 inode。这带来了很多优点：

用户空间应用程序能够使用大部分文件描述符相关的 API
传递给 Unix socket 的文件描述符是透明工作等等

但同时，文件描述符受限于进程的生命周期，使得 map 共享之类的操作非常笨重，这给某些特定的场景带来了很多复杂性。

例如 iproute2，其中的 tc 或 XDP 在准备环境、加载程序到内核之后最终会退出。在这种情况下，从用户空间也无法访问这些 map 了，而本来这些 map 其实是很有用的。例如，在 data path 的 ingress 和 egress 位置共享的 map（可以统计包数、字节数、PPS 等信息）。另外，第三方应用可能希望在 BPF 程序运行时监控或更新 map。

为了解决这个问题，内核实现了一个最小内核空间 BPF 文件系统，BPF map 和 BPF 程序都可以 pin 到这个文件系统内，这个过程称为 object pinning。BPF 相关的文件系统不是单例模式（singleton），它支持多挂载实例、硬链接、软连接等等。

相应的，BPF 系统调用扩展了两个新命令，如下图所示：

BPF_OBJ_PIN：钉住一个对象
BPF_OBJ_GET：获取一个被钉住的对象

Hardening

Protection Execution Protection

为了避免代码被损坏，BPF 会在程序的生命周期内，在内核中将 BPF 解释器解释后的整个镜像（struct bpf_prog）和 JIT 编译之后的镜像（struct bpf_binary_header）锁定为只读的。在这些位置发生的任何数据损坏（例如由于某些内核 bug 导致的）会触发通用的保护机制，因此会造成内核崩溃而不是允许损坏静默地发生。

查看哪些平台支持将镜像内存（image memory）设置为只读的，可以通过下面的搜索：

$ git grep ARCH_HAS_SET_MEMORY | grep select
arch/arm/Kconfig:    select ARCH_HAS_SET_MEMORY
arch/arm64/Kconfig:  select ARCH_HAS_SET_MEMORY
arch/s390/Kconfig:   select ARCH_HAS_SET_MEMORY
arch/x86/Kconfig:    select ARCH_HAS_SET_MEMORY

CONFIG_ARCH_HAS_SET_MEMORY 选项是不可配置的，因此平台要么内置支持，要么不支持，那些目前还不支持的架构未来可能也会支持。

Mitigation Against Spectre

为了防御 Spectre v2) 攻击，Linux 内核提供了 CONFIG_BPF_JIT_ALWAYS_ON 选项，打开这个开关后 BPF 解释器将会从内核中完全移除，永远启用 JIT 编译器：

如果应用在一个基于虚拟机的环境，客户机内核将不会复用内核的 BPF 解释器，因此可以避免某些相关的攻击
如果是基于容器的环境，这个配置是可选的，如果 JIT 功能打开了，解释器仍然可能会在编译时被去掉，以降低内核的复杂度
对于主流架构（例如 x86_64 和 arm64）上的 JIT 通常都建议打开这个开关

将 /proc/sys/net/core/bpf_jit_harden 设置为 1 会为非特权用户的 JIT 编译做一些额外的加固工作。这些额外加固会稍微降低程序的性能，但在有非受信用户在系统上进行操作的情况下，能够有效地减小潜在的受攻击面。但与完全切换到解释器相比，这些性能损失还是比较小的。对于 x86_64 JIT 编译器，如果设置了 CONFIG_RETPOLINE，尾调用的间接跳转（ indirect jump）就会用 retpoline 实现。写作本文时，在大部分现代 Linux 发行版上这个配置都是打开的。

Constant Blinding

当前，启用加固会在 JIT 编译时盲化（blind）BPF 程序中用户提供的所有 32 位和 64 位常量，以防御 JIT spraying攻击，这些攻击会将原生操作码作为立即数注入到内核。这种攻击有效是因为：立即数驻留在可执行内核内存（executable kernel memory）中，因此某些内核 bug 可能会触发一个跳转动作，如果跳转到立即数的开始位置，就会把它们当做原生指令开始执行。

盲化 JIT 常量通过对真实指令进行随机化（randomizing the actual instruction）实现。在这种方式中，通过对指令进行重写，将原来基于立即数的操作转换成基于寄存器的操作。指令重写将加载值的过程分解为两部分：

加载一个盲化后的（blinded）立即数 rnd ^ imm 到寄存器
将寄存器和 rnd 进行异或操作（xor）

这样原始的 imm 立即数就驻留在寄存器中，可以用于真实的操作了。这里介绍的只是加载操作的盲化过程，实际上所有的通用操作都被盲化了。下面是加固关闭的情况下，某个程序的 JIT 编译结果：

$ echo 0 > /proc/sys/net/core/bpf_jit_harden

  ffffffffa034f5e9 + :
  [...]
  39:   mov    $0xa8909090,%eax
  3e:   mov    $0xa8909090,%eax
  43:   mov    $0xa8ff3148,%eax
  48:   mov    $0xa89081b4,%eax
  4d:   mov    $0xa8900bb0,%eax
  52:   mov    $0xa810e0c1,%eax
  57:   mov    $0xa8908eb4,%eax
  5c:   mov    $0xa89020b0,%eax
  [...]

加固打开之后，以上程序被某个非特权用户通过 BPF 加载的结果（这里已经进行了常量盲化）：

$ echo 1 > /proc/sys/net/core/bpf_jit_harden

  ffffffffa034f1e5 + :
  [...]
  39:   mov    $0xe1192563,%r10d
  3f:   xor    $0x4989b5f3,%r10d
  46:   mov    %r10d,%eax
  49:   mov    $0xb8296d93,%r10d
  4f:   xor    $0x10b9fd03,%r10d
  56:   mov    %r10d,%eax
  59:   mov    $0x8c381146,%r10d
  5f:   xor    $0x24c7200e,%r10d
  66:   mov    %r10d,%eax
  69:   mov    $0xeb2a830e,%r10d
  6f:   xor    $0x43ba02ba,%r10d
  76:   mov    %r10d,%eax
  79:   mov    $0xd9730af,%r10d
  7f:   xor    $0xa5073b1f,%r10d
  86:   mov    %r10d,%eax
  89:   mov    $0x9a45662b,%r10d
  8f:   xor    $0x325586ea,%r10d
  96:   mov    %r10d,%eax
  [...]

两个程序在语义上是一样的，但在第二种方式中，原来的立即数在反汇编之后的程序中不再可见。同时，加固还会禁止任何 JIT 内核符合（kallsyms）暴露给特权用户，JIT 镜像地址不再出现在 /proc/kallsyms 中。

Offloads

BPF 网络程序，尤其是 tc 和 XDP BPF 程序在内核中都有一个 offload 到硬件的接口，这样就可以直接在网卡上执行 BPF 程序。

当前，Netronome 公司的 nfp 驱动支持通过 JIT 编译器 offload BPF，它会将 BPF 指令翻译成网卡实现的指令集。另外，它还支持将 BPF maps offload 到网卡，因此 offloaded BPF 程序可以执行 map 查找、更新和删除操作。

eBPF 接口

BPF 系统调用

eBPF 提供了 bpf() 系统调用来对 BPF Map 或程序进行操作，其函数原型如下：

1 2	#include int bpf(int cmd, union bpf_attr *attr, unsigned int size);

函数有三个参数，其中：

cmd 指定了 bpf 系统调用执行的命令类型，每个 cmd 都会附带一个参数 attr
bpf_attr union 允许在内核和用户空间之间传递数据，确切的格式取决于 cmd 这个参数
size 这个参数表示bpf_attr union 这个对象以字节为单位的大小

cmd 可以为一下几种类型，基本上可以分为操作 eBPF Map 和操作 eBPF 程序两种类型：

BPF_MAP_CREATE：创建一个 eBPF Map 并且返回指向该 Map 的文件描述符
BPF_MAP_LOOKUP_ELEM：在某个 Map 中根据 key 查找元素并返回其 value
BPF_MAP_UPDATE_ELEM：在某个 Map 中创建或者更新一个元素 key/value 对
BPF_MAP_DELETE_ELEM：在某个 Map 中根据 key 删除一个元素
BPF_MAP_GET_NEXT_KEY：在某个 Map 中根据 key 查找元素然后返回下一个元素的 key
BPF_PROG_LOAD：校验并加载 eBPF 程序，返回与该程序关联的文件描述符
…

bpf_attr union 的结构如下所示，根据不同的 cmd 可以填充不同的信息。

union bpf_attr {
  struct {    /* Used by BPF_MAP_CREATE */
    __u32         map_type;
    __u32         key_size;    /* size of key in bytes */
    __u32         value_size;  /* size of value in bytes */
    __u32         max_entries; /* maximum number of entries in a map */
  };

  struct {    /* Used by BPF_MAP_*_ELEM and BPF_MAP_GET_NEXT_KEY commands */
    __u32         map_fd;
    __aligned_u64 key;
    union {
      __aligned_u64 value;
      __aligned_u64 next_key;
    };
    __u64         flags;
  };

  struct {    /* Used by BPF_PROG_LOAD */
    __u32         prog_type;
    __u32         insn_cnt;
    __aligned_u64 insns;      /* 'const struct bpf_insn *' */
    __aligned_u64 license;    /* 'const char *' */
    __u32         log_level;  /* verbosity level of verifier */
    __u32         log_size;   /* size of user buffer */
    __aligned_u64 log_buf;    /* user supplied 'char *' buffer */
    __u32         kern_version; /* checked when prog_type=kprobe (since Linux 4.1) */
  };
} __attribute__((aligned(8)));

使用 eBPF 程序的命令

BPF_PROG_LOAD 命令用于校验和加载 eBPF 程序，其需要填充的参数 bpf_xattr，下面展示了在 libbpf 中 bpf_load_program 的实现，可以看到最终是调用了 bpf 系统调用。

/tools/lib/bpf/bpf.c

int bpf_load_program(enum bpf_prog_type type, const struct bpf_insn *insns,
     size_t insns_cnt, const char *license,
     __u32 kern_version, char *log_buf,
     size_t log_buf_sz)
{
struct bpf_load_program_attr load_attr;

memset(&load_attr, 0, sizeof(struct bpf_load_program_attr));
load_attr.prog_type = type;
load_attr.expected_attach_type = 0;
load_attr.name = NULL;
load_attr.insns = insns;
load_attr.insns_cnt = insns_cnt;
load_attr.license = license;
load_attr.kern_version = kern_version;

return bpf_load_program_xattr(&load_attr, log_buf, log_buf_sz);
}

int bpf_load_program_xattr(const struct bpf_load_program_attr *load_attr,
   char *log_buf, size_t log_buf_sz)
{
  // ...
  fd = sys_bpf_prog_load(&attr, sizeof(attr));
if (fd >= 0)
return fd;
  // ...
}

static inline int sys_bpf_prog_load(union bpf_attr *attr, unsigned int size)
{
int fd;

do {
fd = sys_bpf(BPF_PROG_LOAD, attr, size);
} while (fd < 0 && errno == EAGAIN);

return fd;
}

使用 eBPF Map 的命令

和前面一样，查看 libbpf 中 bpf_create_map 的实现，可以看到最终也调用了 bpf 系统调用：

/tools/lib/bpf/bpf.c

int bpf_create_map(enum bpf_map_type map_type, int key_size,
   int value_size, int max_entries, __u32 map_flags)
{
struct bpf_create_map_attr map_attr = {};

map_attr.map_type = map_type;
map_attr.map_flags = map_flags;
map_attr.key_size = key_size;
map_attr.value_size = value_size;
map_attr.max_entries = max_entries;

return bpf_create_map_xattr(&map_attr);
}

int bpf_create_map_xattr(const struct bpf_create_map_attr *create_attr)
{
union bpf_attr attr;

memset(&attr, '\0', sizeof(attr));

attr.map_type = create_attr->map_type;
attr.key_size = create_attr->key_size;
attr.value_size = create_attr->value_size;
attr.max_entries = create_attr->max_entries;
attr.map_flags = create_attr->map_flags;
if (create_attr->name)
memcpy(attr.map_name, create_attr->name,
       min(strlen(create_attr->name), BPF_OBJ_NAME_LEN - 1));
attr.numa_node = create_attr->numa_node;
attr.btf_fd = create_attr->btf_fd;
attr.btf_key_type_id = create_attr->btf_key_type_id;
attr.btf_value_type_id = create_attr->btf_value_type_id;
attr.map_ifindex = create_attr->map_ifindex;
attr.inner_map_fd = create_attr->inner_map_fd;

return sys_bpf(BPF_MAP_CREATE, &attr, sizeof(attr));
}

libbpf 中 bpf_map_lookup_elem 的实现：

/tools/lib/bpf/bpf.c

int bpf_map_lookup_elem(int fd, const void *key, void *value)
{
union bpf_attr attr;

memset(&attr, 0, sizeof(attr));
attr.map_fd = fd;
attr.key = ptr_to_u64(key);
attr.value = ptr_to_u64(value);

return sys_bpf(BPF_MAP_LOOKUP_ELEM, &attr, sizeof(attr));
}

libbpf 中 bpf_map_update_elem 的实现：

/tools/lib/bpf/bpf.c

int bpf_map_update_elem(int fd, const void *key, const void *value,
__u64 flags)
{
union bpf_attr attr;

memset(&attr, 0, sizeof(attr));
attr.map_fd = fd;
attr.key = ptr_to_u64(key);
attr.value = ptr_to_u64(value);
attr.flags = flags;

return sys_bpf(BPF_MAP_UPDATE_ELEM, &attr, sizeof(attr));
}

libbpf 中 bpf_map_delete_elem 的实现：

/tools/lib/bpf/bpf.c

int bpf_map_delete_elem(int fd, const void *key)
{
union bpf_attr attr;

memset(&attr, 0, sizeof(attr));
attr.map_fd = fd;
attr.key = ptr_to_u64(key);

return sys_bpf(BPF_MAP_DELETE_ELEM, &attr, sizeof(attr));
}

libbpf 中 bpf_map_get_next_key 的实现：

/tools/lib/bpf/bpf.c

int bpf_map_get_next_key(int fd, const void *key, void *next_key)
{
union bpf_attr attr;

memset(&attr, 0, sizeof(attr));
attr.map_fd = fd;
attr.key = ptr_to_u64(key);
attr.next_key = ptr_to_u64(next_key);

return sys_bpf(BPF_MAP_GET_NEXT_KEY, &attr, sizeof(attr));
}

注意，这里的 libbpf 函数和之前提到的 helper functions 还不太一样，你可以在 Linux Manual Page: bpf-helpers 看到当前 Linux 支持的 Helper functions。以 bpf_map_update_elem 为例，eBPF 程序通过调用 helper function，其参数如下：

struct msg {
__s32 seq;
__u64 cts;
__u8 comm[MAX_LENGTH];
};

struct bpf_map_def SEC("maps") map = {
.type = BPF_MAP_TYPE_PERF_EVENT_ARRAY,
.key_size = sizeof(int),
.value_size = sizeof(__u32),
.max_entries = 0,
};

void *bpf_map_lookup_elem(struct bpf_map *map, const void *key)

这里的第一个参数来自于 SEC(".maps") 语法糖创建的 bpf_map。

对于用户态程序，则其函数原型如下，其中通过 fd 来访问 eBPF map。

1	int bpf_map_lookup_elem(int fd, const void key, void value)

BPF 程序类型

函数BPF_PROG_LOAD加载的程序类型规定了四件事：

程序可以附加在哪里
验证器允许调用内核中的哪些帮助函数
网络包的数据是否可以直接访问
作为第一个参数传递给程序的对象类型

实际上，程序类型本质上定义了一个API。甚至还创建了新的程序类型，以区分允许调用的不同的函数列表（比如BPF_PROG_TYPE_CGROUP_SKB 对比 BPF_PROG_TYPE_SOCKET_FILTER）。

bpf 程序会被hook到内核不同的hook点上。不同的hook点的入口参数，能力有所不同。因而定义了不同的 prog type。不同的prog type 的bpf程序能够调用的kernel function 集合也不一样。当bpf 程序加载到内核时，内核的verifier程序会根据bpf prog type，检查程序的入口参数，调用了哪些 helper function。

目前内核支持的eBPF程序类型列表如下所示：

BPF_PROG_TYPE_SOCKET_FILTER：一种网络数据包过滤器
BPF_PROG_TYPE_KPROBE：确定kprobe是否应该触发
BPF_PROG_TYPE_SCHED_CLS：一种网络流量控制分类器
BPF_PROG_TYPE_SCHED_ACT：一种网络流量控制动作
BPF_PROG_TYPE_TRACEPOINT：确定 tracepoint是否应该触发
BPF_PROG_TYPE_XDP：从设备驱动程序接收路径运行的网络数据包过滤器
BPF_PROG_TYPE_PERF_EVENT：确定是否应该触发perf事件处理程序
BPF_PROG_TYPE_CGROUP_SKB：一种用于控制组的网络数据包过滤器
BPF_PROG_TYPE_CGROUP_SOCK：一种由于控制组的网络包筛选器，它被允许修改套接字选项
BPF_PROG_TYPE_LWT_*：用于轻量级隧道的网络数据包过滤器
BPF_PROG_TYPE_SOCK_OPS：一个用于设置套接字参数的程序
BPF_PROG_TYPE_SK_SKB：一个用于套接字之间转发数据包的网络包过滤器
BPF_PROG_CGROUP_DEVICE：确定是否允许设备操作

随着新程序类型的添加，内核开发人员同时发现也需要添加新的数据结构。

举个例子BPF_PROG_TYPE_SCHED_CLS bpf prog ，能够访问哪些bpf helper function呢？让我们来看看源代码是如何实现的。

每一种prog type 会定义一个 struct bpf_verifier_ops 结构体。当 prog load 到内核时，内核会根据它的 type，调用相应结构体的get_func_proto 函数。

const struct bpf_verifier_ops tc_cls_act_verifier_ops = {
        .get_func_proto         = tc_cls_act_func_proto,
.convert_ctx_access     = tc_cls_act_convert_ctx_access,
};

对于 BPF_PROG_TYPE_SCHED_CLS 类型的 BPF 代码，verifier 会调用 tc_cls_act_func_proto ，以检查程序调用的helper function 是否都是合法的。

BPF 代码调用时机

每一种 prog type 的调用时机都不同。

BPF_PROG_TYPE_SCHED_CLS

BPF_PROG_TYPE_SCHED_CLS 的调用过程如下。

Egress 方向

egress 方向上，tcp/ip 协议栈运行之后，有一个hook点。这个hook点可以attach BPF_PROG_TYPE_SCHED_CLS type 的 egress 方向的bpf prog。在这段bpf 代码执行之后，才会运行qos，tcpdump, xmit 到网卡driver的代码。在这段 bpf 代码中你可以修改报文里面的内容，地址等。修改之后，通过 tcpdump可以看到，因为tcpdump代码在此之后才执行。

static int __dev_queue_xmit(struct sk_buff *skb, struct net_device *sb_dev)

{
skb = sch_handle_egress(skb, &rc, dev);
// enqueue tc qos
// dequeue tc qos
// dev_hard_start_xmit
// tcpdump works here! dev_queue_xmit_nit
// nic driver->ndo_start_xmit 
}

Ingress 方向

ingress 方向上，在 deliver to tcp/ip 协议栈之前，在 tcpdump 之后，有一个hook点。这个hook点可以attach BPF_PROG_TYPE_SCHED_CLS type 的ingress 方向的bpf prog。在这里你也可以修改报文。但是修改之后的结果在tcpdump中是看不到的。

static int __netif_receive_skb_core(struct sk_buff **pskb, bool pfmemalloc,
                                    struct packet_type **ppt_prev)
{
// generic xdp bpf hook
// tcpdump 
// tc ingress hook
skb = sch_handle_ingress(skb, &pt_prev, &ret, orig_dev, &another);
// deliver to tcp/ip stack or bridge/ipvlan device
}

执行入口 cls_bpf_classify

无论 egress还是ingress 方向，真正执行bpf 指令的入口都是 cls_bpf_classify。它遍历 tcf_proto中的bpf prog link list，对每一个bpf prog 执行BPF_PROG_RUN(prog->filter, skb)

static int cls_bpf_classify(struct sk_buff *skb, const struct tcf_proto *tp,
                            struct tcf_result *res)
{
struct cls_bpf_head *head = rcu_dereference_bh(tp->root);
struct cls_bpf_prog *prog;

list_for_each_entry_rcu(prog, &head->plist, link) {
                int filter_res;
if (tc_skip_sw(prog->gen_flags)) {
                        filter_res = prog->exts_integrated ? TC_ACT_UNSPEC : 0;
                } else if (at_ingress) {
                        /* It is safe to push/pull even if skb_shared() */
                        __skb_push(skb, skb->mac_len);
                        bpf_compute_data_pointers(skb);
                        filter_res = BPF_PROG_RUN(prog->filter, skb);
                        __skb_pull(skb, skb->mac_len);
                } else {
                        bpf_compute_data_pointers(skb);
                        filter_res = BPF_PROG_RUN(prog->filter, skb);
                }
}

BPF_PROG_RUN 会执行 JIT compile 的bpf 指令，如果内核不支持JIT，则会调用解释器执行bpf的byte code。

BPF_PROG_RUN 传给bpf prog的入口参数是skb，其类型是 struct sk_buff, 定义在文件include/linux/skbuff.h中。

但是在bpf 代码中，为了安全，不能直接访问 sk_buff。bpf中是通过访问 struct __sk_buff 来访问struct sk_buff的。__sk_buff 是 sk_buff 的一个子集，是sk_buff面向bpf 程序的接口。bpf代码中对 __sk_buff 的访问会在verifier程序中翻译成对sk_buff相应fileds的访问。

在加载bpf prog的时候，verifier会调用上面 tc_cls_act_verifier_ops 结构体里面的tc_cls_act_convert_ctx_access的钩子。它最终会调用下面的函数修改ebpf的指令，使得对 __sk_buff 的访问变成对 struct sk_buff 的访问。

BPF Attach type

一种 type 的bpf prog 可以挂到内核中不同的hook点，这些不同的hook点就是不同的attach type。

其对应关系在下面函数中定义了。

attach_type_to_prog_type(enum bpf_attach_type attach_type)
{
        switch (attach_type) {
        case BPF_CGROUP_INET_INGRESS:
        case BPF_CGROUP_INET_EGRESS:
                return BPF_PROG_TYPE_CGROUP_SKB;
        case BPF_CGROUP_INET_SOCK_CREATE:
        case BPF_CGROUP_INET_SOCK_RELEASE:
        case BPF_CGROUP_INET4_POST_BIND:
        case BPF_CGROUP_INET6_POST_BIND:
                return BPF_PROG_TYPE_CGROUP_SOCK;
  .....
}

当bpf prog 通过系统调用bpf() attach到具体的hook点时，其入口参数中就需要指定attach type。

有趣的是，BPF_PROG_TYPE_SCHED_CLS 类型的 bpf prog 不能通过bpf系统调用来attach，因为它没有定义对应的 attach type。故它的 attach 需要通过netlink interface 额外的实现，还是非常复杂的。

常用 prog type 介绍

内核中的 prog type 目前有30种。每一种type 能做的事情有所差异，这里只讲讲我平时工作用过的几种。

理解一种prog type的最好的方法是

查表 attach_type_to_prog_type，得到它的 attach type，
再搜索内核代码，看这些 attach type 在内核哪里被调用了。
最后看看它的入口参数和 return value 的处理过程，基本就能理解其作用了。

include/uapi/linux/bpf.h

enum bpf_prog_type {
}

BPF_PROG_TYPE_SOCKET_FILTER

是第一个被添加到内核的程序类型。当你attach一个bpf程序到socket上，你可以获取到被socket处理的所有数据包。socket过滤不允许你修改这些数据包以及这些数据包的目的地。仅仅是提供给你观察这些数据包。在你的程序中可以获取到诸如protocol type类型等。

以 tcp 为 example，调用的地点是 tcp_v4_rcv->tcp_filter->sk_filter_trim_cap 作用是过滤报文，或者trim报文。udp, icmp中也有相关的调用。

BPF_PROG_TYPE_SOCK_OPS

在 tcp 协议 event 发生时调用的bpf 钩子，定义了15种event。这些event的 attach type 都是BPF_CGROUP_SOCK_OPS。不同的调用点会传入不同的enum, 比如：

BPF_SOCK_OPS_TCP_CONNECT_CB 是主动 tcp connect call 的；
BPF_SOCK_OPS_ACTIVE_ESTABLISHED_CB是被动connect 成功时调用的。

主要作用：tcp 调优，event 统计等。

BPF_PROG_TYPE_SOCK_OPS 这种程序类型，允许你当数据包在内核网络协议栈的各个阶段传输的时候，去修改套接字的链接选项。他们attach到cgroups上，和BPF_PROG_TYPE_CGROUP_SOCK以及BPF_PROG_TYPE_CGROUP_SKB很像，但是不同的是，他们可以在整个连接的生命周期内被调用好多次。你的bpf程序会接受到一个op的参数，该参数代表内核将通过套接字链接执行的操作。因此，你知道在链接的生命周期内何时调用该程序。另一方面，你可以获取ip地址，端口等。你还可以修改链接的链接的选项以设置超时并更改数据包的往返延迟时间。

举个例子，Facebook 使用它来为同一数据中心内的连接设置短恢复时间目标（RTO）。RTO是一种时间，它指的是网络在出现故障后的恢复时间，这个指标也表示网络在受到不可接受到情况下的，不能被使用的时间。Facebook认为，在同一数据中心中，应该有一个很短的RTO,Facebook修改了这个时间，使用bpf程序。

BPF_PROG_TYPE_CGROUP_SOCK_ADDR

它对应很多attach type，一般在bind, connect 时调用, 传入 sock 的地址。

主要作用：例如 cilium中 clusterip 的实现，在主动 connect 时，修改了目的ip地址，就是利用这个。

BPF_PROG_TYPE_CGROUP_SOCK_ADDR，这种类型的程序使您可以在由特定cgroup控制的用户空间程序中操纵IP地址和端口号。在某些情况下，当您要确保一组特定的用户空间程序使用相同的IP地址和端口时，系统将使用多个IP地址.当您将这些用户空间程序放在同一cgroup中时，这些BPF程序使您可以灵活地操作这些绑定。这样可以确保这些应用程序的所有传入和传出连接均使用BPF程序提供的IP和端口。

BPF_PROG_TYPE_SK_MSG

BPF_PROG_TYPE_SK_MSG， These types of programs let you control whether a message sent to a socket should be delivered.当内核创建了一个socket，它会被存储在前面提到的map中。当你attach一个程序到这个socket map的时候，所有的被发送到那些socket的message都会被filter。在filter message之前，内核拷贝了这些data，因此你可以读取这些message，而且可以给出你的决定：例如，SK_PASS和SK_DROP。

BPF_PROG_TYPE_SK_SKB

调用点：tcp sendmsg 时会调用。

主要作用：做sock redir 用的。

BPF_PROG_TYPE_SK_SKB，这类程序可以让你获取socket maps和socket redirects。socket maps可以让你获得一些socket的引用。当你有了这些引用，你可以使用相关的helpers，去重定向一个incoming 的packet ，从一个socket去另外一个scoket.这在使用BPF来做负载均衡时是非常有用的。你可以在socket之间转发网络数据包，而不需要离开内核空间。Cillium和facebook的Katran 广泛的使用这种类型的程序去做流量控制。

BPF_PROG_TYPE_CGROUP_SOCKOPT

调用点：getsockopt, setsockopt

BPF_PROG_TYPE_KPROBE

类似 ftrace 的kprobe，在函数出入口的 hook 点，debug 用的。

BPF_PROG_TYPE_TRACEPOINT

类似 ftrace 的 tracepoint。

BPF_PROG_TYPE_SCHED_CLS

如上面的例子

BPF_PROG_TYPE_XDP

网卡驱动收到packet时，尚未生成 sk_buff 数据结构之前的一个hook点。

BPF_PROG_TYPE_XDP 允许你的 bpf 程序，在网络数据包到达 kernel 很早的时候。在这样的bpf程序中，你仅仅可能获取到一点点的信息，因为kernel还没有足够的时间去处理。因为时间足够的早，所以你可以在网络很高的层面上去处理这些 packet。

XDP定义了很多的处理方式，例如

XDP_PASS 就意味着，你会把packet交给内核的另一个子系统去处理
XDP_DROP就意味着，内核应该丢弃这个数据包
XDP_TX意味着，你可以把这个包转发到network interface card(NIC)第一次接收到这个包的时候

BPF_PROG_TYPE_CGROUP_SKB

BPF_PROG_TYPE_CGROUP_SKB 允许你过滤整个cgroup的网络流量。在这种程序类型中，你可以在网络流量到达这个 cgoup 中的程序前做一些控制。内核试图传递给同一 cgroup 中任何进程的任何数据包都将通过这些过滤器之一。同时，您可以决定 cgroup 中的进程通过该接口发送网络数据包时该怎么做。其实，你可以发现它和 BPF_PROG_TYPE_SOCKET_FILTER 的类型很类似。最大的不同是cgroup_skb是attach到这个cgroup中的所有进程，而不是特殊的进程。在container的环境中，bpf是非常有用的。

ingress 方向上，tcp 收到报文时（tcp_v4_rcv），会调用这个bpf做过滤。
egress方向上，ip 在出报文时（ip_finish_output）会调用它做丢包过滤输入参数是skb。

BPF_PROG_TYPE_CGROUP_SOCK

在sock create, release, post_bind 时调用的。主要用来做一些权限检查的。

BPF_PROG_TYPE_CGROUP_SOCK，这种类型的 bpf 程序允许你，在一个cgroup中的任何进程打开一个 socket 的时候，去执行你的Bpf程序。这个行为和 CGROUP_SKB 的行为类似，但是它是提供给你 cgoup 中的进程打开一个新的 socket 的时候的情况，而不是给你网络数据包通过的权限控制。这对于为可以打开套接字的程序组提供安全性和访问控制很有用，而不必分别限制每个进程的功能。

eBPF 工具链

bcc

BCC 是 BPF 的编译工具集合，前端提供 Python/Lua API，本身通过 C/C++ 语言实现，集成 LLVM/Clang 对 BPF 程序进行重写、编译和加载等功能，提供一些更人性化的函数给用户使用。

虽然 BCC 竭尽全力地简化 BPF 程序开发人员的工作，但其“黑魔法” （使用 Clang 前端修改了用户编写的 BPF 程序）使得出现问题时，很难找到问题的所在以及解决方法。必须记住命名约定和自动生成的跟踪点结构。且由于 libbcc 库内部集成了庞大的 LLVM/Clang 库，使其在使用过程中会遇到一些问题：

在每个工具启动时，都会占用较高的 CPU 和内存资源来编译 BPF 程序，在系统资源已经短缺的服务器上运行可能引起问题；
依赖于内核头文件包，必须将其安装在每个目标主机上。即便如此，如果需要内核中未 export 的内容，则需要手动将类型定义复制/粘贴到 BPF 代码中；
由于 BPF 程序是在运行时才编译，因此很多简单的编译错误只能在运行时检测到，影响开发体验。

随着 BPF CO-RE 的落地，我们可以直接使用内核开发人员提供的 libbpf 库来开发 BPF 程序，开发方式和编写普通 C 用户态程序一样：一次编译生成小型的二进制文件。Libbpf 作为 BPF 程序加载器，接管了重定向、加载、验证等功能，BPF 程序开发者只需要关注 BPF 程序的正确性和性能即可。这种方式将开销降到了最低，且去除了庞大的依赖关系，使得整体开发流程更加顺畅。

性能优化大师 Brendan Gregg 在用 libbpf + BPF CO-RE 转换一个 BCC 工具后给出了性能对比数据：

As my colleague Jason pointed out, the memory footprint of opensnoop as CO-RE is much lower than opensnoop.py. 9 Mbytes for CO-RE vs 80 Mbytes for Python.

我们可以看到在运行时相比 BCC 版本，libbpf + BPF CO-RE 版本节约了近 9 倍的内存开销，这对于物理内存资源已经紧张的服务器来说会更友好。

关于 BCC 可以参考我的这篇文章介绍

bpftrace

bpftrace is a high-level tracing language for Linux eBPF and available in recent Linux kernels (4.x). bpftrace uses LLVM as a backend to compile scripts to eBPF bytecode and makes use of BCC for interacting with the Linux eBPF subsystem as well as existing Linux tracing capabilities: kernel dynamic tracing (kprobes), user-level dynamic tracing (uprobes), and tracepoints. The bpftrace language is inspired by awk, C and predecessor tracers such as DTrace and SystemTap.

eBPF Go Library

libbpf

参考资料

RDMA 架构与实践

2021-02-15T04:26:26.000Z

RDMA，即 Remote Direct Memory Access，是一种绕过远程主机 OS kernel 访问其内存中数据的技术，概念源自于 DMA 技术。在 DMA 技术中，外部设备（PCIe 设备）能够绕过 CPU 直接访问 host memory；而 RDMA 则是指外部设备能够绕过 CPU，不仅可以访问本地主机的内存，还能够访问另一台主机上的用户态内存。由于不经过操作系统，不仅节省了大量 CPU 资源，同样也提高了系统吞吐量、降低了系统的网络通信延迟，在高性能计算和深度学习训练中得到了广泛的应用。本文将介绍 RDMA 的架构与原理，并讲解 RDMA 网络使用方法，测试代码在 Github 上可以找到。

技术背景

计算机网络通信中最重要两个衡量指标主要是带宽和延迟，通信延迟主要是指：

Transmission Delay：
- The time taken to transmit a packet from the host to the transmission medium
- 计算方式：$Delay_{t} = L / Bandwidth$，其中 L 是要传输的数据包 L bit，Bandwidth 为链路带宽
- 如果两端的带宽高，则传输时间短，传输延迟低
Propagation delay
- After the packet is transmitted to the transmission medium, it has to go through the medium to reach the destination. Hence the time taken by the last bit of the packet to reach the destination is called propagation delay.
- 计算方法：$Delay_p = Distance / Velocity$，其中 Distance 是传输链路的距离，Velocity 是物理介质传输速度
  1
  2
  Velocity =3 X 108 m/s (for air)
  Velocity= 2.1 X 108 m/s (for optical fibre)
Queueing delay
- Let the packet is received by the destination, the packet will not be processed by the destination immediately. It has to wait in queue in something called as buffer. So the amount of time it waits in queue before being processed is called queueing delay.
- In general we can’t calculate queueing delay because we don’t have any formula for that.
Processing delay
- message handling time at sending/receive ends
- buffer管理、在不同内存空间中消息复制、以及消息发送完成后的系统中断

现实计算机网络中的通信场景中，主要是以发送小消息为主，因此处理延迟是提升性能的关键。

传统的 TCP/IP 网络通信，数据需要通过用户空间发送到远程机器的用户空间，在这个过程中需要经历若干次内存拷贝：

数据发送方需要讲数据从用户空间 Buffer 复制到内核空间的 Socket Buffer
数据发送方要在内核空间中添加数据包头，进行数据封装
数据从内核空间的 Socket Buffer 复制到 NIC Buffer 进行网络传输
数据接受方接收到从远程机器发送的数据包后，要将数据包从 NIC Buffer 中复制到内核空间的 Socket Buffer
经过一系列的多层网络协议进行数据包的解析工作，解析后的数据从内核空间的 Socket Buffer 被复制到用户空间 Buffer
这个时候再进行系统上下文切换，用户应用程序才被调用

在高速网络条件下，传统的 TPC/IP 网络在主机侧数据移动和复制操作带来的高开销限制了可以在机器之间发送的带宽。为了提高数据传输带宽，人们提出了多种解决方案，这里主要介绍下面两种：

TCP Offloading Engine
Remote Direct Memroy Access

TCP Offloading Engine

在主机通过网络进行通信的过程中，CPU 需要耗费大量资源进行多层网络协议的数据包处理工作，包括数据复制、协议处理和中断处理。当主机收到网络数据包时，会引发大量的网络 I/O 中断，CPU 需要对 I/O 中断信号进行响应和确认。为了将 CPU 从这些操作中解放出来，人们发明了TOE（TCP/IP Offloading Engine）技术，将上述主机处理器的工作转移到网卡上。TOE 技术需要特定支持 Offloading 的网卡，这种特定网卡能够支持封装多层网络协议的数据包。

TOE 技术将原来在协议栈中进行的IP分片、TCP分段、重组、checksum校验等操作，转移到网卡硬件中进行，降低系统CPU的消耗，提高服务器处理性能。
普通网卡处理每个数据包都要触发一次中断，TOE 网卡则让每个应用程序完成一次完整的数据处理进程后才触发一次中断，显著减轻服务器对中断的响应负担。
TOE 网卡在接收数据时，在网卡内进行协议处理，因此，它不必将数据复制到内核空间缓冲区，而是直接复制到用户空间的缓冲区，这种“零拷贝”方式避免了网卡和服务器间的不必要的数据往复拷贝。

RDMA

为了消除传统网络通信带给计算任务的瓶颈，我们希望更快和更轻量级的网络通信，由此提出了RDMA技术。RDMA利用 Kernel Bypass 和 Zero Copy技术提供了低延迟的特性，同时减少了CPU占用，减少了内存带宽瓶颈，提供了很高的带宽利用率。RDMA提供了给基于 IO 的通道，这种通道允许一个应用程序通过RDMA设备对远程的虚拟内存进行直接的读写。

RDMA 技术有以下几个特点：

CPU Offload：无需CPU干预，应用程序可以访问远程主机内存而不消耗远程主机中的任何CPU。远程主机内存能够被读取而不需要远程主机上的进程（或CPU)参与。远程主机的CPU的缓存(cache)不会被访问的内存内容所填充
Kernel Bypass：RDMA 提供一个专有的 Verbs interface 而不是传统的TCP/IP Socket interface。应用程序可以直接在用户态执行数据传输，不需要在内核态与用户态之间做上下文切换
Zero Copy：每个应用程序都能直接访问集群中的设备的虚拟内存，这意味着应用程序能够直接执行数据传输，在不涉及到网络软件栈的情况下，数据能够被直接发送到缓冲区或者能够直接从缓冲区里接收，而不需要被复制到网络层。

下面是 RDMA 整体框架架构图，从图中可以看出，RDMA在应用程序用户空间，提供了一系列 Verbs 接口操作RDMA硬件。RDMA绕过内核直接从用户空间访问RDMA 网卡。RNIC网卡中包括 Cached Page Table Entry，用来将虚拟页面映射到相应的物理页面。

RDMA 详解

目前RDMA有三种不同的硬件实现，它们都可以使用同一套API来使用，但它们有着不同的物理层和链路层：

Infiniband：基于 InfiniBand 架构的 RDMA 技术，由 IBTA（InfiniBand Trade Association）提出。搭建基于 IB 技术的 RDMA 网络需要专用的 IB 网卡和 IB 交换机。从性能上，很明显Infiniband网络最好，但网卡和交换机是价格也很高，然而RoCEv2和iWARP仅需使用特殊的网卡就可以了，价格也相对便宜很多。
iWARP：Internet Wide Area RDMA Protocal，基于 TCP/IP 协议的 RDMA 技术，由 IETF 标准定义。iWARP 支持在标准以太网基础设施上使用 RDMA 技术，而不需要交换机支持无损以太网传输，但服务器需要使用支持iWARP 的网卡。与此同时，受 TCP 影响，性能稍差。
RoCE：基于以太网的 RDMA 技术，也是由 IBTA 提出。RoCE支持在标准以太网基础设施上使用RDMA技术，但是需要交换机支持无损以太网传输，需要服务器使用 RoCE 网卡，性能与 IB 相当。

I/O 瓶颈

时间回退到二十世纪的最后一年，随着 CPU 性能的迅猛发展，早在 1992 年 Intel 提出的 PCI 技术已经满足不了人民群众日益增长的 I/O 需求，I/O 系统的性能已经成为制约服务器性能的主要矛盾。尽管在 1998 年，IBM 联合 HP 、Compaq 提出了 PCI-X 作为 PCI 技术的扩展升级，将通信带宽提升到 1066 MB/sec，人们认为 PCI-X 仍然无法满足高性能服务器性能的要求，要求构建下一代 I/O 架构的呼声此起彼伏。经过一系列角逐，Infiniband 融合了当时两个竞争的设计 Future I/O 和 Next Generation I/O，建立了 Infiniband 行业联盟，也即 BTA (InfiniBand Trade Association)，包括了当时的各大厂商 Compaq、Dell、HP、IBM、Intel、Microsoft 和 Sun。在当时，InfiniBand 被视为替换 PCI 架构的下一代 I/O 架构，并在 2000 年发布了 1.0 版本的 Infiniband 架构 Specification，2001 年 Mellanox 公司推出了支持 10 Gbit/s 通信速率的设备。

然而好景不长，2000 年互联网泡沫被戳破，人们对于是否要投资技术上如此跨越的技术产生犹豫。Intel 转而宣布要开发自己的 PCIe 架构，微软也停止了 IB 的开发。尽管如此，Sun 和日立等公司仍然坚持对 InfiniBand 技术的研发，并由于其强大的性能优势逐渐在集群互联、存储系统、超级计算机内部互联等场景得到广泛应用，其软件协议栈也得到标准化，Linux 也添加了对于 Infiniband 的支持。进入2010年代，随着大数据和人工智能的爆发，InfiniBand 的应用场景从原来的超算等场景逐步扩散，得到了更加广泛的应用，InfiniBand 市场领导者 Mellanox 被 NVIDIA 收购，另一个主要玩家 QLogic 被 Intel 收购，Oracle 也开始制造自己的 InfiniBand 互联芯片和交换单元。到了 2020 年代，Mellanox 最新发布的 NDR 理论有效带宽已经可以达到单端口 400 Gb/s，为了运行 400 Gb/s 的 HCA 可以使用 PCIe Gen5x16 或者 PCIe Gen4x32。

架构组成

InfiniBand 架构为系统通信定义了多种设备：channel adapter、switch、router、subnet manager，它提供了一种基于通道的点对点消息队列转发模型，每个应用都可通过创建的虚拟通道直接获取本应用的数据消息，无需其他操作系统及协议栈的介入。

在一个子网中，必须有至少每个节点有一个 channel adapter，并且有一个 subnet manager 来管理 Link。

Channel Adapters

可安装在主机或者其他任何系统(如存储设备)上的网络适配器，这种组件为数据包的始发地或者目的地，支持 Infiniband 定义的所有软件 Verbs

Host Channel Adapter：HCA
Target Channel Adapter：TCA

Switch

Switch 包含多个 InfiniBand 端口，它根据每个数据包 LRH 里面的 LID，负责将一个端口上收到的数据包发送到另一个端口。除了 Management Packets，Switch 不产生或者消费任何 Packets。它包含有 Subnet Manager 配置的转发表，能够响应 Subnet Manager 的 Management Packets。

Router

Router 根据 L3 中的 GRH，负责将 Packet 从一个子网转发到另一个子网，当被转到到另一子网时，Router 会重建数据包中的 LID。

Subnet Manager

Subnet Manager 负责配置本地子网，使其保持工作：

发现子网的物理拓扑
给子网中的每个端口分配 LIC 和其他属性（如活动MTU、活动速度）
给子网交换机配置转发表
检测拓扑变化（如子网中节点的增删）
处理子网中的各种错误

分层设计

InfiniBand 有着自己的协议栈，从上到下依次包括传输层、网络层、数据链路层和物理层：

对应着不同的层，数据包的封装如下，下面将对每一层的封装详细介绍：

Physical Layer

物理层定义了 InfiniBand 具有的电气和机械特性，InfiniBand 支持光纤和铜作为传输介质。在物理层支持不同的 Link 速度，每个 Link 由四根线组成（每个方向两条），Link 可以聚合以提高速率，目前绝大多数的系统采用 4 Link。

以 QDR 为例，线上的 Signalling Rate 为 10 Gb/s，由于采用 8b/10b 编码，实际有效带宽单 Link 为 10 Gb/s * 8/10 = 8 Gb/s，如果是 4 Link，则带宽可以达到 32 Gb/s。因为是双向的，所以 4 Link 全双工的速率可以达到 64 Gb/s。

Link Layer

Link Layer 是 InfiniBand 架构的核心，包含以下部分：

Packets：链路层由两种类型的Packets，Data Packet 和 Management Packet，数据包最大可以为 4KB，数据包传输的类型包括两种类型
- Memory：RDMA read/write，atomic operation
- Channel：send/receive，multicast transmission
Switching：在子网中，Packet 的转发和交换是在链路层完成的
- 一个子网内的每个设备有一个由 subnet manager分配的 16 bit Local ID (LID)
- 每个 Packet 中有一个 Local Route Header (LRH) 指定了要发送的目标 LID
- 在一个子网中通过 LID 来负责寻址
QoS：链路层提供了 QoS 保证，不需要数据缓冲
- Virtual Lanes：一种在一条物理链路上创建多条虚拟链路的机制。虚拟通道表示端口的一组用于收发数据包的缓冲区。支持的 VL 数是端口的一个属性。
- 每个 Link 支持 15 个标准的 VL 和一个用于 Management 的 VL15，VL15 具有最高等级，VL0 具有最低等级
- Service Level：InfiniBand 支持多达 16 个服务等级，但是并没有指定每个等级的策略。InfiniBand 通过将 SL 和 VL 映射支持 QoS
Credit Based Flow Control
Data Integrity：链路层通过 Packet 中的 CRC 字段来进行数据完整性校验，其组成包括 ICRC 和 VCRC。

Network Layer

网络层负责将 Packet 从一个子网路由到另一个子网：

在子网间传输的 Packet 都有一个 Gloabl Route Header (GRH)。在这个 Header 中包括了该 Packet 的128 bit 的源 IPv6 地址和目的 IPv6 地址
每个设备都有一个全局的 UID (GUID)，路由器通过每个Packet的 GUID 来实现在不同子网间的转发

下面是 GRH 报头的格式，长40字节，可选，用于组播数据包以及需要穿越多个子网的数据包。它使用 GID 描述了源端口和目标端口，其格式与 IPv6 报头相同。

Transport Layer

传输层负责 Packet 的按序传输、根据 MTU 分段和很多传输层的服务(reliable connection, reliable datagram, unreliable connection, unreliable datagram, raw datagram)。InfiniBand 的传输层提供了一个巨大的提升，因为所有的函数都是在硬件中实现的。

按照连接和可靠两个标准，可以划分出下图四种不同的传输模式：

可靠连接（RC）一个QP只和另一个QP相连，消息通过一个QP的发送队列可靠地传输到另一个QP的接收队列。数据包按序交付，RC连接很类似于TCP连接。
不可靠连接（UC）一个QP只和另一个QP相连，连接是不可靠的，所以数据包可能有丢失。传输层出错的消息不会进行重传，错误处理必须由高层的协议来进行。
不可靠数据报（UD）一个 QP 可以和其它任意的 UD QP 进行数据传输和单包数据的接收。不保证按序性和交付性。交付的数据包可能被接收端丢弃。支持多播消息（一对多），UD连接很类似于UDP连接。

每种模式中可用的操作如下表所示，目前的RDMA硬件提供一种数据报传输：不可靠的数据报（UD），并且不支持memory verbs。

下面是传输层的 Base Transport Header 的结构，长度为 12 字节，指定了源 QP 和目标 QP、操作、数据包序列号和分区。

Partition Key：InfiniBand 中每个端口 Device 都有一个由 SM 配置 P_Key 表，每个 QP 都与这个表中的一个 P_Key 索引相关联。只有当两个 QP 相关联的 P_Key 键值相同时，它们才能互相收发数据包。
Destination QP：24 bit 的目标 QP ID。

根据传输层的服务类别和操作，有不定长度的扩展传输报头(Extended Transport Header，ETH)，比如下面是进行时候的 ETH：

下面是 RDMA ETH，面向于 RDMA 操作：

下面是 Datagram ETH，面向与 UD 和 RD 类型的服务：

Queue Key：仅当两个不可靠 QP 的 Q_Key 相同时，它们才能接受对方的单播或组播消息，用于授权访问目标 QP 的 Queue。
Source QP：24 bit 的source QP ID，用于回复数据包的Destination QP

下面是 Reliable Datagram ETH，面向于 RC 类型的服务，其中有 End2End Context 字段：

RoCE

InfiniBand 架构获得了极好的性能，但是其不仅要求在服务器上安装专门的 InfiniBand 网卡，还需要专门的交换机硬件，成本十分昂贵。而在企业界大量部署的是以太网络，为了复用现有的以太网，同时获得 InfiniBand 强大的性能，IBTA 组织推出了 RoCE（RDMA over Converged Ethernet）。RoCE 支持在以太网上承载 IB 协议，实现 RDMA over Ethernet，这样一来，仅需要在服务器上安装支持 RoCE 的网卡，而在交换机和路由器仍然使用标准的以太网基础设施。网络侧需要支持无损以太网络，这是由于 IB 的丢包处理机制中，任意一个报文的丢失都会造成大量的重传，严重影响数据传输性能。

RoCE 与 InfiniBand 技术有相同的软件应用层及传输控制层，仅网络层及以太网链路层存在差异，如下图所示：

RoCE 协议分为两个版本：

RoCE v1协议：基于以太网承载 RDMA，只能部署于二层网络，它的报文结构是在原有的 IB 架构的报文上增加二层以太网的报文头，通过 Ethertype 0x8915标识 RoCE 报文。
RoCE v2协议：基于 UDP/IP 协议承载 RDMA，可部署于三层网络，它的报文结构是在原有的 IB 架构的报文上增加 UDP 头、IP 头和二层以太网报文头，通过 UDP 目的端口号 4791 标识 RoCE 报文。RoCE v2 支持基于源端口号 hash，采用 ECMP 实现负载分担，提高了网络的利用率。

iWARP

iWARP 从以下几个方面降低了主机侧网络负载：

TCP/IP 处理流程从 CPU 卸载到 RDMA 网卡处理，降低了 CPU 负载。
消除内存拷贝：应用程序可以直接将数据传输到对端应用程序内存中，显著降低 CPU 负载。
减少应用程序上、下文切换：应用程序可以绕过操作系统，直接在用户空间对 RDMA 网卡下发命令，降低了开销，显著降低了应用程序上、下文切换造成的延迟。

由于 TCP 协议能够提供流量控制和拥塞管理，因此 iWARP 不需要以太网支持无损传输，仅通过普通以太网交换机和 iWARP 网卡即可实现，因此能够在广域网上应用，具有较好的扩展性。

RDMA 编程

传输模式

RDMA有两种基本操作，包括 Memory verbs 和 Messaging verbs：

Memory verbs：包括read、write和atomic操作，属于单边操作，只需要本端明确信息的源和目的地址，远端应用不必感知此次通信，数据的读或存都通过远端的DMA在RNIC与应用buffer之间完成，再由远端RNIC封装成消息返回到本端。
- RDMA Read：从远程主机读取部分内存。调用者指定远程虚拟地址，像本地内存地址一样用来拷贝。在执行 RDMA 读操作之前，远程主机必须提供适当的权限来访问它的内存。一旦权限设置完成， RDMA 读操作就可以在对远程主机没有任何通知的条件下执行。不管是 RDMA 读还是 RDMA 写，远程主机都不会意识到操作正在执行（除了权限和相关资源的准备操作）。
- RDMA Write：与 RDMA Read 类似，只是数据写到远端主机中。RDMA写操作在执行时不通知远程主机。然而带即时数的RDMA写操作会将即时数通知给远程主机。
- RDMA Atomic：包括原子取、原子加、原子比较和原子交换，属于RDMA原子操作的扩展。
Messaging verbs：包括send和receive操作，属于双边操作，即必须要远端的应用感知参与才能完成收发。
- RDMA Send：发送操作允许你把数据发送到远程 QP 的接收队列里。接收端必须已经事先注册好了用来接收数据的缓冲区。发送者无法控制数据在远程主机中的放置位置。可选择是否使用即时数，一个4位的即时数可以和数据缓冲一起被传送。这个即时数发送到接收端是作为接收的通知，不包含在数据缓冲之中。
- RDMA Receive：这是与发送操作相对应的操作。接收主机被告知接收到数据缓冲，还可能附带一个即时数。接收端应用程序负责接收缓冲区的维护和发布。

RDMA Consortium 和 IBTA 主导了RDMA，RDMAC是IETF的一个补充，它主要定义的是iWRAP和iSER，IBTA是infiniband的全部标准制定者，并补充了RoCE v1 v2的标准化。应用和RNIC之间的传输接口层（software transport interface）被称为Verbs。IBTA解释了RDMA传输过程中应具备的特性行为，而并没有规定Verbs的具体接口和数据结构原型。这部分工作由另一个组织OFA（Open Fabric Alliance）来完成，OFA提供了RDMA传输的一系列Verbs API。OFA开发出了OFED（Open Fabric Enterprise Distribution）协议栈，支持多种RDMA传输层协议。

OFED中除了提供向下与RNIC基本的队列消息服务，向上还提供了ULP（Upper Layer Protocols），通过ULPs，上层应用不需要直接到Verbs API对接，而是借助于ULP与应用对接，常见的应用不需要做修改，就可以跑在RDMA传输层上。

基本概念

Send Request

SR 定义了数据的发送量、从哪里、发送方式、是否通过 RDMA、到哪里。

结构 ibv_send_wr 用来描述 SR。

struct ibv_send_wr {
uint64_twr_id;
struct ibv_send_wr     *next;
struct ibv_sge       *sg_list;
intnum_sge;
enum ibv_wr_opcodeopcode;
unsigned intsend_flags;
/* When opcode is *_WITH_IMM: Immediate data in network byte order.
 * When opcode is *_INV: Stores the rkey to invalidate
 */
union {
__be32imm_data;
uint32_tinvalidate_rkey;
};
union {
struct {
uint64_tremote_addr;
uint32_trkey;
} rdma;
struct {
uint64_tremote_addr;
uint64_tcompare_add;
uint64_tswap;
uint32_trkey;
} atomic;
struct {
struct ibv_ah  *ah;
uint32_tremote_qpn;
uint32_tremote_qkey;
} ud;
} wr;
union {
struct {
uint32_t    remote_srqn;
} xrc;
} qp_type;
union {
struct {
struct ibv_mw*mw;
uint32_trkey;
struct ibv_mw_bind_infobind_info;
} bind_mw;
struct {
void       *hdr;
uint16_thdr_sz;
uint16_tmss;
} tso;
};
};

Receive Request

RR 定义用来放置通过 RDMA 操作接收到的数据的缓冲区。如没有定义缓冲区，并且有个传输者尝试执行一个发送操作或者一个带即时数的 RDMA 写操作，那么接收者将会发出接收未就绪的错误（RNR）。

结构 ibv_recv_wr 用来描述 RR。

struct ibv_recv_wr {
uint64_twr_id;
struct ibv_recv_wr     *next;
struct ibv_sge       *sg_list;
intnum_sge;
};

Queue Pairs

RDMA提供了基于消息队列的点对点通信，每个应用都可以直接获取自己的消息，无需操作系统和协议栈的介入。消息服务建立在通信双方本端和远端应用之间创建的Channel-IO连接之上。当应用需要通信时，就会创建一条Channel连接，每条Channel的首尾端点是两对Queue Pairs（QP）。每对QP由Send Queue（SQ）和Receive Queue（RQ）构成，这些队列中管理着各种类型的消息。QP会被映射到应用的虚拟地址空间，使得应用直接通过它访问RNIC网卡。除了QP描述的两种基本队列之外，RDMA还提供一种队列Complete Queue（CQ），CQ用来知会用户WQ上的消息已经被处理完。

RDMA提供了一套软件传输接口，方便用户创建传输请求Work Request(WR），WR中描述了应用希望传输到Channel对端的消息内容，WR 通知QP中的某个队列Work Queue(WQ)。在 WQ 中，用户的 WR 被转化为Work Queue Element（WQE）的格式，等待RNIC的异步调度解析，并从WQE指向的Buffer中拿到真正的消息发送到 Channel 对端。

struct ibv_qp {
struct ibv_context     *context;
void       *qp_context;
struct ibv_pd       *pd;
struct ibv_cq       *send_cq;
struct ibv_cq       *recv_cq;
struct ibv_srq       *srq;
uint32_thandle;
uint32_tqp_num;
enum ibv_qp_state       state;
enum ibv_qp_typeqp_type;

pthread_mutex_tmutex;
pthread_cond_tcond;
uint32_tevents_completed;
};

Completion Queue

发送到 SQ 和 RQ 的工作请求都被视为未完成，工作请求未完成期间，它指向的内存缓冲区的内容是不确定的。CQ 包含了发送到工作队列（WQ）中已完成的工作请求（WR）。每次完成表示一个特定的 WR 执行完毕（包括成功完成的 WR 和不成功完成的 WR）。完成队列是一个用来告知应用程序已经结束的工作请求的信息（状态、操作码、大小、来源）的机制。

CQ有n个完成队列实体（CQE），CQE 的数量在CQ创建时指定。当一个CQE被轮询到，它就从CQ中被删除。CQ是一个CQE的 FIFO 队列。CQ能服务于发送队列、接收队列或者同时服务于这两种队列。多个不同QP中的工作请求（WQ）可联系到同一个CQ上。

结构 ibv_cq 用来描述CQ。

struct ibv_cq {
struct ibv_context     *context;
struct ibv_comp_channel *channel;
void       *cq_context;
uint32_thandle;
intcqe;

pthread_mutex_tmutex;
pthread_cond_tcond;
uint32_tcomp_events_completed;
uint32_tasync_events_completed;
};

Memory Registration

RDMA 设备访问的每一个内存缓冲区都必须注册，在注册过程中，将对内存缓冲区执行如下操作：

将连续的内存缓冲区分成内存页，将这些内存空间提供给网络适配器作为虚拟的连续缓冲区，缓冲区使用虚拟地址
将虚拟内存映射到物理内存，注册进程将虚拟地址与物理地址的映射表写入网络适配器。
检查内存页权限，确保它们支持为 MR(Memory Region) 发出请求的权限
锁定内存页权限，以防它们被换出，确保虚拟内存到物理内存的映射不变

注册成功后，内存有两个键：

本地键 lkey：供本地工作请求用来访问内存的 key
远程键 rkey：供远程机器通过 RDMA 访问内存的 key

在工作请求中，将使用这些 key 来访问内存缓冲区，同一内存缓冲区可以被多次注册（甚至设置不同的操作权限），并且每次注册都会生成不同的 key。

结构 ibv_mr 用来描述内存注册。

struct ibv_mr {
struct ibv_context     *context;
struct ibv_pd       *pd;
void       *addr;
size_tlength;
uint32_thandle;
uint32_tlkey;
uint32_trkey;
};

Memory Window

启用远程内存访问的方式有以下两种：

注册允许远程内存访问的内存缓冲区
注册内存区并将其绑定到内存窗口

这两种方式都将创建一个 rkey，可用来访问制定的内存。然而，如果想要这个rkey 无效，以禁止访问该内存时。采用注销内存区的方式实现起来比较繁琐。而使用内存窗口，并根据需要进行绑定和解除绑定，对于启动和禁用运城内存访问简单灵活得多。

内存窗口作用于以下场景：

动态地授予和回收已注册缓冲区的远程访问权限，这种方式相较于将缓冲区取消注册、再注册或者重注册，有更低的性能损耗代价。
想为不同的远程代理授予不同的远程访问方式，或者在一个已注册的缓冲区中不同范围授予哪些权限。

内存窗口和内存注册之间的关联操作叫做绑定。不同的MW可以做用于同一个MR，即使有不同的访问权限。

Address Vector

地址向量用来描述本地节点到远程节点的路由。在QP的每个UC/RC中，都有一个地址向量存在于QP的上下文中。在UD的QP中，每个提交的发送请求（SR）中都应该定义地址向量。

结构 ibv_ah用来描述地址向量。

Global Routing Header（GRH）

GRH用于子网之间的路由。当用到RoCE时，GRH用于子网内部的路由，并且是强制使用的，强制使用GRH是为了保证应用程序即支持IB又支持RoCE。当全局路由用在给予UD的QP时，在接受缓冲区的前40自己会包含有一个GRH。这个区域专门存储全局路由信息，为了回应接收到的数据包，会产生一个合适的地址向量。如果向量用在UD中，接收请求RR应该总是有额外的40字节用来GRH。

结构 ibv_grh 用来描述GRH。

Protection Domain

保护域是一种集合，它的内部元素只能与集合内部的其它元素相互作用。这些元素可以是AH、QP、MR、和SRQ。保护域用于QP与内存注册和内存窗口相关联，这是一种授权和管理网络适配器对主机系统内存的访问。PD也用于将给予不可靠数据报（UD）的QP关联到地址处理（AH），这是一种对UD目的端的访问控制。

struct ibv_pd {
struct ibv_context     *context;
uint32_thandle;
};

通信过程

获取设备列表

首先必须检查得到本机可用的IB设备列表，列表中的每个设备都包含一个名字和GUID。

/* 1 获取设备列表 */
int num_devices;
struct ibv_device **dev_list = ibv_get_device_list(&num_devices);
if (!dev_list || !num_devices)
{
fprintf(stderr, "failed to get IB devices\n");
rc = 1;
goto main_exit;
}

打开要请求的设备

遍历设备列表，通过设备的GUID或者名字选择并打开它，获取一个上下文：

/* 2 打开设备，获取设备上下文 */
struct ibv_device *ib_dev = dev_list[0];
res.ib_ctx = ibv_open_device(ib_dev);
if (!res.ib_ctx)
{
fprintf(stderr, "failed to open device \n");
rc = 1;
goto main_exit;
}

一般在这里需要释放设备列表占用的资源

/* 3 释放设备列表占用的资源 */
ibv_free_device_list(dev_list);
dev_list = NULL;
ib_dev = NULL;

查询设备的工作能力

设备的工作能力能使用户了解已打开设备支持的特性和能力 ibv_port_attr。

/* 4 查询设备端口状态 */
if (ibv_query_port(res.ib_ctx, 1, &res.port_attr))
{
fprintf(stderr, "ibv_query_port on port failed\n");
rc = 1;
goto main_exit;
}

分配保护域以及您的资源

保护域（PD）允许用户限制哪些组件只能相互交互。这个组件可以是AH、QP、MR、MW、和SRQ。

/* 5 创建PD（Protection Domain） */
res.pd = ibv_alloc_pd(res.ib_ctx);
if (!res.pd)
{
fprintf(stderr, "ibv_alloc_pd failed\n");
rc = 1;
goto main_exit;
}

创建 CQ

一个CQ包含完成的工作请求（WR），每个WR将生成放置在CQ中的完成队列实体CQE，CQE将表明WR是否成功完成：

/* 6 创建CQ（Complete Queue） */
int cq_size = 10;
res.cq = ibv_create_cq(res.ib_ctx, cq_size, NULL, NULL, 0);
if (!res.cq)
{
fprintf(stderr, "failed to create CQ with %u entries\n", cq_size);
rc = 1;
goto main_exit;
}

注册一个内存区域

在注册过程中，用户设置内存权限并接收 lkey 和 rkey，稍后将使用这些秘钥来访问此内存缓冲区：

/* 7 注册MR（Memory Region） */
int size = MSG_SIZE;
res.buf = (char *)malloc(size);
if (!res.buf)
{
fprintf(stderr, "failed to malloc %Zu bytes to memory buffer\n", size);
rc = 1;
goto main_exit;
}
memset(res.buf, 0, size);

int mr_flags = IBV_ACCESS_LOCAL_WRITE | IBV_ACCESS_REMOTE_READ | IBV_ACCESS_REMOTE_WRITE;
res.mr = ibv_reg_mr(res.pd, res.buf, size, mr_flags);
if (!res.mr)
{
fprintf(stderr, "ibv_reg_mr failed with mr_flags=0x%x\n", mr_flags);
rc = 1;
goto main_exit;
}
fprintf(stdout, "MR was registered with addr=%p, lkey=0x%x, rkey=0x%x, flags=0x%x\n",
res.buf, res.mr->lkey, res.mr->rkey, mr_flags);

创建 QP

创建 QP 还将创建关联的发送队列和接收队列：

/* 8 创建QP（Queue Pair） */
struct ibv_qp_init_attr qp_init_attr;
memset(&qp_init_attr, 0, sizeof(qp_init_attr));
qp_init_attr.qp_type = IBV_QPT_RC;
qp_init_attr.sq_sig_all = 1;
qp_init_attr.send_cq = res.cq;
qp_init_attr.recv_cq = res.cq;
qp_init_attr.cap.max_send_wr = 1;
qp_init_attr.cap.max_recv_wr = 1;
qp_init_attr.cap.max_send_sge = 1;
qp_init_attr.cap.max_recv_sge = 1;
res.qp = ibv_create_qp(res.pd, &qp_init_attr);
if (!res.qp)
{
fprintf(stderr, "failed to create QP\n");
rc = 1;
goto main_exit;
}
fprintf(stdout, "QP was created, QP number=0x%x\n", res.qp->qp_num);

交换控制信息

可以通过 Socket 或者 RDMA_CM API 来交换控制信息，这里演示的是使用 Socket 交换信息：

/* 9 交换控制信息 */
struct cm_con_data_t local_con_data;  // 发送给远程主机的信息
struct cm_con_data_t remote_con_data; // 接收远程主机发送过来的信息
struct cm_con_data_t tmp_con_data;

local_con_data.addr = htonll((uintptr_t)res.buf);
local_con_data.rkey = htonl(res.mr->rkey);
local_con_data.qp_num = htonl(res.qp->qp_num);
local_con_data.lid = htons(res.port_attr.lid);
if (sock_sync_data(server_ip, sizeof(struct cm_con_data_t), (char *)&local_con_data, (char *)&tmp_con_data) < 0)
{
fprintf(stderr, "failed to exchange connection data between sides\n");
rc = 1;
goto main_exit;
}
remote_con_data.addr = ntohll(tmp_con_data.addr);
remote_con_data.rkey = ntohl(tmp_con_data.rkey);
remote_con_data.qp_num = ntohl(tmp_con_data.qp_num);
remote_con_data.lid = ntohs(tmp_con_data.lid);
/* save the remote side attributes, we will need it for the post SR */
res.remote_props = remote_con_data;
fprintf(stdout, "Remote address = 0x%" PRIx64 "\n", remote_con_data.addr);
fprintf(stdout, "Remote rkey = 0x%x\n", remote_con_data.rkey);
fprintf(stdout, "Remote QP number = 0x%x\n", remote_con_data.qp_num);
fprintf(stdout, "Remote LID = 0x%x\n", remote_con_data.lid);

转换 QP 状态

QP 有一个状态机，用于指定 QP 在各种状态下能够做什么：

RESET：重置状态，QP 刚创建时即处于 RESET 状态，此时不能在 QP 中添加发送请求或接收请求，所有入站消息都被默默丢弃
INIT：已初始化状态，此时不能添加发送请求，可以添加接收请求，但是请求不会被处理，所有入站消息都被默默丢弃。最好在QP处于这种状态时将接收请求加入到其中，再切换到 RTR 状态。这样可以避免发送消息的远程 QP 在需要使用接收请求时没有接收请求可用的情况发生。
RTR：Ready To Receive 状态，此时不能添加发送请求，但是可以添加并且处理接收请求，所有入站信息都将得到处理。在这种状态下收到的第一条消息，将触发异步事件「通信已建立」
RTS：Ready To Send 状态，此时可以添加和处理发送和接收请求，所有入站信息都将得到处理
SQD：Send Queue Drained 状态，此时 QP 将完成所有已进入处理程序的发送请求的处理工作
SQE：Send Queue Error 状态，传输类型为不可靠的 QP，当其发送队列出现错误时，RDMA 设备会自动将其切换到这个状态
ERROR：错误状态，此时所有未处理的工作请求都被删除

状态：RESET -> INIT -> RTR -> RTS
要严格按照顺序进行转换
INIT之后就可以调用 ibv_post_recv 提交一个receive buffer了
当 QP进入RTR(ready to receive)状态以后，便开始进行接收处理
RTR之后便可以转为RTS(ready to send)，RTS状态下可以调用ibv_post_send

/* 10 转换QP状态 */
// RESET -> INIT
struct ibv_qp_attr attr;
int flags;
memset(&attr, 0, sizeof(attr));
attr.qp_state = IBV_QPS_INIT;
attr.port_num = 1; // IB 端口号
attr.pkey_index = 0;
attr.qp_access_flags = IBV_ACCESS_LOCAL_WRITE | IBV_ACCESS_REMOTE_READ | IBV_ACCESS_REMOTE_WRITE;
flags = IBV_QP_STATE | IBV_QP_PKEY_INDEX | IBV_QP_PORT | IBV_QP_ACCESS_FLAGS;
rc = ibv_modify_qp(res.qp, &attr, flags);
if (rc)
fprintf(stderr, "failed to modify QP state to INIT\n");

//INIT -> RTR(Ready To Receive)
memset(&attr, 0, sizeof(attr));
attr.qp_state = IBV_QPS_RTR;
attr.path_mtu = IBV_MTU_256;
attr.dest_qp_num = res.remote_props.qp_num;
attr.rq_psn = 0;
attr.max_dest_rd_atomic = 1;
attr.min_rnr_timer = 0x12;
attr.ah_attr.is_global = 0;
attr.ah_attr.dlid = res.remote_props.lid;
attr.ah_attr.sl = 0;
attr.ah_attr.src_path_bits = 0;
attr.ah_attr.port_num = 1;
flags = IBV_QP_STATE | IBV_QP_AV | IBV_QP_PATH_MTU | IBV_QP_DEST_QPN | IBV_QP_RQ_PSN | IBV_QP_MAX_DEST_RD_ATOMIC | IBV_QP_MIN_RNR_TIMER;
rc = ibv_modify_qp(res.qp, &attr, flags);
if (rc)
fprintf(stderr, "failed to modify QP state to RTR\n");

//RTR -> RTS(Ready To Send)
memset(&attr, 0, sizeof(attr));
attr.qp_state = IBV_QPS_RTS;
attr.timeout = 0x12;
attr.retry_cnt = 6;
attr.rnr_retry = 0;
attr.sq_psn = 0;
attr.max_rd_atomic = 1;
flags = IBV_QP_STATE | IBV_QP_TIMEOUT | IBV_QP_RETRY_CNT | IBV_QP_RNR_RETRY | IBV_QP_SQ_PSN | IBV_QP_MAX_QP_RD_ATOMIC;
rc = ibv_modify_qp(res.qp, &attr, flags);
if (rc)
fprintf(stderr, "failed to modify QP state to RTS\n");

创建发送/接收任务

ibv_send_wr（send work request）
该任务会被提交到QP中的SQ（Send Queue）中
发送任务有三种操作：Send,Read,Write
Send操作需要对方执行相应的Receive操作
Read/Write直接操作对方内存，对方无感知
把要发送的数据的内存地址，大小，密钥告诉HCA
Read/Write还需要告诉HCA远程的内存地址和密钥

/* 11 创建发送任务ibv_send_wr */
struct ibv_send_wr sr;
struct ibv_sge sge;
struct ibv_send_wr *bad_wr = NULL;
int rc;
/* prepare the scatter/gather entry */
memset(&sge, 0, sizeof(sge));
sge.addr = (uintptr_t)res->buf;
sge.length = MSG_SIZE;
sge.lkey = res->mr->lkey;
/* prepare the send work request */
memset(&sr, 0, sizeof(sr));
sr.next = NULL;
sr.wr_id = 0;
sr.sg_list = &sge;
sr.num_sge = 1;
sr.opcode = opcode;
sr.send_flags = IBV_SEND_SIGNALED;
if (opcode != IBV_WR_SEND)
{
sr.wr.rdma.remote_addr = res->remote_props.addr;
sr.wr.rdma.rkey = res->remote_props.rkey;
}

提交发送/接收任务

发送 ibv_post_send
接收 ibv_post_recv

rc = ibv_post_send(res->qp, &sr, &bad_wr);
if (rc)
fprintf(stderr, "failed to post SR\n");
return rc;

轮询任务完成信息

/* 13 轮询任务结果 */
struct ibv_wc wc;
int poll_result;
int rc = 0;
do
{
poll_result = ibv_poll_cq(res->cq, 1, &wc);
} while (poll_result == 0);

RDMA 单边操作

单边操作传输方式是RDMA与传统网络传输的最大不同，提供直接访问远程的虚拟地址，无须远程应用的参与，这种方式适用于批量数据传输。

READ和WRITE是单边操作，只需要本端明确信息的源和目的地址，远端应用不必感知此次通信，数据的读或写都通过RDMA在RNIC与应用Buffer之间完成，再由远端RNIC封装成消息返回到本端。

RDMA Read

对于单边操作，以存储网络环境下的存储为例，数据的流程如下：

首先A、B建立连接，QP已经创建并且初始化。
数据被存档在 B 的 buffer地址 VB，注意VB应该提前注册到B的RNIC (并且它是一个Memory Region) ，并拿到返回的local key，相当于RDMA操作这块buffer的权限。
B 把数据地址 VB，key封装到专用的报文传送到A，这相当于B把数据buffer的操作权交给了A。同时B在它的WQ中注册进一个WR，以用于接收数据传输的A返回的状态。
A 在收到 B 的送过来的数据 VB 和 R_key 后，RNIC 会把它们连同自身存储地址 VA 到封装 RDMA READ 请求，将这个消息请求发送给B，这个过程A、B两端不需要任何软件参与，就可以将 B 的数据存储到 B 的 VA虚拟地址。
B在存储完成后，会向A返回整个数据传输的状态信息。

RDMA Write

对于单边操作，以存储网络环境下的存储为例，数据的流程如下：

首先A、B建立连接，QP已经创建并且初始化。
数据 remote目标存储buffer地址VB，注意VB应该提前注册到B的RNIC(并且它是一个Memory Region)，并拿到返回的local key，相当于RDMA操作这块buffer的权限。
B把数据地址VB，key封装到专用的报文传送到A，这相当于B把数据buffer的操作权交给了A。同时B在它的WQ中注册进一个WR，以用于接收数据传输的A返回的状态。
A在收到B的送过来的数据VB和R_key后，RNIC会把它们连同自身发送地址VA到封装RDMA WRITE请求，这个过程A、B两端不需要任何软件参与，就可以将A的数据发送到B的VB虚拟地址。
A在发送数据完成后，会向B返回整个数据传输的状态信息。

RDMA 双边操作

双边操作与传统网络的底层buffer pool类似，收发双方的参与过程并无差别，区别在零拷贝、kernel bypass，实际上传统网络中一些高级的网络SOC 已经实现类似功能。对于RDMA，这是一种复杂的消息传输模式，多用于传输短的控制消息。

RDMA 中 SEND/RECEIVE 是双边操作，即必须要远端的应用感知参与才能完成收发。在实际中，SEND/RECEIVE多用于连接控制类报文，而数据报文多是通过READ/WRITE来完成的。对于双边操作为例，主机 A 向主机 B 发送数据的流程如下：

首先，A 和 B 都要创建并初始化好各自的QP、CQ，并且为 RDMA 注册了 Memory Region，A 想发送数据给 B

A 和 B 分别向自己的WQ中注册WQE，对于A，WQ=SQ，WQE描述指向一个等到被发送的数据；对于B，WQ=RQ，WQE描述指向一块用于存储数据的Buffer

A 的 HCA 作为硬件总是从 SQ 中取出 WQE，解析到这是一个SEND消息，将数据直接从 A 的 Buffer 中发给 B。数据流到达B的RNIC后，B 的 HCA 将会从 RQ 中取出 WQE，并把数据直接存储到 WQE 指向的存储位置。

AB 通信完成后，A的CQ中会产生一个完成消息 CQE 表示发送完成。与此同时，B 的 CQ 中也会产生一个完成消息表示接收完成。每个WQ中WQE的处理完成都会产生一个CQE。即使传输发生错误，也会产生 CQE，CQE 中会有字段表明传输的状态。

工具使用

带宽测试

ib_read_bw

1 2	ServerA：ib_read_bw -a -d mlx4_0 ServerB: ib_read_bw -a -F -d mlx4_0 --report_gbits

示例如下：

# Server A
# 这里 -q 指定 QP 数为 2，-x 指定 GID Index
$ ib_read_bw -q 2 -x 3 --report_g --run_infinitely

************************************
* Waiting for client to connect... *
************************************
---------------------------------------------------------------------------------------
                    RDMA_Read BW Test
 Dual-port       : OFFDevice         : mlx5_1
 Number of qps   : 2Transport type : IB
 Connection type : RCUsing SRQ      : OFF
 PCIe relax order: ON
 CQ Moderation   : 1
 Mtu             : 1024[B]
 Link type       : Ethernet
 GID index       : 3
 Outstand reads  : 16
 rdma_cm QPs : OFF
 Data ex. method : Ethernet
---------------------------------------------------------------------------------------
 local address: LID 0000 QPN 0x02d9 PSN 0xf326ce OUT 0x10 RKey 0x060d13 VAddr 0x007fa3bccfc000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:00:12
 local address: LID 0000 QPN 0x02da PSN 0x1403a0 OUT 0x10 RKey 0x060d13 VAddr 0x007fa3bcd0c000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:00:12
 remote address: LID 0000 QPN 0x02c9 PSN 0x861fee OUT 0x10 RKey 0x050f13 VAddr 0x007f55afc0f000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:04:05
 remote address: LID 0000 QPN 0x02ca PSN 0xfad640 OUT 0x10 RKey 0x050f13 VAddr 0x007f55afc1f000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:04:05
---------------------------------------------------------------------------------------
 #bytes     #iterations    BW peak[Gb/sec]    BW average[Gb/sec]   MsgRate[Mpps]

# Server B
$ ib_read_bw 172.18.0.237 -q 2 -x 3 --report_g --run_infinitely
---------------------------------------------------------------------------------------
                    RDMA_Read BW Test
 Dual-port       : OFFDevice         : mlx5_3
 Number of qps   : 2Transport type : IB
 Connection type : RCUsing SRQ      : OFF
 PCIe relax order: ON
 TX depth        : 128
 CQ Moderation   : 1
 Mtu             : 1024[B]
 Link type       : Ethernet
 GID index       : 3
 Outstand reads  : 16
 rdma_cm QPs : OFF
 Data ex. method : Ethernet
---------------------------------------------------------------------------------------
 local address: LID 0000 QPN 0x02c9 PSN 0x861fee OUT 0x10 RKey 0x050f13 VAddr 0x007f55afc0f000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:04:05
 local address: LID 0000 QPN 0x02ca PSN 0xfad640 OUT 0x10 RKey 0x050f13 VAddr 0x007f55afc1f000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:04:05
 remote address: LID 0000 QPN 0x02d9 PSN 0xf326ce OUT 0x10 RKey 0x060d13 VAddr 0x007fa3bccfc000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:00:12
 remote address: LID 0000 QPN 0x02da PSN 0x1403a0 OUT 0x10 RKey 0x060d13 VAddr 0x007fa3bcd0c000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:00:12
---------------------------------------------------------------------------------------
 #bytes     #iterations    BW peak[Gb/sec]    BW average[Gb/sec]   MsgRate[Mpps]
 65536      829982           0.00               87.06     0.166061
 65536      828835           0.00               86.94     0.165832
 65536      828849           0.00               86.95     0.165835
 65536      828828           0.00               86.94     0.165831
 65536      828801           0.00               86.94     0.165825
 65536      828795           0.00               86.94     0.165824
 65536      828852           0.00               86.95     0.165835

ib_write_bw

1 2	ServerA: ib_write_bw -a -d mlx4_0 ServerB: ib_write_bw -a -F -d mlx4_0 --report_gbits

ib_send_bw

1 2	ServerA: ib_send_bw -a -d mlx4_0 ServerB: ib_send_bw -a -F -d mlx4_0 --report_gbits

延迟测试

延迟测试也有三个命令，使用方法与上类似：

ib_read_lat
ib_write_lat
ib_send_lat

以 ib_read_lat 为例，测试结果如下：

# Server A
$ ib_read_lat -x 3 --report_g

************************************
* Waiting for client to connect... *
************************************
---------------------------------------------------------------------------------------
                    RDMA_Read Latency Test
 Dual-port       : OFFDevice         : mlx5_1
 Number of qps   : 1Transport type : IB
 Connection type : RCUsing SRQ      : OFF
 PCIe relax order: ON
 Mtu             : 1024[B]
 Link type       : Ethernet
 GID index       : 3
 Outstand reads  : 16
 rdma_cm QPs : OFF
 Data ex. method : Ethernet
---------------------------------------------------------------------------------------
 local address: LID 0000 QPN 0x02db PSN 0x144f6a OUT 0x10 RKey 0x060d14 VAddr 0x00000001849000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:00:12
 remote address: LID 0000 QPN 0x02cb PSN 0x1c38a6 OUT 0x10 RKey 0x050f14 VAddr 0x00000000e59000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:04:05
---------------------------------------------------------------------------------------

# Server B
$ ib_read_lat 172.18.0.237 -x 3 --report_g
---------------------------------------------------------------------------------------
                    RDMA_Read Latency Test
 Dual-port       : OFFDevice         : mlx5_3
 Number of qps   : 1Transport type : IB
 Connection type : RCUsing SRQ      : OFF
 PCIe relax order: ON
 TX depth        : 1
 Mtu             : 1024[B]
 Link type       : Ethernet
 GID index       : 3
 Outstand reads  : 16
 rdma_cm QPs : OFF
 Data ex. method : Ethernet
---------------------------------------------------------------------------------------
 local address: LID 0000 QPN 0x02cb PSN 0x1c38a6 OUT 0x10 RKey 0x050f14 VAddr 0x00000000e59000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:04:05
 remote address: LID 0000 QPN 0x02db PSN 0x144f6a OUT 0x10 RKey 0x060d14 VAddr 0x00000001849000
 GID: 00:00:00:00:00:00:00:00:00:00:255:255:192:168:00:12
---------------------------------------------------------------------------------------
 #bytes #iterations    t_min[usec]    t_max[usec]  t_typical[usec]    t_avg[usec]    t_stdev[usec]   99% percentile[usec]   99.9% percentile[usec]
 2       1000          10.87          14.62        11.40           11.48       0.34   12.74   14.62
---------------------------------------------------------------------------------------

参考资料

【异构计算】NVIDIA XID Message

2021-01-21T06:19:26.000Z

Xid Message 由 NVIDIA 驱动报告的错误信息，一般卸载操作系统的内核日志或者是事件日志中。Xid消息表明发生了一般的GPU错误，通常是由于驱动程序对GPU的编程不正确或发送给GPU的命令损坏所致。这些消息可能表示硬件问题、NVIDIA软件问题或用户应用程序问题。

Xid Message 的产生可能有以下三种：

Hardware Problem
NVIDIA Software Problem
User Application Problem

Xid Message 可以用作错误诊断，辅助调试报告的错误。在所有不同版本的NVIDIA驱动中，Xid Message 的含义保持一致。

查看 Xid Errors

在 Linux 中，Xid Error 的信息在 /var/log/messages 中，可以看到错误信息。下图展示的是 XID 14 的错误信息：

1
2
3

$ grep "NVRM: Xid" /var/log/messages
[…] NVRM: GPU at 0000:03:00: GPU-b850f46d-d5ea-c752-ddf3-c4453e44d3f7 
[…] NVRM: Xid (0000:03:00): 14, Channel 00000001

在 NVIDIA 提供的 NVML 库中可以监听 GPU 的 Xid Error，下面是 Go 监听的示例代码：

eventSet := nvml.NewEventSet()
defer nvml.DeleteEventSet(eventSet)

for _, gpu := range devices {
err = nvml.RegisterEventForDevice(eventSet, nvml.XidCriticalError, gpu)
// ...
}

for {
select {
case <-stop:
return
default:
}

e, err := nvml.WaitForEvent(eventSet, 5000)
if err != nil && e.Etype != nvml.XidCriticalError {
continue
}

// FIXME: formalize the full list and document it.
// http://docs.nvidia.com/deploy/xid-errors/index.html#topic_4
// Application errors: the GPU should still be healthy
if e.Edata == 31 || e.Edata == 43 || e.Edata == 45 {
continue
}

if e.UUID == nil || len(*e.UUID) == 0 {
// All devices are unhealthy
log.Printf("XidCriticalError: Xid=%d, All devices will go unhealthy.", e.Edata)
for _, d := range devices {
unhealthy <- d
}
continue
}
   //...
}

Common Xid Errors

XID 13：GR: SW Notify Error

XID 13 号错误是通用的用户进程的错误，一般是用户访问数组越界、或者非法指令、非法寄存器的问题。这种问题在很少的情况下才会是硬件问题或者内核驱动的问题，基本上是用户进程的问题。

当这种问题发生时，NVIDIA 推荐如下步骤：

Run the application in cuda-gdb or cuda-memcheck , or
Run the application with CUDA_DEVICE_WAITS_ON_EXCEPTION=1 and then attach later with cuda-gdb, or
File a bug if the previous two come back inconclusive to eliminate potential NVIDIA driver or hardware bug.

XID 31: Fifo: MMU Error

XID 31 号错误是由 MMU 报告的错误，比如当一个用户进程对一个非法地址访问的时候。一般来说，这是用户程序级别的bug，也有可能是驱动或者硬件bug。

当这种问题发生时，NVIDIA 推荐如下步骤：

Run the application in cuda-gdb or cuda-memcheck , or
Run the application with CUDA_DEVICE_WAITS_ON_EXCEPTION=1 and then attach later with cuda-gdb, or
File a bug if the previous two come back inconclusive to eliminate potential NVIDIA driver or hardware bug.

XID 32: PBDMA Error

XID 32 号错误是由 DMA Controller 上报的，DMA Controller 负责在 NVIDIA 驱动和 GPU之前通过 PCIe总线进行通信。

一般来说，这种问题是由 PCI 的质量问题导致，一般也不是由用户程序造成的。

XID 43: Reset Channel VERIF Error

XID 43 号错误发生在当探测到用户程序可能因此故障，这时候必须终止用户程序。这种情况下，GPU还是处于健康的状态。

在大多数情况，这种问题是用户进程导致的，而不是驱动的bug

XID 45: OS: Preemptive Channel Removal

XID 45 号错误发生在用户进程 Abort 了，这时候内核驱动需要终止在GPU上运行的GPU Application。Ctrl-C、CPU Reset、Sigkill 都是这种场景。

大多数情况下，这种问题是用户进程导致的，而不是驱动的bug

XID 48: DBE(Double Bit Error) ECC Error

XID 48 号错误发生在当 GPU 探测到GPU上有一个不可纠正的错误，这个错误也会报告给用户进程。这种情况下，可要 GPU Reset 或者 Node 重启来修复这个问题。nvidia-smi 工具会提供一个ECC错误的总结。

Xid Error Listing

下表展示了所有的Xid Error信息：

XID	Failure	Causes
		HW Error	Driver Error	User App Error	System Memory Corruption	Bus Error	Thermal Issue	FB Corruption
1	Invalid or corrupted push buffer stream		X		X	X		X
2	Invalid or corrupted push buffer stream		X		X	X		X
3	Invalid or corrupted push buffer stream		X		X	X		X
4	Invalid or corrupted push buffer stream		X		X	X		X
	GPU semaphore timeout		X	X	X	X		X
5	Unused
6	Invalid or corrupted push buffer stream		X		X	X		X
7	Invalid or corrupted push buffer address		X			X		X
8	GPU stopped processing		X	X		X	X
9	Driver error programming GPU		X
10	Unused
11	Invalid or corrupted push buffer stream		X		X	X		X
12	Driver error handling GPU exception		X
13	Graphics Engine Exception		X	X	X	X	X	X
14	Unused
15	Unused
16	Display engine hung		X
17	Unused
18	Bus mastering disabled in PCI Config Space		X
19	Display Engine error		X
20	Invalid or corrupted Mpeg push buffer		X		X	X		X
21	Invalid or corrupted Motion Estimation push buffer		X		X	X		X
22	Invalid or corrupted Video Processor push buffer		X		X	X		X
23	Unused
24	GPU semaphore timeout		X	X	X	X	X	X
25	Invalid or illegal push buffer stream		X	X	X	X		X
26	Framebuffer timeout		X
27	Video processor exception		X
28	Video processor exception		X
29	Video processor exception		X
30	GPU semaphore access error		X
31	GPU memory page fault		X	X
32	Invalid or corrupted push buffer stream		X		X	X	X	X
33	Internal micro-controller error		X
34	Video processor exception		X
35	Video processor exception		X
36	Video processor exception		X
37	Driver firmware error		X		X	X
38	Driver firmware error		X
39	Unused
40	Unused
41	Unused
42	Video processor exception		X
43	GPU stopped processing		X	X
44	Graphics Engine fault during context switch		X
45	Preemptive cleanup, due to previous errors — Most likely to see when running multiple cuda applications and hitting a DBE		X
46	GPU stopped processing		X
47	Video processor exception		X
48	Double Bit ECC Error	X
49	Unused
50	Unused
51	Unused
52	Unused
53	Unused
54	Auxiliary power is not connected to the GPU board
55	Unused
56	Display Engine error	X	X
57	Error programming video memory interface	X	X					X
58	Unstable video memory interface detected	X	X
	EDC error – clarified in printout	X
59	Internal micro-controller error(older drivers)		X
60	Video processor exception		X
61	Internal micro-controller breakpoint/warning(newer drivers)
62	Internal micro-controller halt(newer drivers)	X	X				X
63	ECC page retirement recording event	X	X					X
64	ECC page retirement recording failure	X	X
65	Video processor exception	X	X
66	Illegal access by driver		X	X
67	Illegal access by driver		X	X
68	Video processor exception	X	X
69	Graphics Engine class error	X	X
70	CE3: Unknown Error	X	X
71	CE4: Unknown Error	X	X
72	CE5: Unknown Error	X	X
73	NVENC2 Error	X	X
74	NVLINK Error	X	X			X
75	Reserved
76	Reserved
77	Reserved
78	vGPU Start Error		X
79	GPU has fallen off the bus	X	X		X	X	X
80	Corrupted data sent to GPU	X	X		X	X		X
81	VGA Subsystem Error	X
82	Reserved
83	Reserved
84	Reserved
85	Reserved
86	Reserved
87	Reserved
88	Reserved
89	Reserved
90	Reserved
91	Reserved
92	High single-bit ECC error rate	X	X

参考资料

NVIDIA XID Errors

【系统监控】GPU 监控

2021-01-06T03:01:35.000Z

问题背景

在使用GPU进行深度学习相关的训练与推理时，需要查看当前集群中GPU的使用情况：

需要通过当前GPU设备资源使用情况判断是否可以再部署新的应用，判断集群是否需要扩容，为GPU服务提供对齐CPU的容量保障服务，补齐容量保障中的GPU短板
需要通过当前GPU设备资源使用情况分析使用中存在的瓶颈和短板，推进优化，提高资源利用率和服务性能

为了获得GPU的监控数据，NVIDIA 提供了以下三种方法：

NVML：NVIDIA Management Library，基于C进行监控和管理GPU的库，nvidia-smi 命令即是基于此实现的
DCGM：Data Center GPU Manager，基于NVML和CUDA实现的一整套GPU的监控和管理工具
第三方工具：基于 DCGM 或者 NVML 开发的第三方监控工具，可以与Prometheus等工具结合，提供数据库、UI等工具

对比这三种工具的特点：

NVML
- 无状态的查询，只支持查询当前数据
- 属于低级别控制GPU的API
- 基于NVML库开发的管理工具运行成本低，开发成本高
- 基于NVML库开发的管理工具必须与GPU运行在同一个节点
DCGM
- 可以查询几个小时的数据指标
- 提供了GPU的健康检查和诊断
- 可以对一组GPU进行批量查询
- 允许以 remote/local 两种方式运行
第三方工具
- 提供了database、graphs和好看的UI

本文后续将主要介绍 DCGM。

DCGM

下图展示了 DCGM 在集群中运行的方式，DCGM 以 Agent 的形式部署在计算节点上，管理节点上的工具可以通过 DCGM 提供的API管理和监控GPU。

DCGM 提供了一下四种关键特性：

Active Health Monitoring
GPU Diagnostics
Policy and Alerting
Configuration Managerment

安装部署

DCGM 需要单独下载安装，在NVIDIA官网NVIDIA下载对应的安装包，这里选择下载rpm包即可，下载完成后：

# 卸载可能已安装的旧版本DCGM
$ yum remove datacenter-gpu-manager
# 安装
$ rpm -ivh datacenter-gpu-manager-2.0.13-1-x86_64.rpm

DCGM的动态链接库会被安装到/usr/lib64目录
Python库会被安装到/usr/local/dcgm/bindings目录

DCGM 是一个面向集群管理的工具，所以在实际使用前，需要先在目标机器启动一个agent，nv-hostengine，具体启动命令如下

# 启动 nv-hostengine
$ nv-hostengine --port 39999 --bind-interface 127.0.0.1
Host Engine Listener Started
Started host engine version 2.0.13 using port number: 39999

# 查看设备列表
$ dcgmi discovery --host 127.0.0.1:39999 -l
4 GPUs found.
+--------+----------------------------------------------------------------------+
| GPU ID | Device Information                                                   |
+--------+----------------------------------------------------------------------+
| 0      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:08.0                                         |
|        | Device UUID: GPU-0bf43c76-0f1a-f49f-a362-92d5b9bbbc9f                |
+--------+----------------------------------------------------------------------+
| 1      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:09.0                                         |
|        | Device UUID: GPU-c55a4e5e-47dd-48c2-99d0-2630042bf619                |
+--------+----------------------------------------------------------------------+
| 2      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:0A.0                                         |
|        | Device UUID: GPU-95e5fe58-f03d-815e-c871-65637b623aca                |
+--------+----------------------------------------------------------------------+
| 3      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:0B.0                                         |
|        | Device UUID: GPU-70747d1b-2b7a-9895-29f5-485608c1742e                |
+--------+----------------------------------------------------------------------+
0 NvSwitches found.
+-----------+
| Switch ID |
+-----------+
+-----------+

# 关闭 nv-hostengine，这里作演示用，后续的过程还要继续打开
$ nv-hostengine –t
Host engine successfully terminated.

其中，--port --bind-interface 两个参数分别用来设置监听的端口和绑定的IP地址。同时也支持使用 UNIX_SOCKET 通信

在启动 nv-hostengine 之后，我们就可以使用 dcgmi 来操作

组操作

和NVML不同，DCGM 的大部分功能都是面向组的，所以在使用DCGM之前，首先需要创建组，然后才能使用DCGM提供的各种功能。

# 获取设备列表后，可以用如下命令创建组
# 创建成功后，该命令会输出如下，返回设备的组ID，后续的操作中都会用到组ID，例如下面的组ID 2
$ dcgmi group --host 127.0.0.1:39999 -c GPU_GROUP
Successfully created group "GPU_GROUP" with a group ID of 2

$ dcgmi group --host 127.0.0.1:39999 -l
+-------------------+----------------------------------------------------------+
| GROUPS                                                                       |
| 1 group found.                                                               |
+===================+==========================================================+
| Groups            |                                                          |
| -> 2              |                                                          |
|    -> Group ID    | 2                                                        |
|    -> Group Name  | GPU_GROUP                                                |
|    -> Entities    | None                                                     |
+-------------------+----------------------------------------------------------+

$ dcgmi discovery --host 127.0.0.1:39999 -l 
4 GPUs found.
+--------+----------------------------------------------------------------------+
| GPU ID | Device Information                                                   |
+--------+----------------------------------------------------------------------+
| 0      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:08.0                                         |
|        | Device UUID: GPU-0bf43c76-0f1a-f49f-a362-92d5b9bbbc9f                |
+--------+----------------------------------------------------------------------+
| 1      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:09.0                                         |
|        | Device UUID: GPU-c55a4e5e-47dd-48c2-99d0-2630042bf619                |
+--------+----------------------------------------------------------------------+
| 2      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:0A.0                                         |
|        | Device UUID: GPU-95e5fe58-f03d-815e-c871-65637b623aca                |
+--------+----------------------------------------------------------------------+
| 3      | Name: Tesla T4                                                       |
|        | PCI Bus ID: 00000000:00:0B.0                                         |
|        | Device UUID: GPU-70747d1b-2b7a-9895-29f5-485608c1742e                |
+--------+----------------------------------------------------------------------+
0 NvSwitches found.
+-----------+
| Switch ID |
+-----------+
+-----------+

# 创建组后可以用如下命令给组中添加设备
$ dcgmi group --host 127.0.0.1:39999 -g 2 -a 0,1
Add to group operation successful.

$ dcgmi group --host 127.0.0.1:39999 -g 2 -i
+-------------------+----------------------------------------------------------+
| GROUP INFO                                                                   |
+===================+==========================================================+
| 2                 |                                                          |
| -> Group ID       | 2                                                        |
| -> Group Name     | GPU_GROUP                                                |
| -> Entities       | GPU 0, GPU 1                                             |
+-------------------+----------------------------------------------------------+

# 使用如下命令可以从组中删除设备
$ dcgmi group --host 127.0.0.1:39999 -g 2 -r 0,1
Remove from group operation successful.

# 使用如下命令可以从删除组
$ dcgmi group --host 127.0.0.1:39999 -d 2

注意：group和设备之间是多对多关系

Job Statistics

当有一个Job需要通过GPU加速计算的时候，我们想知道：

我的Job运行在哪个GPU上
我的Job使用了多少GPU
在我的Job运行过程中是否有任何的错误和Warning
系统的GPU是否都健康并且准备好了下一个Job的计算

# 当前 Group 3 如下
$ dcgmi group --host 127.0.0.1:39999 -g 3 -i
+-------------------+----------------------------------------------------------+
| GROUP INFO                                                                   |
+===================+==========================================================+
| 3                 |                                                          |
| -> Group ID       | 3                                                        |
| -> Group Name     | GPU_GROUP                                                |
| -> Entities       | GPU 0, GPU 1, GPU 2, GPU 3                               |
+-------------------+----------------------------------------------------------+

# 在使用dcgmi获取GPU统计数据，需要先打开数据分析功能，具体命令如下
$ dcgmi stats --host 127.0.0.1:39999 -g 3 --enable
Successfully started process watches.

# 打开数据分析功能后，可以使用如下命令查看具体的进程的统计信息
# 假设这里启动了一个CUDA应用进程正在使用GPU进行计算
$ dcgmi stats --host 127.0.0.1:39999 -g 3 -p 41861 -v
Successfully retrieved process info for PID: 41861. Process ran on 1 GPUs.
+------------------------------------------------------------------------------+
| GPU ID: 3                                                                    |
+====================================+=========================================+
|-----  Execution Stats  ------------+-----------------------------------------|
| Start Time                     *   | Wed Jan  6 16:54:16 2021                |
| End Time                       *   | Still Running                           |
| Total Execution Time (sec)     *   | Still Running                           |
| No. of Conflicting Processes   *   | 0                                       |
+-----  Performance Stats  ----------+-----------------------------------------+
| Energy Consumed (Joules)           | 2985                                    |
| Max GPU Memory Used (bytes)    *   | 12107907072                             |
| SM Clock (MHz)                     | Avg: 1590, Max: 1590, Min: 1590         |
| Memory Clock (MHz)                 | Avg: 5000, Max: 5000, Min: 5000         |
| SM Utilization (%)                 | Avg: 100, Max: 100, Min: 100            |
| Memory Utilization (%)             | Avg: 5, Max: 5, Min: 5                  |
| PCIe Rx Bandwidth (megabytes)      | Avg: N/A, Max: N/A, Min: N/A            |
| PCIe Tx Bandwidth (megabytes)      | Avg: N/A, Max: N/A, Min: N/A            |
+-----  Event Stats  ----------------+-----------------------------------------+
| Double Bit ECC Errors              | 0                                       |
| PCIe Replay Warnings               | 0                                       |
| Critical XID Errors                | 0                                       |
+-----  Slowdown Stats  -------------+-----------------------------------------+
| Due to - Power (%)                 | 0                                       |
|        - Thermal (%)               | 0                                       |
|        - Reliability (%)           | 0                                       |
|        - Board Limit (%)           | 0                                       |
|        - Low Utilization (%)       | 0                                       |
|        - Sync Boost (%)            | 0                                       |
+-----  Process Utilization  --------+-----------------------------------------+
| PID                                | 41861                                   |
|     Avg SM Utilization (%)         | 99                                      |
|     Avg Memory Utilization (%)     | 3                                       |
+-----  Overall Health  -------------+-----------------------------------------+
| Overall Health                     | Healthy                                 |
+------------------------------------+-----------------------------------------+

(*) Represents a process statistic. Otherwise device statistic during
    process lifetime listed.

Configuration Managerment

DCGM 可以更改GPU设置, 具体支持的设置项如下，查看原有设置：

$ dcgmi config  --host 127.0.0.1:39999 -g 3 --get
+------------------------------+------------------------------+------------------------------+
| GPU_GROUP                                                                                  |
| Group of 4 GPUs                                                                            |
+==============================+==============================+==============================+
| Field                        | Target                       | Current                      |
+------------------------------+------------------------------+------------------------------+
| Compute Mode                 | Not Specified                | Unrestricted                 |
| ECC Mode                     | Not Specified                | Enabled                      |
| Sync Boost                   | Not Specified                | Not Supported                |
| Memory Application Clock     | Not Specified                | 5001                         |
| SM Application Clock         | Not Specified                | 585                          |
| Power Limit                  | Not Specified                | 70                           |
+------------------------------+------------------------------+------------------------------+

# 具体参数说明
$ dcgmi config -h

 config -- Used to configure settings for groups of GPUs.

Usage: dcgmi config
   dcgmi config [--host ] [-g ] --enforce
   dcgmi config [--host ] [-g ] --get [-v] [-j]
   dcgmi config [--host ] [-g ] --set [-e <0/1>] [-s
        <0/1>] [-a ] [-P <limit>] [-c ]
  
  ...
  -c  --compmode   mode       Configure Compute Mode. Can be any of the
                               following:
                               0 - Unrestricted
                               1 - Prohibited
                               2 - Exclusive Process
  -P  --powerlimit limit      Configure Power Limit (Watts).
  -a  --appclocks  mem,proc   Configure Application Clocks. Must use memory,proc
                               clocks (csv) format(MHz).
  -s  --syncboost  0/1        Configure Syncboost. (1 to Enable, 0 to Disable)
  -e  --eccmode    0/1        Configure Ecc mode. (1 to Enable, 0 to Disable)
  
# 更改设置
$ dcgmi config  --host 127.0.0.1:39999 -g 3 --set -c 2

# 查询结果
$ dcgmi config  --host 127.0.0.1:39999 -g 3 --get
+------------------------------+------------------------------+------------------------------+
| GPU_GROUP                                                                                  |
| Group of 4 GPUs                                                                            |
+==============================+==============================+==============================+
| Field                        | Target                       | Current                      |
+------------------------------+------------------------------+------------------------------+
| Compute Mode                 | E. Process                   | E. Process                   |
| ECC Mode                     | Not Specified                | Enabled                      |
| Sync Boost                   | Not Specified                | Not Supported                |
| Memory Application Clock     | Not Specified                | 5001                         |
| SM Application Clock         | Not Specified                | 585                          |
| Power Limit                  | Not Specified                | 70                           |
+------------------------------+------------------------------+------------------------------+

注意，使用DCGM更改设置时，运作模式是一种面向声明的模式，用户通过dcgmi指定需要的目标设置，同时nv-hostengine自动调整设置，使当前设置对齐目标设置

Policy and Alerting

dcgm 的提供了policy 功能，policy 本质上是类似于一种Watch机制，首先设定一个违反条件，然后可以根据违反条件设置对应的处理策略。一般而言，可以设置一个条件，然后注册listener，等待dcgm通知。

例如

# 通过如下命令设置最大温度50度的条件
$ dcgmi policy --host 127.0.0.1:39999 -g 3 --set 0,0 -T 50

# 设置后的policy，通过如下命令查询
$ dcgmi policy --host 127.0.0.1:39999 -g 2 --get
Policy information
+-----------------------------+------------------------------------------------+
| Policy Information                                                           |
| GPU_GROUP                                                                    |
+=============================+================================================+
| Violation conditions        | Max temperature threshold - 50                 |
| Isolation mode              | Manual                                         |
| Action on violation         | None                                           |
| Validation after action     | None                                           |
| Validation failure action   | None                                           |
+-----------------------------+------------------------------------------------+

$ dcgmi policy --host 127.0.0.1:39999 -g 2 --reg
Timestamp: Wed Jan  6 17:02:27 2021
The maximum thermal limit has violated policy manager values.
Temperature: 65
Listening for violations.
Timestamp: Wed Jan  6 17:02:37 2021
The maximum thermal limit has violated policy manager values.
Temperature: 65
...

参数设置

 --set        actn,val   (OR required)  Set the current violation policy.
                             Use csv action,validation (ie. 1,2)
                             -----
                             Action to take when any of the violations
                             specified occur.
                             0 - None
                             1 - GPU Reset
                             -----
                             Validation to take after the violation action has
                             been performed.
                             0 - None
                             1 - System Validation (short)
                             2 - System Validation (medium)
                             3 - System Validation (long)
-x  --xiderrors             Add XID errors to the policy conditions.
-n  --nvlinkerrors           Add NVLink errors to the policy conditions.
-p  --pcierrors             Add PCIe replay errors to the policy conditions.
-e  --eccerrors             Add ECC double bit errors to the policy
                             conditions.
-P  --maxpower   max        Specify the maximum power a group's GPUs can reach
                             before triggering a violation.
-T  --maxtemp    max        Specify the maximum temperature a group's GPUs can
                             reach before triggering a violation.
-M  --maxpages   max        Specify the maximum number of retired pages that
                             will trigger a violation.

Health check

DCGM 的健康检查是无侵入式的检查，提供了实时监控和聚合的健康数据，其运行机制是

打开健康检查，设置需要检查的项
DCGM在后台运行，根据设置监控对应组件状态
用户通过dcgmi health命令查询当前发现的错误

$ dcgmi health --check -g 1
Health Monitor Report
+------------------+---------------------------------------------------------+
| Overall Health:   Healthy                                                  |
+==================+=========================================================+

$ dcgmi health --check -g 1 
Health Monitor Report
+----------------------------------------------------------------------+
| Group 1       | Overall Health: Warning                              |
+==================+===================================================+
| GPU ID: 0     | Warning                                              |
|               | PCIe system: Warning - Detected more than 8 PCIe     |
|               | replays per minute for GPU 0: 13                     |
+---------------+------------------------------------------------------+
| GPU ID: 1     | Warning                                              |
|               | InfoROM system: Warning - A corrupt InfoROM has been |
|               | detected in GPU 1.                                   |
+---------------+------------------------------------------------------+

GPU Diagnostics

诊断是主动检查的模式，提供了三个级别的检查，每次运行时会根据运行级别，运行对应的测试程序，来发现问题。

运行命令如下

$ dcgmi diag --host 127.0.0.1:39999 -g 3 -r 1
Successfully ran diagnostic for group.
+---------------------------+------------------------------------------------+
| Diagnostic                | Result                                         |
+===========================+================================================+
|-----  Deployment  --------+------------------------------------------------|
| Blacklist                 | Pass                                           |
| NVML Library              | Pass                                           |
| CUDA Main Library         | Pass                                           |
| Permissions and OS Blocks | Pass                                           |
| Persistence Mode          | Pass                                           |
| Environment Variables     | Pass                                           |
| Page Retirement           | Pass                                           |
| Graphics Processes        | Pass                                           |
| Inforom                   | Pass                                           |
+---------------------------+------------------------------------------------+

Profile

profile功能可以用较小的性能消耗获取GPU卡的利用率数据以及进程的性能数据，profile功能对于驱动版本和卡的类型有一些强制要求，具体是

DCGM 版本大于1.7
驱动版本大于418.43
nv-hostengine 以root身份启动
目前只支持Tesla V100、Tesla T4卡

可以获取的性能指标有

指标	说明	FIELD_NAME
Graphics Engine Activity	Ratio of time the graphics engine is active. The graphics engine is active if a graphics/compute context is bound and the graphics pipe or compute pipe is busy. PROF_GR_ENGINE_ACTIVE (ID: 1001)
SM Activity	The ratio of cycles an SM has at least 1 warp assigned (computed from the number of cycles and elapsed cycles)	PROF_SM_ACTIVE (ID: 1002)
SM Occupancy	The ratio of number of warps resident on an SM. (number of resident warps as a percentage of the theoretical maximum number of warps per elapsed cycle)	PROF_SM_OCCUPANCY (ID: 1003)
Tensor Activity	The ratio of cycles the tensor (HMMA) pipe is active (off the peak sustained elapsed cycles)	PROF_PIPE_TENSOR_ACTIVE (ID: 1004)
Memory BW Utilization	The ratio of cycles the device memory interface is active sending or receiving data.	PROF_DRAM_ACTIVE (ID: 1005)
Engine Activity	Ratio of cycles the fp64 /fp32 / fp16 / HMMA / IMMA pipes are active.	PROF_PIPE_FPXY_ACTIVE (ID: 1006 (FP64); 1007 (FP32); 1008 (FP16))
NVLink Activity	The number of bytes of active NVLink rx or tx data including both header and payload.	DEV_NVLINK_BANDWIDTH_L0
PCIe Bandwidth pci_bytes{rx, tx}	The number of bytes of active pcie rx or tx data including both header and payload.	PROFPCIE[TR]X_BYTES (ID: 1009 (TX); 1010 (RX))

在 k8s 中集成 GPU Telemetry

系统监控通常需要有以下几个组件：

数据收集组件：collector，作为数据来源
时序数据库组件：存储收集到的metrics
可视化组件：将收集到的数据以可视化的界面友好地展示出来

Prometheus 作为云原生时代优秀的解决方案，其结合 Grafana 和 Alert Manager 等组件实现了 k8s 集群的系统监控，下面是其组件架构，更多内容可以参考我的另一篇博文。

同样，为了获得 GPU 的监控数据，NVIDIA 推出了 dcgm-exporter，它封装了 DCGM，类似于 node-exporter 将 GPU 的数据暴露给 Prometheus：

部署 dcgm-exporter

dcgm-exporter 作为 DaemonSet 运行在每一个装有GPU的Node上，为了使得 Prometheus 能够采集到它收集的数据，同时创建了 Service。

apiVersion: apps/v1
kind: DaemonSet
namespace: kube-system
metadata:
  name: "dcgm-exporter"
  labels:
    app.kubernetes.io/name: "dcgm-exporter"
    app.kubernetes.io/version: "2.1.1"
spec:
  updateStrategy:
    type: RollingUpdate
  selector:
    matchLabels:
      app.kubernetes.io/name: "dcgm-exporter"
      app.kubernetes.io/version: "2.1.1"
  template:
    metadata:
      labels:
        app.kubernetes.io/name: "dcgm-exporter"
        app.kubernetes.io/version: "2.1.1"
      name: "dcgm-exporter"
    spec:
      containers:
      - image: "nvidia/dcgm-exporter:2.0.13-2.1.1-ubuntu18.04"
        env:
        - name: "DCGM_EXPORTER_LISTEN"
          value: ":9400"
        - name: "DCGM_EXPORTER_KUBERNETES"
          value: "true"
        name: "dcgm-exporter"
        ports:
        - name: "metrics"
          containerPort: 9400
        securityContext:
          runAsNonRoot: false
          runAsUser: 0
        volumeMounts:
        - name: "pod-gpu-resources"
          readOnly: true
          mountPath: "/var/lib/kubelet/pod-resources"
      volumes:
      - name: "pod-gpu-resources"
        hostPath:
          path: "/var/lib/kubelet/pod-resources"
---
kind: Service
apiVersion: v1
namespace: kube-system
metadata:
  name: "dcgm-exporter"
  labels:
    app.kubernetes.io/name: "dcgm-exporter"
    app.kubernetes.io/version: "2.1.1"
spec:
  selector:
    app.kubernetes.io/name: "dcgm-exporter"
    app.kubernetes.io/version: "2.1.1"
  ports:
  - name: "metrics"
    port: 9400

这一步之后，可以获取每个Node上的 Metrics：

1
2

部署完成后，需要在Prometheus的配置中，给 scrape_configs添加 gpu-metrics 的 job，通过 kubernetes_sd_configs 的服务发现机制找到 dcgm-exporter 对应的服务。

- job_name: gpu-metrics
  scrape_interval: 1s
  metrics_path: /metrics
  scheme: http
  kubernetes_sd_configs:
  - role: endpoints
    namespaces:
      names:
      - kube-system
    selectors:
      - role: pod
          label: "app.kubernetes.io/name:dcgm-exporter"
  relabel_configs:
  - source_labels: [__meta_kubernetes_pod_node_name]
    action: replace
    target_label: kubernetes_node

使用 grafana 监控

NVIDIA 提供了专用于 GPU 监控的 Grafana 面板，在Grafana 导入面板后，即可看到对应的GPU监控面板：

OpenFalcon GPU 监控插件

OpenFalcon 是小米开源的一套监控系统解决方案，其架构如下图所示。在每个节点上会有一个 falcon-agent 的 daemon 进程，负责对每个节点进行数据采集。

为了支持GPU监控，OpenFalcon 有专门的 GPU 监控插件，它依赖于 DCGM 获得监控指标，下面是一些常用的指标：

GPUUtils             GPU 使用率 (%)
MemUtils             GPU 显存使用率(%)
FBUsed               GPU 的显存占用(MB)
Performance          GPU 的性能状态(0-15, 其中0表示最高)
DeviceTemperature    当前GPU设备温度(℃)
PowerUsed            GPU的功率使用
SingleBitError       全部累积的单精度ECC错误
DoubleBitError       全部累积的双精度ECC错误

GPU Manager 监控数据分析

与 OpenFalcon 不同，GPU Manager 使用的是 NVML 库开发，获得对于 GPU Pod 级的监控数据。

func (disp *Display) getDeviceUsage(pidsInCont []int, deviceIdx int) *displayapi.DeviceInfo {
nvml.Init()
defer nvml.Shutdown()

dev, err := nvml.DeviceGetHandleByIndex(uint(deviceIdx))
if err != nil {
klog.Warningf("can't find device %d, error %s", deviceIdx, err)
return nil
}

processSamples, err := dev.DeviceGetProcessUtilization(1024, time.Second)
if err != nil {
klog.Warningf("can't get processes utilization from device %d, error %s", deviceIdx, err)
return nil
}

processOnDevices, err := dev.DeviceGetComputeRunningProcesses(1024)
if err != nil {
klog.Warningf("can't get processes info from device %d, error %s", deviceIdx, err)
return nil
}

busID, err := dev.DeviceGetPciInfo()
if err != nil {
klog.Warningf("can't get pci info from device %d, error %s", deviceIdx, err)
return nil
}

sort.Slice(pidsInCont, func(i, j int) bool {
return pidsInCont[i] < pidsInCont[j]
})

usedMemory := uint64(0)
usedPids := make([]int32, 0)
usedGPU := uint(0)
for _, info := range processOnDevices {
idx := sort.Search(len(pidsInCont), func(pivot int) bool {
return pidsInCont[pivot] >= int(info.Pid)
})

if idx < len(pidsInCont) && pidsInCont[idx] == int(info.Pid) {
usedPids = append(usedPids, int32(pidsInCont[idx]))
usedMemory += info.UsedGPUMemory
}
}

for _, sample := range processSamples {
idx := sort.Search(len(pidsInCont), func(pivot int) bool {
return pidsInCont[pivot] >= int(sample.Pid)
})

if idx < len(pidsInCont) && pidsInCont[idx] == int(sample.Pid) {
usedGPU += sample.SmUtil
}
}

return &displayapi.DeviceInfo{
Id:      busID.BusID,
CardIdx: fmt.Sprintf("%d", deviceIdx),
Gpu:     float32(usedGPU),
Mem:     float32(usedMemory >> 20),
Pids:    usedPids,
}
}

GPU 监控指标探讨

对于 k8s 的 GPU 监控，我们到底需要那些指标：

集群级别
- 整个集群有多少GPU，各种GPU的型号是怎样的
- 集群级别GPU算力使用量（绝对值），算力使用率（相对值）
- 集群级别GPU显存使用量（绝对值），显存使用率（相对值）
单机级别
- Node上有多少GPU，各种GPU的型号是怎样的
- 单机级别GPU算力使用量（绝对值），算力使用率（相对值）
- 单机级别GPU显存使用量（绝对值），显存使用率（相对值）
Pod级别
- Pod 运行在哪个GPU上
- Pod级别GPU算力使用量（绝对值），算力使用率（相对值）
- Pod级别GPU显存使用量（绝对值），显存使用率（相对值）
其他相关统计数据
- GPU的功率、温度、主频、FAN转速等

参考资料

【Service Mesh】Istio 流量控制

2020-11-24T08:47:28.000Z

流量控制是指对系统流量的管控，包括了对网格入口的流量、网格出口的流量以及在网格内部微服务间相互调用流量的控制。在 Istio 入门中我们知道，Istio 架构在逻辑上分为 Control plane 和 Data plane，Control plane 负责整体管理和配置代理， Data plane 负责网格内所有微服务间的网络通信，同时还收集报告网络请求的遥测数据等。流量控制是在 Data plane 层实现。

路由和流量转移

Istio 为了控制服务请求，引入了服务版本（version）的概念，可以通过版本这一标签将服务进行区分。版本的设置是非常灵活的，以下是几种典型的设置方式：

根据服务的迭代编号进行定义（如 v1、v2 版本）
根据部署环境进行定义（比如 dev、staging、production）
自定义的任何用于区分服务的某种标记

通过版本标签，Istio 就可以定义灵活的路由规则来控制流量，上面提到的金丝雀发布这类应用场景就很容易实现了。

下图展示了使用服务版本实现路由分配的例子。服务版本定义了版本号（v1.5、v2.0-alpha）和环境（us-prod、us-staging）两种信息。服务 B 包含了 4 个 Pod，其中 3 个是部署在生产环境的 v1.5 版本，而 Pod4 是部署在预生产环境的 v2.0-alpha 版本。运维人员可以根据服务版本来指定路由规则，使 99% 的流量流向 v1.5 版本，而 1% 的流量进入 v2.0-alpha 版本。

除了上面介绍的服务间流量控制外，还能控制与网格边界交互的流量。可以在系统的入口和出口处部署 Sidecar 代理，让所有流入和流出的流量都由代理进行转发。负责入和出的代理就叫做入口网关和出口网关，它们把守着进入和流出网格的流量。下图展示了 Ingress 和 Egress 在请求流中的位置，有了他们俩，也就可以控制出入网格的流量了。

Istio 还能设置流量策略。比如可以对连接池相关的属性进行设置，通过修改最大连接等参数，实现对请求负载的控制。还可以对负载均衡策略进行设置，在轮询、随机、最少访问等方式之间进行切换。还能设置异常探测策略，将满足异常条件的实例从负载均衡池中摘除，以保证服务的稳定性。

Istio 的流量路由规则可以让您很容易的控制服务之间的流量和 API 调用。Istio 在服务层面提供了断路器，超时，重试等功能，通过这些功能可以简单地实现 A/B 测试，金丝雀发布，基于百分比的流量分割等，此外还提供了开箱即用的故障恢复功能，用于增加应用的健壮性，以应对服务故障或网络故障。这些功能都可以通过 Istio 的流量管理 API 添加流量配置来实现。

跟其他 Istio 配置一样，流量管理 API 也使用 CRD 指定。本小节主要介绍下面几个典型的流量管理 API 资源，以及这些 API 的功能和使用示例。

VirtualService

VirtualService 由一组 路由规则 组成，描述了 用户请求的目标地址 到 服务网格中实际工作负载 之间的映射。在这个映射中，VirtualService提供了丰富的配置方式，可以为发送到这些 Workloads 的流量指定不同的路由规则。对应于具体的配置，用户请求的目标地址用 hosts 字段来表示，网格内的实际负载由每个 route 配置项中的 destination 字段指定。

graph LRsubgraph VirtualServiceClientRequests -- DifferentTrafficRoutingRules --> DestinationWorkloadsHosts -- DifferentTrafficRoutingRules --> RouteDestinationend

VirtualService 通过解耦 用户请求的目标地址 和 真实响应请求的目标工作负载，为服务提供了合适的统一抽象层，而由此演化设计的配置模型为管理这方面提供了一致的环境。对于原生 Kubernetes 而言，只有在 Ingress 处有这种路由规则的定义，对于集群内部不同Service的不同版本之间，并没有类似 VirtualService 的定义。

使用 VirtualService，可以为一个或多个主机名指定流量行为。在 VirtualService 中使用路由规则，告诉 Envoy如何发送 VirtualService 的流量到适当的目标。路由目标可以是相同服务的不同版本，或者是完全不同的服务。

一个典型的应用场景是将流量发送到被指定为服务子集的服务的不同版本。客户端将 VirtualService 视为一个单一实体，将请求发送至 VirtualService 主机，然后 Envoy 根据 VirtualService 规则把流量路由到不同的版本中。

这种方式可以方便地创建一种金丝雀的发布策略实现新版本流量的平滑比重升级。流量路由完全独立于实例部署，这意味着实现新版本服务的实例可以根据流量的负载来伸缩，完全不影响流量路由。相比之下，类似 Kubernetes 的容器调度平台仅支持基于部署中实例扩缩容比重的流量分发，那样会日趋复杂化。关于使用VirtualService实现金丝雀部署，可以参考 Canary 。

VirtualService 也提供了如下功能。

通过单个 VirtualService 处理多个应用程序服务。例如，如果您的服务网格使用是 Kubernetes，您可以配置一个 VirtualService 来处理一个特定命名空间的所有服务。将单一的 VirtualService 映射为多个“真实”的服务特别有用，可以在不需要客户适应转换的情况下，将单体应用转换为微服务构建的复合应用系统。您的路由规则可以指定“请求到 monolith.com 的 URLs 跳转至 microservice A 中”。
和 Gateway 一起配置流量规则来控制入口和出口流量。

在一些应用场景中，由于指定服务子集，需要配置 DestinationRule 来使用这些功能。在不同的对象中指定服务子集以及其他特定的目标策略可以帮助您在不同的 VirtualService 中清晰地复用这些功能。

下面的 VirtualService 根据是否来自于特定用户路由请求到不同的服务版本中（如果请求来自用户 jason ，则访问 v2 版本的 reviews，否则访问 v3 版本）：

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews
spec:
  hosts:
  - reviews
  http:
  - match:
    - headers:
        end-user:
          exact: jason
    route:
    - destination:
        host: reviews
        subset: v2
  - route:
    - destination:
        host: reviews
        subset: v3

下面对这些字段依次解释：

Hosts

用来配置 Downstream 访问的可寻址地址，也就是用户请求的目标地址。

1 2	hosts: - reviews

VirtualService 主机名可以是 IP 地址、 DNS 域名、完全限定域名（FQDN)
也可以是依赖于平台的一个简称（例如 Kubernetes 服务的短名称）
也可以使用通配符 *前缀，创建一组匹配所有服务的路由规则
VirtualService 的 hosts 实际上不必是 Istio 服务注册的一部分，它只是虚拟的目标地址。这可以为没有路由到网格内部的虚拟主机建模。

路由规则

http 字段用来配置路由规则，通常情况下配置一组路由规则，当请求到来时，自上而下依次进行匹配，直到匹配成功后跳出匹配。它可以对请求的 uri、method、authority、headers、port、queryParams 以及是否对 uri 大小写敏感等进行配置。

除了HTTP协议，也可以使用 tcp 和 tls 片段为 TCP 和未终止的 TLS 流量设置路由规则

http:
- match:
  - headers:
      end-user:
        exact: jason
  route:
  - destination:
      host: reviews
      subset: v2
- route:
  - destination:
      host: reviews
      subset: v3

我们推荐在每个 VirtualService 中配置一条默认「无条件的」或者基于权重的规则以确保 VirtualService 至少有一条匹配的路由。

Destination

路由片段的 destination 字段指定符合匹配条件的流量目标地址。这里不像 VirtualService 的 hosts，Destination 的 host 必须是存在于 Istio 服务注册中心的实际目标地址，否则 Envoy 不知道该将请求发送到哪里。这个目标地址可以是代理的网格服务或者作为服务入口加入的非网格服务。下面的场景中我们运行在 Kubernetes 平台上，主机名是 Kubernetes 的服务名。

route:
- destination:
    host: reviews
    subset: v2

*Note for Kubernetes users*: When short names are used (e.g. "reviews" instead of "reviews.default.svc.cluster.local"), Istio will interpret the short name based on the namespace of the rule, not the service. A rule in the "default" namespace containing a host "reviews will be interpreted as "reviews.default.svc.cluster.local", irrespective of the actual namespace associated with the reviews service. To avoid potential misconfiguration, it is recommended to always use fully qualified domain names over short names.

Match

路由规则是将特定流量子集路由到特定目标地址的强大工具。可以在流量端口、header 字段、 URL 等内容上设置匹配条件。例如，下面的VirtualService 使用户发送流量到两个独立的服务，ratings and reviews，就好像它们是 http://bookinfo.com/ 这个更大的 VirtualService 的一部分。VirtualService 规则根据请求的 URL 和指向适当服务的请求匹配流量。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: bookinfo
spec:
  hosts:
    - bookinfo.com
  http:
  - match:
    - uri:
        prefix: /reviews
    route:
    - destination:
        host: reviews
  - match:
    - uri:
        prefix: /ratings
    route:
    - destination:
        host: ratings

对于匹配条件，您可以使用确定的值，一条前缀、或者一条正则表达式。

您可以使用 AND 向同一个 match 块添加多个匹配条件，或者使用 OR 向同一个规则添加多个 match 块。对于任意给定的 VirtualService ，您可以配置多条路由规则。这可以使您的路由条件在一个单独的 VirtualService 中基于业务场景的复杂度来进行相应的配置。可以在 HTTPMatchRequest 参考中查看匹配条件字段和他们可能的值。

再者进一步使用匹配条件，您可以使用基于“权重”百分比分发流量。这在 A/B 测试和金丝雀部署中非常有用。

spec:
  hosts:
  - reviews
  http:
  - route:
    - destination:
        host: reviews
        subset: v1
      weight: 75
    - destination:
        host: reviews
        subset: v2
      weight: 25

您也可以使用路由规则在流量上执行一些操作，例如

扩展或者删除 headers
重写 URL
为调用这个目标地址设置重试策略

DestinationRule

DestinationRule 是 Istio 流量路由功能的重要组成部分。一个 VirtualService 可以看作是如何将流量分发到给定的目标地址，然后调用 DestinationRule 来配置分发到该目标地址的流量。DestinationRule 在 VirtualService 的路由规则之后起作用(即在 VirtualService 的 match -> route -> destination 之后起作用，此时流量已经分发到真实的 Service 上)，应用于真实的目标地址。

特别地，可以使用 DestinationRule 来指定命名的服务子集，例如根据版本对服务的实例进行分组，然后通过 VirtualService 的路由规则中的服务子集将控制流量分发到不同服务的实例中。

DestinationRule 允许在调用完整的目标服务或特定的服务子集(如倾向使用的负载均衡模型，TLS 安全模型或断路器)时自定义 Envoy流量策略。Istio 默认会使用轮询策略，此外 Istio 也支持如下负载均衡模型，可以在 DestinationRule 中使用这些模型，将请求分发到特定的服务或服务子集。

Random：将请求转发到一个随机的实例上
Weighted：按照指定的百分比将请求转发到实例上
Least requests：将请求转发到具有最少请求数目的实例上

下面的 DestinationRule 使用不同的负载均衡策略为 my-svc 目的服务配置了3个不同的 Subset

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: my-destination-rule
spec:
  host: my-svc
  trafficPolicy:     #默认的负载均衡策略模型为随机
    loadBalancer:
      simple: RANDOM
  subsets:
  - name: v1  #subset1，将流量转发到具有标签 version:v1 的 deployment 对应的服务上
    labels:
      version: v1
  - name: v2  #subset2，将流量转发到具有标签 version:v2 的 deployment 对应的服务上,指定负载均衡为轮询
    labels:
      version: v2
    trafficPolicy:
      loadBalancer:
        simple: ROUND_ROBIN
  - name: v3   #subset3，将流量转发到具有标签 version:v3 的 deployment 对应的服务上
    labels:
      version: v3

每个子集由一个或多个 labels 定义，对应 Kubernetes 中的对象(如 Pod )的 key/value 对。这些标签定义在 Kubernetes 服务的 deployment 的 metadata 中，用于标识不同的版本。

除了定义子集外，DestinationRule 还定义了该目的地中所有子集的默认流量策略，以及仅覆盖该子集的特定策略。默认的策略定义在 subset 字段之上，为 v1 和 v3 子集设置了随机负载均衡策略，在 v2 策略中使用了轮询负载均衡。

Gateway

Gateway 用于管理进出网格的流量，指定可以进入或离开网格的流量。Gateway 配置应用于网格边缘的独立的 Envoy代理上，而不是服务负载的 Envoy 代理上。

与其他控制进入系统的流量的机制(如 Kubernetes Ingress API)不同，Istio gateway 允许利用 Istio 的流量路由的强大功能和灵活性。Istio 的 gateway 资源仅允许配置 4-6 层的负载属性，如暴露的端口，TLS 配置等等，但结合 Istio 的 VirtualService，就可以像管理 Istio 网格中的其他数据面流量一样管理 Gateway 的流量。

Gateway 主要用于管理 Ingress 流量，但也可以配置 Egress Gateway。通过 Egress Gateway 可以配置流量离开网格的特定节点，限制哪些服务可以访问外部网络，或通过 Egress 安全控制来提高网格的安全性。Gateway 可以用于配置为一个纯粹的内部代理。

Istio (通过 istio-ingressgateway 和 istio-egressgateway 参数)提供了一些预配置的 Gateway 代理，default profile 下仅会部署 Ingress Gateway。Gateway 可以通过部署文件进行部署，也可以单独部署。

下面是 default profile 默认安装的 Ingress

1
2
3

$ kubectl get gw
NAME               AGE
bookinfo-gateway   28h

可以看到该 ingress 就是一个普通的 Pod，该 Pod 仅包含一个 Istio-proxy 容器

1 2	$ kubectl get pod -n istio-system \|grep ingress istio-ingressgateway-64f6f9d5c6-qrnw2 1/1 Running 0 4d20h

下面是一个 Gateway 的例子，用于配置外部 HTTPS 的 ingress 流量：

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: ext-host-gwy
spec:
  selector:              #指定 gateway 配置下发的代理，如具有标签 app: my-gateway-controller 的 pod
    app: my-gateway-controller
  servers:
  - port:                #gateway pod 暴露的端口信息
      number: 443
      name: https
      protocol: HTTPS
    hosts:                #外部流量
    - ext-host.example.com
    tls:
      mode: SIMPLE
      serverCertificate: /tmp/tls.crt
      privateKey: /tmp/tls.key

上述 Gateway 配置允许来自 ext-host.example.com 流量进入网格的 443 端口，但没有指定该流量的路由。(此时流量只能进入网格，但没有指定处理该流量的服务，因此需要与 VirtualService 进行绑定)

为了为 Gateway 指定路由，需要通过 VirtualService 的 Gateway 字段，将 Gateway 绑定到一个 VirtualService 上，将来自 ext-host.example.com 流量引入一个 VirtualService，hosts 可以是通配符，表示引入匹配到的流量。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: virtual-svc
spec:
  hosts:
  - ext-host.example.com
  gateways:        #将 gateway "ext-host-gwy" 绑定到 virtual service "virtual-svc"上
  - ext-host-gwy

Egress Gateway 提供了对网格的出口流量进行统一管控的功能，在安装 Istio 时默认是不开启的。可以使用以下命令查看是否开启。

1	$ kubectl get pod -l istio=egressgateway -n istio-system

若没有开启，使用以下命令添加。

1 2	$ istioctl manifest apply --set values.global.istioNamespace=istio-system \ --set values.gateways.istio-egressgateway.enabled=true

Egress Gateway 的一个简单示例如下：

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: istio-egressgateway
spec:
  selector:
    istio: egressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - edition.cnn.com

可以看出，与 Ingress Gateway 不同，Egress Gateway 使用有 istio: egressgateway 标签的 Pod 来代理流量，实际上这也是一个 Envoy 代理。当网格内部需要访问 edition.cnn.com 这个地址时，流量将会统一先转发到 Egress Gateway 上，再由 Egress Gateway 将流量转发到 edition.cnn.com 上。

ServiceEntry

Istio 支持对接 Kubernetes、Consul 等多种不同的注册中心，控制平面Pilot启动时，会从指定的注册中心获取 Service Mesh 集群的服务信息和实例列表，并将这些信息进行处理和转换，然后通过 xDS 下发给对应的数据平面，保证服务之间可以互相发现并正常访问。

同时，由于这些服务和实例信息都来源于服务网格内部，Istio 无法从注册中心直接获取网格外的服务，导致不利于网格内部与外部服务之间的通信和流量管理。为此，Istio 引入 ServiceEntry 实现对外通信和管理。

使用 ServiceEntry 可以将外部的服务条目添加到 Istio 内部的服务注册表中，以便让网格中的服务能够访问并路由到这些手动指定的服务。ServiceEntry 描述了服务的属性（DNS 名称、VIP、端口、协议、端点）。这些服务可能是位于网格外部（如，web APIs），也可能是处于网格内部但不属于平台服务注册表中的条目（如，需要和 Kubernetes 服务交互的一组虚拟机服务）。

ServiceEntry 示例和属性介绍

对于网格外部的服务，下面的 ServiceEntry 示例表示网格内部的应用通过 https 访问外部的 API。

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: google
spec:
  hosts:
  - www.google.com
  ports:
  - number: 443
    name: https
    protocol: HTTPS
  resolution: DNS
  location: MESH_EXTERNAL

对于在网格内部但不属于平台服务注册表的服务，使用下面的示例可以将一组在非托管 VM 上运行的 MongoDB 实例添加到 Istio 的注册中心，以便可以将这些服务视为网格中的任何其他服务。

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: external-svc-mongocluster
spec:
  hosts:
  - mymongodb.somedomain
  addresses:
  - 192.192.192.192/24 # VIPs
  ports:
  - number: 27018
    name: mongodb
    protocol: MONGO
  location: MESH_INTERNAL
  resolution: STATIC
  endpoints:
  - address: 2.2.2.2
  - address: 3.3.3.3

结合上面给出的示例，这里对 ServiceEntry 涉及的关键属性解释如下：

hosts: 表示与该 ServiceEntry 相关的主机名，可以是带有通配符前缀的 DNS 名称。
address: 与服务相关的虚拟 IP 地址，可以是 CIDR 前缀的形式。
ports: 和外部服务相关的端口，如果外部服务的 endpoints 是 Unix socket 地址，这里必须只有一个端口。
location: 用于指定该服务属于网格内部（MESH_INTERNAL）还是外部（MESH_EXTERNAL）。
resolution: 主机的服务发现模式，可以是 NONE、STATIC、DNS。
endpoints: 与服务相关的一个或多个端点。
exportTo: 用于控制 ServiceEntry 跨命名空间的可见性，这样就可以控制在一个命名空间下定义的资源对象是否可以被其他命名空间下的 Sidecar、Gateway 和 VirtualService 使用。目前支持两种选项，”.” 表示仅应用到当前命名空间，”*” 表示应用到所有命名空间。

使用 ServiceEntry 访问外部服务

Istio 提供了三种访问外部服务的方法：

允许 Sidecar 将请求传递到未在网格内配置过的任何外部服务。使用这种方法时，无法监控对外部服务的访问，也不能利用 Istio 的流量控制功能。
配置 ServiceEntry 以提供对外部服务的受控访问。这是 Istio 官方推荐使用的方法。
对于特定范围的 IP，完全绕过 Sidecar。仅当出于性能或其他原因无法使用 Sidecar 配置外部访问时，才建议使用该配置方法。

这里，我们重点讨论第 2 种方式，也就是使用 ServiceEntry 完成对网格外部服务的受控访问。

对于 Sidecar 对外部服务的处理方式，Istio 提供了两种选项:

ALLOW_ANY：默认值，表示 Istio 代理允许调用未知的外部服务。上面的第一种方法就使用了该配置项。
REGISTRY_ONLY：Istio 代理会阻止任何没有在网格中定义的 HTTP 服务或 ServiceEntry 的主机。

可以使用下面的命令查看当前所使用的模式:

1 2	$ kubectl get configmap istio -n istio-system -o yaml \| grep -o "mode: ALLOW_ANY" mode: ALLOW_ANY

如果当前使用的是 ALLOW_ANY 模式，可以使用下面的命令切换为 REGISTRY_ONLY 模式:

1 2	$ kubectl get configmap istio -n istio-system -o yaml \| sed 's/mode: ALLOW_ANY/mode: REGISTRY_ONLY/g' \| kubectl replace -n istio-system -f - configmap "istio" replaced

在 REGISTRY_ONLY 模式下，需要使用 ServiceEntry 才能完成对外部服务的访问。当创建如下的 ServiceEntry 时，服务网格内部的应用就可以正常访问 httpbin.org 服务了。

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: httpbin-ext
spec:
  hosts:
  - httpbin.org
  ports:
  - number: 80
    name: http
    protocol: HTTP
  resolution: DNS
  location: MESH_EXTERNAL

管理外部流量

使用 ServiceEntry 可以使网格内部服务发现并访问外部服务，除此之外，还可以对这些到外部服务的流量进行管理。结合 VirtualService 为对应的 ServiceEntry 配置外部服务访问规则，如请求超时、故障注入等，实现对指定服务的受控访问。

下面的示例就是为外部服务 httpbin.org 设置了超时时间，当请求时间超过 3s 时，请求就会直接中断，避免因外部服务访问时延过高而影响内部服务的正常运行。由于外部服务的稳定性通常无法管控和监测，这种超时机制对内部服务的正常运行具有重要意义。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin-ext
spec:
  hosts:
  - httpbin.org
  http:
  - timeout: 3s
    route:
      - destination:
          host: httpbin.org
        weight: 100

同样的，我们也可以为 ServiceEntry 设置故障注入规则，为系统测试提供基础。下面的示例表示为所有访问 httpbin.org 服务的请求注入一个403错误。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
 name: httpbin-service
spec:
 hosts:
 - httpbin.org
 http:
 - route:
   - destination:
       host: httpbin.org
   fault:
     abort:
       percent: 100
       httpStatus: 403

Sidecar

在默认的情况下，Istio 中所有 Pod 中的 Envoy 代理都是可以被寻址的。然而在某些场景下，我们为了做资源隔离，希望只访问某些 Namespace 下的资源。这个时候，我们就可以使用 Sidecar配置来实现。下面是一个简单的示例：

apiVersion: networking.istio.io/v1alpha3
kind: Sidecar
metadata:
  name: default
  namespace: bookinfo
spec:
  egress:
  - hosts:
    - "./*"
    - "istio-system/*"

该示例就规定了在命名空间为 bookinfo 下的所有服务仅可以访问本命名空间下的服务以及 istio-system 命名空间下的服务。

弹性功能

除了最核心的路由和流量转移功能外，Istio 还提供了一定的弹性功能，目前支持超时、重试和熔断。

Request Timeouts

如果程序请求长时间无法返回结果，则需要设置超时机制，超过设置的时间则返回错误信息。这样做既可以节约等待时消耗的资源，也可以避免由于级联错误引起的一系列问题。

设置超时的方式也有很多种，比如通过修改代码在应用程序侧设置请求超时时间，但是这样很不灵活，也容易出现遗漏的现象，而 Istio 则可以在基础设施层解决这一问题。在 Istio 里添加超时非常简单，只需要在路由配置里添加 timeout 这个关键字就可以实现。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: ratings
spec:
  hosts:
  - ratings
  http:
  - route:
    - destination:
        host: ratings
        subset: v1
    timeout: 10s

Retries

在网络环境不稳定的情况下，会出现暂时的网络不可达现象，这时需要重试机制，通过多次尝试来获取正确的返回信息。重试逻辑可以写业务代码中，比如 Bookinfo 应用中的productpage服务就存在硬编码重试，而 Istio 可以通过简单的配置来实现重试功能，让开发人员无需关注重试部分的代码实现，专心实现业务代码。在 Istio 里添加超时和重试都非常简单，只需要在路由配置里添 retry 这个关键字就可以实现。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: ratings
spec:
  hosts:
  - ratings
  http:
  - route:
    - destination:
        host: ratings
        subset: v1
    retries:
      attempts: 3
      perTryTimeout: 2s

Circuit Breaking

熔断是一种非常有用的过载保护手段，可以避免服务的级联失败。在熔断器中，设置一个对服务中的单个主机调用的限制，例如并发连接的数量或对该主机调用失败的次数。一旦限制被触发，熔断器就会“跳闸”并停止连接到该主机。使用熔断模式可以快速失败而不必让客户端尝试连接到过载或有故障的主机。熔断适用于在负载均衡池中的“真实”网格目标地址，可以在 DestinationRule 中配置熔断器阈值，让配置适用于服务中的每个主机。

Istio 里面的熔断需要在自定义资源 DestinationRule 的 TrafficPolicy 里进行设置。下面的示例将 v1 子集的reviews服务工作负载的并发连接数限制为 100：

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews
spec:
  host: reviews
  subsets:
  - name: v1
    labels:
      version: v1
    trafficPolicy:
      connectionPool:
        tcp:
          maxConnections: 100

调试能力

Istio 还提供了对流量进行调试的能力，包括故障注入和流量镜像。对流量进行调试可以让系统具有更好的容错能力，也方便我们在问题排查时通过调试来快速定位原因所在。

Fault Injection

在一个微服务架构的系统中，为了让系统达到较高的健壮性要求，通常需要对系统做定向错误测试。比如电商中的订单系统、支付系统等若出现故障那将是非常严重的生产事故，因此必须在系统设计前期就需要考虑多样性的异常故障并对每一种异常设计完善的恢复策略或优雅的回退策略，尽全力规避类似事故的发生，使得当系统发生故障时依然可以正常运作。而在这个过程中，服务故障模拟一直以来是一个非常繁杂的工作，于是在这样的背景下就衍生出了故障注入技术手段，故障注入是用来模拟上游服务请求响应异常行为的一种手段。通过人为模拟上游服务请求的一些故障信息来检测下游服务的故障策略是否能够承受这些故障并进行自我恢复。

Istio 提供了一种无侵入式的故障注入机制，让开发测试人员在不用调整服务程序的前提下，通过配置即可完成对服务的异常模拟。Istio 1.5 仅支持网络层的故障模拟，即支持模拟上游服务的处理时长、服务异常状态、自定义响应状态码等故障信息，暂不支持对于服务主机内存、CPU 等信息故障的模拟。他们都是通过配置上游主机的 VirtualService 来实现的。当我们在 VirtualService 中配置了故障注入时，上游服务的 Envoy代理在拦截到请求之后就会做出相应的响应。

目前，Istio 提供两种类型的故障注入，abort 类型与 delay 类型。

abort：非必配项，配置一个 Abort 类型的对象。用来注入请求异常类故障。简单的说，就是用来模拟上游服务对请求返回指定异常码时，当前的服务是否具备处理能力。它对应于 Envoy过滤器中的 config.filter.http.fault.v2.FaultAbort 配置项，当 VirtualService 资源应用时，Envoy将会该配置加载到过滤器中并处理接收到的流量。
delay：非必配项，配置一个 Delay 类型的对象。用来注入延时类故障。通俗一点讲，就是人为模拟上游服务的响应时间，测试在高延迟的情况下，当前的服务是否具备容错容灾的能力。它对应于 Envoy过滤器中的 config.filter.fault.v2.FaultDelay 配置型，同样也是在应用 Istio 的 VirtualService 资源时，Envoy将该配置加入到过滤器中。

实际上，Istio 的故障注入正是基于 Envoy的 config.filter.http.fault.v2.HTTPFault 过滤器实现的，它的局限性也来自于 Envoy故障注入机制的局限性。对于 Envoy的 HttpFault 的详细介绍请参考 Envoy 文档。对比 Istio 故障注入的配置项与 Envoy故障注入的配置项，不难发现，Istio 简化了对于故障控制的手段，去掉了 Envoy中通过 HTTP header 控制故障注入的配置。

HTTPFaultInjection.Abort

httpStatus：必配项，是一个整型的值。表示注入 HTTP 请求的故障状态码。
percentage：非必配项，是一个 Percent 类型的值。表示对多少请求进行故障注入。如果不指定该配置，那么所有请求都将会被注入故障。
percent：已经废弃的一个配置，与 percentage 配置功能一样，已经被 percentage 代替。

如下的配置表示对 v1 版本的 ratings.prod.svc.cluster.local 服务访问的时候进行故障注入，0.1表示有千分之一的请求被注入故障， 400 表示故障为该请求的 HTTP 响应码为 400 。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: ratings-route
spec:
  hosts:
  - ratings.prod.svc.cluster.local
  http:
  - route:
    - destination:
        host: ratings.prod.svc.cluster.local
        subset: v1
    fault:
      abort:
        percentage:
          value: 0.1
        httpStatus: 400

HTTPFaultInjection.Delay

fixedDelay：必配项，表示请求响应的模拟处理时间。格式为：1h/1m/1s/1ms，不能小于 1ms。
percentage：非必配项，是一个 Percent 类型的值。表示对多少请求进行故障注入。如果不指定该配置，那么所有请求都将会被注入故障。
percent：已经废弃的一个配置，与 percentage 配置功能一样，已经被 percentage 代替。

如下的配置表示对 v1 版本的 reviews.prod.svc.cluster.local 服务访问的时候进行延时故障注入，0.1 表示有千分之一的请求被注入故障，5s 表示reviews.prod.svc.cluster.local 延时 5s返回。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews-route
spec:
  hosts:
  - reviews.prod.svc.cluster.local
  http:
  - match:
    - sourceLabels:
        env: prod
    route:
    - destination:
        host: reviews.prod.svc.cluster.local
        subset: v1
    fault:
      delay:
        percentage:
          value: 0.1
        fixedDelay: 5s

Mirroring

流量镜像（Mirroring / traffic-shadow），也叫作影子流量，就是通过复制一份请求并把它发送到镜像服务，从而实现流量的复制功能。流量镜像的主要应用场景有以下几种：最主要的就是进行线上问题排查。

一般情况下，因为系统环境，特别是数据环境、用户使用习惯等问题，我们很难在开发环境中模拟出真实的生产环境中出现的棘手问题，同时生产环境也不能记录太过详细的日志，因此很难定位到问题。有了流量镜像，我们就可以把真实的请求发送到镜像服务，再打开 debug 日志来查看详细的信息。除此以外，还可以通过它来观察生产环境的请求处理能力，比如在镜像服务进行压力测试。也可以将复制的请求信息用于数据分析。流量镜像在 Istio 里实现起来也非常简单，只需要在路由配置中通添加mirror关键字即可。

流量镜像能够为我们带来什么

很多情况下，当我们对服务做了重构，或者我们对项目做了重大优化时，怎么样保证服务是健壮的呢？在传统的服务里，我们只能通过大量的测试，模拟在各种情况下服务的响应情况。虽然也有手工测试、自动化测试、压力测试等一系列手段去检测它，但是测试本身就是一个样本化的行为，即使测试人员再完善它的测试样例，无法全面的表现出线上服务的一个真实流量形态。往往当项目发布之后，总会出现一些意外，比如你服务里收到客户使用的某些数据库不认识的特殊符号，再比如用户在本该输入日期的输入框中输入了 “—” 字样的字符，又比如用户使用乱码替换你的 token 值批量恶意攻击服务等等，这样的情况屡见不鲜。数据的多样性，复杂性决定了开发人员在开发阶段根本是无法考虑周全的。

而流量镜像的设计，让这类问题得到了最大限度的解决。流量镜像讲究的不再是使用少量样本去评估一个服务的健壮性，而是在不影响线上坏境的前提下将线上流量持续的镜像到我们的预发布坏境中去，让重构后的服务在上线之前就结结实实地接受一波真实流量的冲击与考验，让所有的风险全部暴露在上线前夕，通过不断的暴露问题，解决问题让服务在上线前夕就拥有跟线上服务一样的健壮性。由于测试坏境使用的是真实流量，所以不管从流量的多样性，真实性，还是复杂性上都将能够得以展现，同时预发布服务也将表现出其最真实的处理能力和对异常的处理能力。运用这种模式，一方面，我们将不会再跟以前一样在发布服务前夕内心始终忐忑不安，只能祈祷上线之后不会出现问题。另一方面，当大量的流量流入重构服务之后，开发过程中难以评估的性能问题也将完完整整的暴露出来，此时开发人员将会考虑它服务的性能，测试人员将会更加完善他们的测试样例。通过暴露问题，解决问题，再暴露问题，再解决问题的方式循序渐进地完善预发布服务来增加我们上线的成功率。同时也变相的促进我们开发测试人员技能水平的提高。

当然，流量镜像的作用不仅仅只是解决上面这样的场景问题，我们可以根据它的特性，解决更多的问题。比如，假如我们在上线后突然发现一个线上问题，而这个问题在测试坏境中始终不能复现。那么这个时候我们就能利用它将异常流量镜像到一个分支服务中去，然后我们可以随意在这个分支服务上进行分析调试，这里所说的分支服务，可以是原服务的只用于问题分析而不处理正式业务的副本服务，也可以是一个只收集镜像流量的组件类服务。又比如突然需要收集某个时间段某些流量的特征数据做分析，像这种临时性的需求，使用流量镜像来处理非常合适，既不影响线上服务的正常运转，也达到了收集分析的目的。

流量镜像的实现原理

实际上在 Istio 中，服务间的通讯都是被 Envoy代理拦截并处理的， Istio 流量镜像的设计也是基于 Envoy特性实现的。它的流量转发如下图所示。可以看到，当流量进入到Service A时，因为在Service A的 Envoy代理上配置了流量镜像规则，那么它首先会将原始流量转发到v1版本的 Service B服务子集中去。同时也会将相同的流量复制一份，异步地发送给v2版本的Service B 服务子集中去，可以明显的看到，Service A 发送完镜像流量之后并不关心它的响应情况。

在很多情况下，我们需要将真实的流量数据与镜像流量数据进行收集并分析，那么当我们收集完成后应该怎样区分哪些是真实流量，哪些是镜像流量呢？实际上，Envoy团队早就考虑到了这样的场景，他们为了区分镜像流量与真实流量，在镜像流量中修改了请求标头中 host 值来标识，它的修改规则是：在原始流量请求标头中的 host 属性值拼接上“-shadow” 字样作为镜像流量的 host 请求标头。

为了能够更清晰的对比出原始流量与镜像流量的区别，我们使用以下的一个示例来说明：

如下图所示，我们发起一个http://istio.gateway.xxxx.tech/serviceB/request/info的请求，请求首先进入了istio-ingressgateway ，它是一个 Istio 的 Gateway 资源类型的服务，它本身就是一个 Envoy代理。在这个例子里，就是它对流量进行了镜像处理。可以看到，它将流量转发给v1版本Service B服务子集的同时也复制了一份流量发送到了v2版本的Service B服务子集中去。

在上面的请求链中，请求标头数据有什么变化呢？下图收集了它们请求标头中的所有信息，可以明显的对比出正式流量与镜像流量请求标头中host属性的区别（部分相同的属性值过长，这里只截取了前半段）。从图中我们可以看出，首先就是host属性值的不同，而区别就是多了一个“-shadow”的后缀。再者发现x-forwarded-for属性也不相同，x-forwarded-for协议头的格式是：x-forwarded-for: client1, proxy1, proxy2，当流量经过 Envoy代理时这个协议头将会把代理服务的 IP 添加进去。实例中10.10.2.151是我们云主机的 IP，而10.10.2.121是isito-ingressgateway所对应Pod的 IP 。从这里也能看到，镜像流量是由istio-ingressgatway发起的。除了这两个请求标头的不同，其他配置项是完全一样的。

流量镜像的配置

上面我们介绍了流量镜像的原理及使用场景，接下来我们再介绍下流量的镜像如何配置才能生效。在 Istio 架构里，镜像流量是借助于 VirtualService 这个资源中的 HTTPRoute 配置项的mirror与mirrorPercent这两项子配置项来实现的，这两个配置项的定义也是非常的简单。

mirror：配置一个 Destination 类型的对象，这里就是我们镜像流量转发的服务地址。具体的 VirtualService 配置与DestinationRule 对象配置属性请参考相关介绍页。
mirrorPercent：配置一个数值，这个配置项用来指定有多少的原始流量将被转发到镜像流量服务中去，它的有效值为0~100，如果配置成0则表示不发送镜像流量。

下面的例子就是我们在示例中使用到的Service B的镜像流量配置，其中，mirror.host配置项是配置一个域名或者在Istio 注册表中注册过的服务名称，可以看到，该配置指定了镜像流量需要发送的目标服务地址为serviceB。mirror.subset配置项配置一个Service B服务的服务子集名称，指定了要将镜像流量镜像到v2版本的Service B服务子集中去。mirror_percent配置将100%的真实流量进行镜像发送。所以下面的配置整体表示当流量到来时，将请求转发到v1版本的service B服务子集中，再以镜像的方式发送到v2版本的service B服务上一份，并将真实流量全部镜像。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: serviceB
spec:
  hosts:
  - istio.gateway.xxxx.tech
  gateways:
  - ingressgateway.istio-system.svc.cluster.local
  http:
  - match:
    - uri:
        prefix: /serviceB
    rewrite:
      uri: /
    route:
    - destination:
        host: serviceB
        subset: v1
    mirror:
      host: serviceB
      subset: v2
    mirror_percent: 100

service B 服务对应的 DestinationRule 配置如下：

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: serviceB
  namespace: default
spec:
  host: serviceB
  subsets:
  - name: v2
    labels:
      version: v2
  - name: v1
    labels:
      version: v1

【Service Mesh】Istio 入门

2020-11-23T02:44:08.000Z

Istio 是一个完全开源的服务网格，以透明的方式构建在现有的分布式应用中。它也是一个平台，拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使你能够成功且高效地运行分布式微服务架构，并提供保护、连接和监控微服务的统一方法。

核心功能

流量控制

微服务应用最大的痛点就是处理服务间的通信，而这一问题的核心其实就是流量管理。首先我们来看看传统的微服务应用在没有 Service Mesh 介入的情况下，是如何完成诸如金丝雀发布这样的路由功能的。我们假设不借助任何现成的第三方框架，一个最简单的实现方法，就是在服务间添加一个负载均衡（比如 Nginx）做代理，通过修改配置的权重来分配流量。这种方式使得对流量的管理和基础设施绑定在了一起，难以维护。

而使用 Istio 就可以轻松的实现各种维度的流量控制。下图是典型的金丝雀发布策略：根据权重把 5% 的流量路由给新版本，如果服务正常，再逐渐转移更多的流量到新版本。

Istio 中的流量控制功能主要分为三个方面：

请求路由和流量转移
弹性功能，包括熔断、超时、重试
调试能力，包括故障注入和流量镜像

关于流量控制的更多内容，参考 Istio流量控制

安全管理

安全对于微服务这样的分布式系统来说至关重要。与单体应用在进程内进行通信不同，网络成为了服务间通信的纽带，这使得它对安全有了更迫切的需求。比如为了抵御外来攻击，我们需要对流量进行加密；为保证服务间通信的可靠性，需要使用mTLS的方式进行交互；为控制不同身份的访问，需要设置不同粒度的授权策略。作为一个服务网格，Istio 提供了一整套完整的安全解决方案。它可以以透明的方式，为我们的微服务应用添加安全策略。

Istio 中的安全架构是由多个组件协同完成的。Citadel 是负责安全的主要组件，用于密钥和证书的管理；Pilot 会将安全策略配置分发给 Envoy 代理；Envoy 执行安全策略来实现访问控制。下图展示了 Istio 的安全架构和运作流程。

关于安全管理的更多内容，参考 Istio安全管理

可观测性

面对复杂的应用环境和不断扩展的业务需求，即使再完备的测试也难以覆盖所有场景，无法保证服务不会出现故障。正因为如此，才需要“可观察性”来对服务的运行时状态进行监控、上报、分析，以提高服务可靠性。具有可观察性的系统，可以在服务出现故障时大大降低问题定位的难度，甚至可以在出现问题之前及时发现问题以降低风险。具体来说，可观察性可以：

及时反馈异常或者风险使得开发人员可以及时关注、修复和解决问题（告警）；
出现问题时，能够帮助快速定位问题根源并解决问题，以减少服务损失（减损）；
收集并分析数据，以帮助开发人员不断调整和改善服务（持续优化）。

而在微服务治理之中，随着服务数量大大增加，服务拓扑不断复杂化，可观察性更是至关重要。Istio 自然也不可能缺少对可观察性的支持。它会为所有的服务间通信生成详细的遥测数据，使得网格中每个服务请求都可以被观察和跟踪。开发人员可以凭此定位故障，维护和优化相关服务。而且，这一特性的引入无需侵入被观察的服务。

Istio 一共提供了三种不同类型的数据从不同的角度支撑起其可观察性：

指标（Metrics）
日志（Access Logs）
分布式追踪（Distributed Traces）

关于可观测行的更多内容，参考 Istio可观测性

架构解析

Istio的架构由控制平面和数据平面两个部分组成。

数据平面：由整个网格内的sidecar代理组成，每个sidecar代理会接管流入和流出服务的流量，并配合控制平面完成流量控制等方面的内容。
控制平面：负责控制和管理数据平面的sidecar代理，完成配置的分发、服务发现和授权鉴权等功能。

控制平面是 Istio 在原有服务网格产品上，首次提出的架构，实现了对于数据平面的统一管理。

控制平面

Pilot

Pilot 组件的主要功能是将路由规则等配置信息转换为 sidecar 可以识别的信息，并下发给数据平面。可以把它简单的理解为是一个配置分发器（dispatcher），并辅助 sidecar 完成流量控制相关的功能。它管理sidecar代理之间的路由流量规则，并配置故障恢复功能，如超时、重试和熔断。

上图显示了Pilot的基本架构，它主要由以下几个部分组成：

Abstract Model

为了实现对不同服务注册中心（Kubernetes、consul）的支持，Pilot 需要对不同的输入来源的数据有一个统一的存储格式，也就是抽象模型。抽象模型中定义的关键成员包括 HostName（Service名称）、Ports（Service端口）、Address（Service ClusterIP）、Resolution （负载均衡策略）等。

Platform Adapters

借助平台适配器 Pilot 可以实现服务注册中心数据到抽象模型之间的数据转换。例如 Pilot 中的 Kubernetes 适配器通过 Kubernetes API 服务器得到 Kubernetes 中 Service 和 Pod 的相关信息，然后翻译为抽象模型提供给 Pilot 使用。通过平台适配器模式，Pilot 还可以从 Consul 等平台中获取服务信息，还可以开发适配器将其他提供服务发现的组件集成到 Pilot 中。

xDS API

Pilot 使用了一套起源于 Envoy 项目的标准数据面 API 来将服务信息和流量规则下发到数据面的 sidecar 中。这套标准数据面 API，也叫 xDS。Sidecar 通过 xDS API 可以动态获取 Listener （监听器）、Route （路由）、Cluster （集群）及 Endpoint （集群成员）配置：

LDS，Listener 发现服务：Listener 监听器控制 sidecar 启动端口监听（目前只支持 TCP 协议），并配置 L3/L4 层过滤器，当网络连接达到后，配置好的网络过滤器堆栈开始处理后续事件。
RDS，Router 发现服务：用于 HTTP 连接管理过滤器动态获取路由配置，路由配置包含 HTTP 头部修改（增加、删除 HTTP 头部键值），virtual hosts （虚拟主机），以及 virtual hosts 定义的各个路由条目。
CDS，Cluster发现服务：用于动态获取 Cluster 信息。
EDS，Endpoint 发现服务：用于动态维护端点信息，端点信息中还包括负载均衡权重、金丝雀状态等，基于这些信息，Sidecar 可以做出智能的负载均衡决策。

User API

Pilot 还定义了一套用户 API，用户 API 提供了面向业务的高层抽象，可以被运维人员理解和使用。

运维人员使用该 API 定义流量规则并下发到 Pilot，这些规则被 Pilot 翻译成数据面的配置，再通过标准数据面 API 分发到 sidecar 实例，可以在运行期对微服务的流量进行控制和调整。

通过运用不同的流量规则，可以对网格中微服务进行精细化的流量控制，如按版本分流、断路器、故障注入、灰度发布等。

关于 Pilot 的具体实现，可以参考 Istio Pilot 模块分析

Citadel

Citadel 是 Istio 中专门负责安全的组件，内置有身份和证书管理功能，可以实现较为强大的授权和认证等操作，在1.5 版本之后取消了独立进程，作为一个模块被整合在 istiod 中。

总体来说，Istio 在安全架构方面主要包括以下内容：

证书签发机构（CA）负责密钥和证书管理
API 服务器将安全配置分发给数据平面
客户端、服务端通过代理安全通信
Envoy 代理管理遥测和审计

Istio 的身份标识模型使用一级服务标识来确定请求的来源，它可以灵活的标识终端用户、工作负载等。在平台层面，Istio 可以使用类似于服务名称来标识身份，或直接使用平台提供的服务标识。比如 Kubernetes 的 ServiceAccount，AWS IAM 用户、角色账户等。

在身份和证书管理方面，Istio 使用 X.509 证书，并支持密钥和证书的自动轮换。从 1.1 版本开始，Istio 开始支持安全发现服务器（SDS），随着不断的完善和增强，1.5 版本 SDS 已经成为默认开启的组件。Citadel 以前有两个功能：将证书以 Secret 的方式挂载到命名空间里；通过 SDS gRPC 接口与 nodeagent（已废弃）通信。目前 Citadel 只需要完成与 SDS 相关的工作，其他功能被移动到了 istiod 中。

关于Citadel的更多内容，参考 Istio安全管理

Galley

Galley 是 Istio 1.1 版本中新增加的组件，其目的是将 Pilot 和底层平台（如 Kubernetes）进行解耦。它分担了原本 Pilot 的一部分功能，主要负责配置的验证、提取和处理等功能。

数据平面

Istio 数据平面核心是以 sidecar 模式运行的智能代理。Sidecar 模式将数据平面核心组件部署到单独的流程或容器中，以提供隔离和封装。Sidecar 应用与父应用程序共享相同的生命周期，与父应用程序一起创建和退出。Sidecar 应用附加到父应用程序，并为应用程序提供额外的特性支持。

如下图所示，数据平面的 sidecar 代理可以调节和控制微服务之间所有的网络通信，每个服务 Pod 启动时会伴随启动 istio-init 和 proxy 容器。

istio-init 容器主要功能是初始化 Pod 网络和对 Pod设置 iptable 规则，设置完成后自动结束。
Proxy 容器会启动两个服务：istio-agent 以及网络代理组件
- istio-agent 的作用是同步管理数据，启动并管理网络代理服务进程，上报遥测数据
- 网络代理组件则根据管理策略完成流量管控、生成遥测数据。

数据平面真正触及到对网络数据包的相关操作，是上层控制平面策略的具体执行者。

Envoy 是 Istio 中默认的数据平面 Sidecar 代理，关于 Sidecar 是如何实现自动注入和流量劫持，以及Sidecar的流量路由机制如何实现，更多可参考 Envoy系列文章。

安装部署

下载安装

这里介绍在 Kubernetes 环境下安装 Istio，在开始之前，你需要有一个 Kubernetes 运行环境。

从 Istio v1.7 版本开始，Istio官方推荐使用 istioctl 安装。下面是安装步骤：

在 Istio release 页面下载与操作系统匹配的安装包，并将其解压。这里可以直接用Istio提供的脚本：

$ curl -L https://raw.githubusercontent.com/istio/istio/release-1.7/release/downloadIstioCandidate.sh | sh -
$  [root@VM-1-28-centos istio]# ls 
istio-1.7.0  istio-1.7.0-linux-amd64.tar.gz
$ [root@VM-1-28-centos istio]cd istio-1.7.0
$ [root@VM-1-28-centos istio-1.7.0]# tree -L 2
.
├── bin
│   └── istioctl
├── LICENSE
├── manifests
│   ├── charts
│   ├── deploy
│   ├── examples
│   └── profiles
├── manifest.yaml
├── README.md
├── samples
│   ├── addons
│   ├── bookinfo
│   ├── certs
│   ├── cross-network-gateway
│   ├── custom-bootstrap
│   ├── external
│   ├── fortio
│   ├── health-check
│   ├── helloworld
│   ├── httpbin
│   ├── https
│   ├── kubernetes-blog
│   ├── operator
│   ├── rawvm
│   ├── README.md
│   ├── security
│   ├── sleep
│   ├── tcp-echo
│   └── websockets
└── tools
    ├── certs
    ├── convert_RbacConfig_to_ClusterRbacConfig.sh
    ├── dump_kubernetes.sh
    ├── _istioctl
    └── istioctl.bash

27 directories, 9 files

安装目录内容：

目录	包含内容
`bin`	包含 istioctl 的客户端文件
`manifests`	包含各种部署的 manifests
`samples`	包含示例应用程序
`tools`	包含用于性能测试和在本地机器上进行测试的脚本

将istioctl客户端路径加入 $PATH 中，从而可以使用 istioctl 命令行工具

1	$ export PATH=$PATH:$(pwd)/bin

安装 demo 配置

$ istioctl install --set profile=demo
✔ Istio core installed
✔ Istiod installed
✔ Egress gateways installed
✔ Ingress gateways installed
✔ Installation complete

添加一个Namespace Label，使得之后在部署你的应用的时候，istio会自动注入Envoy sidecar 代理

1	$ kubectl label namespace default istio-injection=enabled

部署 Bookinfo

Bookinfo 是 Istio 社区官方推荐的示例应用之一。它可以用来演示多种 Istio 的特性，并且它是一个异构的微服务应用。该应用由四个单独的微服务构成。这个应用模仿了在线书店，可以展示书店中书籍的信息。例如页面上会显示一本书的描述，书籍的细节（ ISBN、页数等），以及关于这本书的一些评论。

Bookinfo 应用分为四个单独的微服务，这些服务对 Istio 并无依赖，但是构成了一个有代表性的服务网格的例子：它由多个不同语言编写的服务构成，并且其中有一个应用会包含多个版本。

productpage 会调用 details 和 reviews 两个微服务，用来生成页面。
details 中包含了书籍的信息。
reviews 中包含了书籍相关的评论。它还会调用 ratings 微服务。
ratings 中包含了由书籍评价组成的评级信息。

reviews 微服务有 3 个版本，可用来展示各服务之间的不同的调用链路：

v1 版本不会调用 ratings 服务。
v2 版本会调用 ratings 服务，并使用 1 到 5 个黑色星形图标来显示评分信息。
v3 版本会调用 ratings 服务，并使用 1 到 5 个红色星形图标来显示评分信息。

下图展示了这个应用的端到端架构：

部署示例应用程序

$ kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml
service/details created
serviceaccount/bookinfo-details unchanged
deployment.apps/details-v1 created
service/ratings created
serviceaccount/bookinfo-ratings unchanged
deployment.apps/ratings-v1 created
service/reviews created
serviceaccount/bookinfo-reviews unchanged
deployment.apps/reviews-v1 created
deployment.apps/reviews-v2 created
deployment.apps/reviews-v3 created
service/productpage created
serviceaccount/bookinfo-productpage unchanged
deployment.apps/productpage-v1 created

之后应用起来，当每个Pod状态变为Ready的时候，sidecar也部署成功。

$ kubectl get svc
NAME          TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)    AGE
details       ClusterIP   172.18.252.45            9080/TCP   97s
kubernetes    ClusterIP   172.18.252.1             443/TCP    51d
productpage   ClusterIP   172.18.253.238           9080/TCP   97s
ratings       ClusterIP   172.18.254.131           9080/TCP   97s
reviews       ClusterIP   172.18.255.63            9080/TCP   97s
$ kubectl get pods
NAME                              READY   STATUS    RESTARTS   AGE
details-v1-5974b67c8-z67st        2/2     Running   0          2m8s
productpage-v1-797898bc54-frzdz   2/2     Running   0          2m8s
ratings-v1-c6cdf8d98-xmhz8        2/2     Running   0          2m8s
reviews-v1-8bdc65f7b-mjktx        2/2     Running   0          2m8s
reviews-v2-868d77d678-4dzmn       2/2     Running   0          2m8s
reviews-v3-6c9b646cb4-5tp9q       2/2     Running   0          2m8s

查看应用是否成功运行，通过给productpage发送请求，查看其返回

1 2	$ kubectl exec "$(kubectl get pod -l app=ratings -o jsonpath='{.items[0].metadata.name}')" -c ratings -- curl -s productpage:9080/productpage \| grep -o ".*" Simple Bookstore App

集群外部访问应用

到现在，Bookinfo 应用已经成功部署，我们在集群内部也已经可以访问，但是在集群外部还不能够访问。为了使得外部能够访问应用程序，我们需要创建一个Istio Ingress Gateway。

将应用于istio gateway关联

1
2
3

$ kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml
gateway.networking.istio.io/bookinfo-gateway created
virtualservice.networking.istio.io/bookinfo created

确保配置上没有问题

1 2	$ istioctl analyze ✔ No validation issues found when analyzing namespace: default.

确定Ingress的IP和Ports

通过下面的命令来设置 INGRESS_HOST 和 INGRESS_PORT环境变量。

1
2
3

kubectl get svc istio-ingressgateway -n istio-system
NAME                   TYPE           CLUSTER-IP      EXTERNAL-IP      PORT(S)                                                                      AGE
istio-ingressgateway   LoadBalancer   172.18.252.12   49.233.242.233   15021:32663/TCP,80:31968/TCP,443:31588/TCP,31400:32002/TCP,15443:30652/TCP   18m

这里显示 EXTERNAL_IP 已经变设置，表明当前环境下有一个可以使用的外部负载均衡器。

1
2
3

$ export INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
$ export INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
$ export SECURE_INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="https")].port}')

设定GATEWAY_URL

1
2
3

$ export GATEWAY_URL=$INGRESS_HOST:$INGRESS_PORT
$ echo $GATEWAY_URL
49.233.242.233:80

确认外部访问是否成功：在浏览器直接访问 http:///productpage 来访问Bookinfo应用

查看Dashboard

Istio集成了一些遥测应用，他们可以帮助你对你的服务网格有直观的认识、展示网格的拓扑、分析网格的健康状态

安装Kiali

1 2	$ kubectl apply -f samples/addons $ while ! kubectl wait --for=condition=available --timeout=600s deployment/kiali -n istio-system; do sleep 1; done

访问Kiali

官方教程指示使用 istioctl dashboard kiali 命令来打开浏览器访问 Kiali服务，但是我的 Kubernetes 集群在服务器上，这样显然不行，不要将 Kiali 服务暴露给外部。因为之前集群已经安装了 Traefik ，所以可以使用 Ingress来暴露。

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: kiali
  namespace: istio-system
  annotations:
    kubernetes.io/ingress.class: traefik
spec:
  rules:
  - http:
      paths:
      - path: /kiali
        backend:
          serviceName: kiali
          servicePort: 20001

在命令行创建Ingress，打开浏览器访问 http://:/kiali 即可访问Kiali

在左侧导航栏点击Graph，选择default的命名空间，可以看到 Bookinfo 应用中各个服务间的关系：

到此为止，你的Istio和相关的服务已经在集群中完好的部署，关于其具体功能演示，参照 Istio流量控制。

参考资料

https://istio.io/latest/docs/setup/getting-started

【Service Mesh】开篇

2020-11-22T06:24:34.000Z

Service Mesh 是一个基础设施层，用于处理服务到服务间的网络通信。云原生应用有着复杂的服务拓扑，Service Mesh负责在这些网络拓扑中实现请求的可靠传递。在实践中，Service Mesh通常实现为一组轻量级的网络代理，它们与应用程序部署在一起，但是对应用保持透明。

本文作为「Service Mesh」系列开篇，将理清 Service Mesh 的前世今生，通过对其概念与原理的理解，开始上手 Service Mesh的工作。与此同时，我们也会讨论 Service Mesh 在业界当前的应用现状，探讨其落地的难点与痛点。

历史演进

随着行业需求的推动，互联网服务从最早的仅有少数几台的大型服务器演变到成百上千的小型服务，服务架构也从最早期的单体式（Monolithic）到分布式（Distributed），再到微服务（Microservices）、容器化（Containerization）、容器编排（Container Orchestration），最后到服务网格（Service Mesh）、无服务器（Serverless）。

总结分布式系统的演进过程，我们可以看到一种通用的发展规律：

首先是对每种情况提出临时解决方案
然后是更复杂的解决方案，类似于 library 以实现统一复用
随着对问题有更多的了解，开始将这些解决方案落实到 platform

接下来我们会回顾从早期TCP/IP协议栈的广泛应用，到微服务时代从容器编排到服务网格的演进过程，并再次体会上述规律。

计算机网络系统的演进

从多台计算机开始通信以来，服务间通信是应用最为广泛的模式。以下图为例，ServiceA 和 ServiceB 可以是我们提供应用的服务端与客户端。在开发者开发这些服务的时候，需要借助底层的网络硬件和协议进行通信。这张图只是一个简化的师徒，省略了在代码操作的数据和通过线路发送接收的电信号之间转换的很多层。

更加具体一点，把底层的网络协议栈加入，我们会看到下图：

从上世纪50年代起，上述的模型就一直在使用。最开始，由于计算机系统规模相对较小，每个节点之间的链路协议都是经过专门设计和维护的。随着计算机规模的迅速扩大，很多个小的网络系统开始连接起来。在这个过程中，不同主机间如何找到彼此，跨网络间如何路由转发，如何实现流量控制等问题，成了摆在网络系统设计人员面前亟需解决的难题。

为了实现各个网络节点的路由转发，屏蔽链路层协议，人们发明了IP网络协议。然而，IP网络协议还不能够解决流量控制的问题。这里的流量控制，值得是防止一台服务器发送过多的数据包，超出下游服务器的处理能力。在最开始，编写网络服务和应用程序的开发者来负责处理上述流量控制的问题。这就意味着在编写应用程序过程中，网络处理的逻辑和应用自身的业务逻辑被耦合在一起，如下图所示。

然而，这种每个开发人员都要去考虑流量处理等传输层的问题太过复杂，程序开发的成本太高。随着技术的快速发展，流量处理和其他网络问题相关的解决方案被整合到网络协议栈，TCP/IP席卷了世界，成为互联网事实上的协议标准。流量控制等网络问题的代码仍在，但是你不再需要自己去开发与维护这段代码，而是直接调用系统提供的网络协议栈。

微服务架构的演进

确定于上世界80年代的TCP/IP网络协议栈和通用的网络模型对于互联网的发展发挥了巨大的作用，极大了促进了互联网应用的繁荣。网络应用的功能逐渐复杂起来，人们把所有的组件都集中在一个应用当中，这即是单体应用 Monolithic。单体应用基于相同技术栈开发、访问共享的数据库、共同部署运维和扩容。同时，组件之间的通信也趋于频繁和耦合，所有的交互都是以函数调用的形式来实现。

然而，随着互联网的迅猛发展，网络应用中需要添加越来越多的功能，应用的复杂度不断提升，参与软件开发的协作人数也越来越多，单体应用开始爆发出其固有局限性。在这种背景下，微服务的思潮降临，让软件开发重新变得小而美：

单⼀职责：拆分后的单个微服务，通常只负责单个高内聚自闭环功能，因此很易于开发、理解和维护。
架构灵活：不同微服务应用之间在技术选型层面几乎是独立的，可以⾃由选择最适合的技术栈。
部署隔离：相比巨无霸单体应用，单个微服务应用的代码和产物体积大大减少，更容易持续集成和快速部署；同时，通过进程级别的隔离，也不再像单体应用一样只能同生共死，故障隔离效果显著提升。
独⽴扩展：单体应用时代，某个模块如果存在资源瓶颈（e.g. CPU/内存），只能跟随整个应用一起扩容，白白浪费很多资源。微服务化后，扩展的粒度细化到了微服务级别，可以更精确地按需独立扩展。

然而，微服务也不是银弹，在微服务落地的过程中，也产生了很多的问题，其中主要的问题就是服务间通信：

如何找到服务的提供⽅？
微服务通讯必须走远程过程调用（HTTP/REST本质上也属于RPC），当其中一个应用需要消费另一个应用的服务时，无法再像单体应用一样通过简单的进程内机制（e.g. Spring的依赖注入）就能获取到服务实例；你甚至都不知道有没有这个服务方。
如何保证远程调⽤的可靠性?
既然是RPC，那必然要走IP网络，而我们都知道网络（相比计算和存储）是软件世界里最不可靠的东西。虽然有TCP这种可靠传输协议，但频繁丢包、交换机故障甚至电缆被挖断也常有发生；即使网络是好的，如果对方机器宕机了，或者进程负载过高不响应呢？
如何降低服务调⽤的延迟？
网络不只是不可靠，还有延迟的问题。虽然相同系统内的微服务应用通常都部署在一起，同机房内调用延迟很小；但对于较复杂的业务链路，很可能一次业务访问就会包括数十次RPC调用，累积起来的延迟就很可观了。
如何保证服务调⽤的安全性？
网络不只是不可靠和有延迟，还是不安全的。互联网时代，你永远不知道屏幕对面坐的是人还是狗；同样，微服务间通讯时，如果直接走裸的通讯协议，你也永远不知道对端是否真的就是自己人，或者传输的机密信息是否有被中间人偷听。

服务通信：耦合业务逻辑

就像历史总是会重演，为了解决上述微服务引入的问题，最早需要工程师独立去完成对应的服务，在业务逻辑中实现下列逻辑：

服务发现（Service Discovery）：解决“我想调用你，如何找到你”的问题。
服务熔断（Circuit Breaker）：缓解服务之间依赖的不可靠问题。
负载均衡（Load Balancing）：通过均匀分配流量，让请求处理更加及时。
安全通讯：包括协议加密（TLS）、身份认证（证书/签名）、访问鉴权（RBAC）等

然而，随着分布式程度的增加，这些服务的复杂度也越来越高，一些问题不得不考虑：

重复造轮子：需要编写和维护⼤量非功能性代码，如何集中精力专注业务创新?
与业务耦合：服务通讯逻辑与业务代码逻辑混在一起，动不动还会遇到点匪夷所思的分布式bug。

服务通信：独立Library

为了解决重复造轮子的问题，集成了服务通信中各种问题的Library开始变得十分流行，包括 Apache Dubbo（手动置顶）、Spring Cloud、Netflix OSS、gRPC 等等。

这些可复用的类库和框架，确确实实带来了质量和效率上的大幅提升，但是也存在着下列问题：

并非完全透明：程序员们仍然需要正确理解和使⽤这些库，上手成本和出错概率依然很高。
限制技术选择：使用这些技术后，应用很容易就会被对应的语⾔和框架强绑定（vendor-lock）。
维护成本高：库版本升级，需要牵连应⽤一起重新构建和部署；麻烦不说，还要祈祷别出故障。

服务通信：Sidecar

像网络协议栈发展的过程一样，将大规模分布式服务所需要的功能剥离出来集成到底层平台是一个众望所归的选择。人们通过应用层的协议(例如HTTP)写出了很多复杂的应用程序和服务，甚至不用考虑TCP是如何控制数据包在网络上传输的。这就是我们微服务所需要的，从事服务开发的工程师们可以专注于业务逻辑的开发，避免浪费时间去编写服务基础设施代码或者管理这些库和框架。

在这个想法下，我们可以得到类似于如下的图：

不幸的是，更改协议栈来增加微服务的功能不是一个可行的方案，许多开发者是通过一组代理来实现此功能。这里的设计思想是服务不需要和下游服务直连，所有的流量都通过该代理透明的来实现对应的功能。这里的透明代理，通过一种叫做 Sidecar 的模式来运行，Sidecar将上述类库和框架要干的事情从应用中彻底剥离了出来，并统一下沉到了基础设施层，这其中的典型代表就是 Linkerd 和 Envoy。

服务通信：Service Mesh

在这种模型中，每个服务都会有一个配套的代理SideCar。考虑到服务之间的通信仅仅通过SideCar代理，我们最终得到如下的部署图：

Buoyant的CEO William Morgan ，发现了各个SideCar代理之间互联组成了一个网状网络，2017初，William为这个网状的平台起了一个“Service Mesh”的定义。

Service Mesh是一个用于服务和服务之间通信的专用基础设施层。它负责服务请求能够在复杂的服务拓扑(组成了云原生应用)中可靠的进行投递。在实践中，Serivce Mesh的典型实现是作为轻量级网络代理阵列，部署在应用程序旁边，不需要业务进程感知到。

William关于Service Mesh的定义中，最有说服力的一点是，他不再将SideCar代理视为一个独立组件，而是承认了它们组成的网络像它们自身一样是有价值的

随着很多公司将它们的微服务部署到更复杂的系统运行环境中，例如Kubernetes和Mesos，人们开始使用这些平台提供的工具来实现合适的Serivce Mesh的想法。它们将独立的SideCar代理从独立的工作环境中转移到一个适当的，有集中的控制面。

看下我们的鸟瞰图，服务之间的流量仍然是通过SideCar代理来进行转发，但是控制平面知道每个SideCar实例。控制平面能够让代理实现例如访问控制，指标收集等需要协作完成的事情。Istio是这个模型的典型实现。

主流实现

Service Mesh 的主流实现包括：

Linkerd：背后公司是Buoyant，开发语⾔使用Scala，2016年1⽉15日初次发布，2017年1⽉23日加入CNCF。
Envoy：背后公司是Lyft，开发语言使用C++ 11，2016年9月13日初次发布，2017年9⽉14日加⼊CNCF。
Istio：背后公司是Google和IBM，开发语言使用Go，2017年5⽉月10日初次发布。
Conduit：背后公司也是Buoyant，开发语言使用Rust和Go，2017年12月5日初次发布，现在已经加入了 Linkerd 项目。

Linkerd

现在（2020.09.08） Linkerd 已经发展到 2.8 版本，由控制面和数据面组成，详情可以参考这里

Envoy

Envoy是一个高性能的Service Mesh软件，现在主要被用于数据面作为 Sidecar 代理，详情可以参考这里

Istio

Istio是第二代 Service Mesh，第一次提出控制面的概念，详情可以参考这里

NginMesh

Service Mesh 最基础的功能毕竟是 sidecar proxy. 提到 proxy 怎么能够少了 nginx? 我想nginx自己也是这么想的吧毫不意外，nginx也推出了其 service mesh 的开源实现：nginMesh.

不过，与 William Morgan 的死磕策略不同，nginMesh 从一开始就没有想过要做一套完整的第二代Service Mesh 开源方案，而是直接宣布兼容Istio, 作为Istio的 sidecar proxy. 由于 nginx 在反向代理方面广泛的使用，以及运维技术的相对成熟，nginMesh在sidecar proxy领域应该会有一席之地。

对比Kubernetes原生架构

Kube-proxy vs Sidecar

下图展示的是 Kubernetes 与 Service Mesh 中的的服务访问关系：

Kubernetes 集群的每个节点都部署了一个 kube-proxy 组件，该组件会与 Kubernetes API Server 通信，获取集群中的 Service 信息，然后设置 iptables 规则，直接将对某个 Service 的请求发送到对应的 Endpoint（属于同一组 Service 的 Pod）上。
Kube-proxy 实现了流量在 Kubernetes Service 多个 Pod 实例间的负载均衡，但是如何对这些 Service 间的流量做细粒度的控制，比如按照百分比划分流量到不同的应用版本（这些应用都属于同一个 Service，但位于不同的 deployment 上），做金丝雀发布（灰度发布）和蓝绿发布？Kubernetes 社区给出了使用 Deployment 做金丝雀发布的方法，该方法本质上就是通过修改 Pod 的 label 来将不同的 Pod 划归到 Deployment 的 Service 上。

kube-proxy 的设置都是全局生效的，无法对每个服务做细粒度的控制，而 Service Mesh 通过 Sidecar proxy 的方式将 Kubernetes 中对流量的控制从 Service 一层抽离出来，可以做更多的扩展。

Ingress vs Gateway

kube-proxy 只能路由 Kubernetes 集群内部的流量，而我们知道 Kubernetes 集群的 Pod 位于 CNI 创建的外网络中，集群外部是无法直接与其通信的，因此 Kubernetes 中创建了 Ingress 这个资源对象，它由位于 Kubernetes 边缘节点（这样的节点可以是很多个也可以是一组）的 Ingress controller 驱动，负责管理 南北向流量，Ingress 必须对接各种 Ingress Controller 才能使用，比如 nginx ingress controller、traefik。

Ingress 只适用于 HTTP 流量，使用方式也很简单，只能对 Service、port、HTTP 路径等有限字段匹配来路由流量，这导致它无法路由如 MySQL、Redis 和各种私有 RPC 等 TCP 流量。
要想直接路由南北向的流量，只能使用 Service 的 LoadBalancer 或 NodePort，前者需要云厂商支持，后者需要进行额外的端口管理。
有些 Ingress controller 支持暴露 TCP 和 UDP 服务，但是只能使用 Service 来暴露，Ingress 本身是不支持的，例如 nginx ingress controller，服务暴露的端口是通过创建 ConfigMap 的方式来配置的。

Istio Gateway 的功能与 Kubernetes Ingress 类似，都是负责集群的南北向流量。Istio Gateway 描述的负载均衡器用于承载进出网格边缘的连接。该规范中描述了一系列开放端口和这些端口所使用的协议、负载均衡的 SNI 配置等内容。Gateway 是一种 CRD 扩展，它同时复用了 Sidecar proxy 的能力，详细配置请参考 Istio 官网。

落地问题

服务网格的出现带来的变革：

第一，微服务治理与业务逻辑的解耦。服务网格把 SDK 中的大部分能力从应用中剥离出来，拆解为独立进程，以 Sidecar 的模式进行部署。服务网格通过将服务通信及相关管控功能从业务程序中分离并下沉到基础设施层，使其和业务系统完全解耦，使开发人员更加专注于业务本身。

注意，这里提到了一个词“大部分”，SDK 中往往还需要保留协议编解码的逻辑，甚至在某些场景下还需要一个轻量级的 SDK 来实现细粒度的治理与监控策略。例如，要想实现方法级别的调用链追踪，服务网格则需要业务应用实现 trace ID 的传递，而这部分实现逻辑也可以通过轻量级的 SDK 实现。因此，从代码层面来讲，服务网格并非是零侵入的。

第二，异构系统的统一治理。随着新技术的发展和人员更替，在同一家公司中往往会出现不同语言、不同框架的应用和服务，为了能够统一管控这些服务，以往的做法是为每种语言、每种框架都开发一套完整的 SDK，维护成本非常之高，而且给公司的中间件团队带来了很大的挑战。有了服务网格之后，通过将主体的服务治理能力下沉到基础设施，多语言的支持就轻松很多了。只需要提供一个非常轻量级的 SDK，甚至很多情况下都不需要一个单独的 SDK，就可以方便地实现多语言、多协议的统一流量管控、监控等需求。

此外，服务网格相对于传统微服务框架，还拥有三大技术优势：

可观察性。因为服务网格是一个专用的基础设施层，所有的服务间通信都要通过它，所以它在技术堆栈中处于独特的位置，以便在服务调用级别上提供统一的遥测指标。这意味着，所有服务都被监控为“黑盒”。服务网格捕获诸如来源、目的地、协议、URL、状态码、延迟、持续时间等线路数据。这本质上等同于 web 服务器日志可以提供的数据，但是服务网格可以为所有服务捕获这些数据，而不仅仅是单个服务的 web 层。需要指出的是，收集数据仅仅是解决微服务应用程序中可观察性问题的一部分。存储与分析这些数据则需要额外能力的机制的补充，然后作用于警报或实例自动伸缩等。
流量控制。通过 Service Mesh，可以为服务提供智能路由（蓝绿部署、金丝雀发布、A/B test）、超时重试、熔断、故障注入、流量镜像等各种控制能力。而以上这些往往是传统微服务框架不具备，但是对系统来说至关重要的功能。例如，服务网格承载了微服务之间的通信流量，因此可以在网格中通过规则进行故障注入，模拟部分微服务出现故障的情况，对整个应用的健壮性进行测试。由于服务网格的设计目的是有效地将来源请求调用连接到其最优目标服务实例，所以这些流量控制特性是“面向目的地的”。这正是服务网格流量控制能力的一大特点。
安全。在某种程度上，单体架构应用受其单地址空间的保护。然而，一旦单体架构应用被分解为多个微服务，网络就会成为一个重要的攻击面。更多的服务意味着更多的网络流量，这对黑客来说意味着更多的机会来攻击信息流。而服务网格恰恰提供了保护网络调用的能力和基础设施。服务网格的安全相关的好处主要体现在以下三个核心领域：服务的认证、服务间通讯的加密、安全相关策略的强制执行。

服务网格带来了巨大变革并且拥有其强大的技术优势，被称为第二代“微服务架构”。然而就像之前说的软件开发没有银弹，传统微服务架构有许多痛点，而服务网格也不例外，也有它的局限性。

增加了复杂度。服务网格将 Sidecar 代理和其它组件引入到已经很复杂的分布式环境中，会极大地增加整体链路和操作运维的复杂性。
运维人员需要更专业。在容器编排器（如 Kubernetes）上添加 Istio 之类的服务网格，通常需要运维人员成为这两种技术的专家，以便充分使用二者的功能以及定位环境中遇到的问题。
延迟。从链路层面来讲，服务网格是一种侵入性的、复杂的技术，可以为系统调用增加显著的延迟。这个延迟是毫秒级别的，但是在特殊业务场景下，这个延迟可能也是难以容忍的。
平台的适配。服务网格的侵入性迫使开发人员和运维人员适应高度自治的平台并遵守平台的规则。

展望未来

展望未来，Kubernetes 正在爆炸式发展，它已经成为企业绿地应用的容器编排的首选。如果说 Kubernetes 已经彻底赢得了市场，并且基于 Kubernetes 的应用程序的规模和复杂性持续增加，那么就会有一个临界点，而服务网格则将是有效管理这些应用程序所必需的。随着服务网格技术的持续发展，其实现产品（如 Istio）的架构与功能的不断优化，服务网格将完全取代传统微服务架构，成为大小企业微服务化和上云改造的首选架构。

参考资料

https://philcalcado.com/2017/08/03/pattern_service_mesh.html

【异构计算】NVIDIA GPU MIG

2020-11-19T09:03:47.000Z

MIG，也就是 Multi-Instance GPU 是 NVIDIA 在 NVIDIA GTC 2020 发布的最新 Ampere 架构的 NVIDIA A100 GPU 推出的新特性。当配置为 MIG 运行状态时，A100 可以通过分出最多 7 个核心来帮助供应商提高 GPU 服务器的利用率，无需额外投入。MIG 提供了一种多用户使用隔离的GPU资源、提高GPU资源使用率的新的方式，特别适合于云服务提供商的多租户场景，保证一个租户的运行不干扰另一个租户。本文将介绍 MIG 的新特性和使用方法，以及在容器和 k8s 中使用 MIG 的方案。

MIG 技术简介

随着深度学习的广泛应用，使用GPU加速训练和推理越来越普遍。然而，高昂的GPU价格在这里成为了不可忽视的成本，有时候单个GPU并没有得到充分的利用，在多租户之间如何能够共享GPU并且互不干扰成为了一个重要课题，尤其是在云服务环境使用GPU的场景下。针对这个问题，有很多种解决方案，分别是软件级虚拟化GPU和硬件级虚拟化GPU，而 MIG 即是硬件级虚拟化GPU的一种方式：

Data center managers aim to keep resource utilization high, so an ideal data center accelerator doesn’t just go big- it also efficiently accelerates many smaller workloads.

MIG主要技术特点

每个GI独立的SM，完全隔离的显存（包括隔离的显存，L2cache，独立的DMA控制器等），从而可以保证每个GI的QoS
支持虚拟机，容器，进程层面的使用

首先看一下传统GPU的内部架构，MIG的目的是使虚拟的每个GPU实例都拥有上面类似的架构。

基本概念

MIG对资源的划分可以分为两级，分别是GPU Instance、Compute Instance

GPU Instance

MIG功能可以将单个GPU划分为多个GPU分区，称为 GPU Insance。创建GPU实例可以认为是将一个大GPU拆分为多个较小的GPU，每个GPU实例都具有专用的计算和内存资源。

每个GPU实例的行为就像一个较小的，功能齐全的独立GPU，其中包括：

预定义数量的GPC
SMs
L2 Cache
Frame buffer

注意：在MIG操作模式下，每个GPU实例中的单个GPC启用了7个TPC（14个SM），这使所有GPU切片具有相同的一致计算性能。

GPU Engine：一个 GPU Engine 是 GPU 中执行工作的组件，常用的GPU Engine 如下，每个Engine都能够被独立地调度和为不同 GPU Context 执行工作
- Compute/Graphics engine that executes the compute instructions
- the copy engine (CE) that is responsible for performing DMAs
- NVDEC for video decoding
- NVENC for encoding
GPU Memory Slice：一个 GPU Memory Slice 是 A100 GPU Memory 的一个最小片段，包括对应的 memory controllers 和 cache，粗略来说一个 GPU Memory Slice 大致是总的GPU Memory资源的 1/8，包括memory的 capacity 和 bandwidth。
GPU SM Slice：一个 GPU SM Slice 是 A100 GPU SMs 的一个最小片段，粗略来说一个 GPU SM Slice 大致是总的GPU SM资源的 1/7
GPU Slice：一个 GPU Slice 是 A100 GPU 中集合一个 GPU Memory Slice 和一个 GPU SM Slice 的最小片段
GPU Instance：一个 GPU Instance 是 GPU Slices 和 GPU Engines (DMAs, NVDECs, etc.)的结合

Compute Instance

一个 GPU Instance 可以被划分为多个 Compute Instance，多个Compute Instance之间共享Memory和Engine，它包含了原来GPU Instance里面 GPU SM slices 和 GPU Engines 的一个子集(DMAs, NVDECs, etc.)：

默认情况下，将在每个GPU实例下创建一个 Compute Instances，从而公开GPU实例中可用的所有GPU计算资源。
可以将GPU实例细分为多个较小的 Compute Instances，以进一步拆分其计算资源。

架构对比

pre-A100 GPU每个用户独占SM、Frame Buffer、L2 Cache。

A100 MIG将GPU进行物理切割，每个虚拟GPU instance具有独立的SM、L2 Cache、DRAM。

下面是MIG 配置多个独立的GPU Compute workloads。每个GPC分配固定的CE和DEC。A100中有5个decoder。

当1个GPU instance中包含2个Compute instance时，2个Compute instance共享CE、DEC和L2、Frame Buffer。

GPC：Graphics Processor Cluster
TPC：Texture Processor Cluster

Compute instance使多个上下文可以在GPU实例上同时运行。

MIG 隔离

和上一代Volta MPS技术的对比

MPS was designed for sharing the GPU among applications from a single user, but not for multi-user or multi-tenant use cases.

解决了MPS存在的memory system resources were shared across all the applications问题，同时继承了Volta MPS所有功能

对比项	MPS	MIG
Partition Type	Logical	Physical
Max Partitions	48	7
SM Performance Isolation	Yes (by percentage, not partitioning)	Yes
Memory Protection	Yes	Yes
Memory Bandwidth QoS	No	Yes
Error Isolation	No	Yes
Cross-Partition Interop	IPC	Limited IPC
Reconfigure	Process Launch	When Idle

GPU Partitioning

每个 GI 包括的资源不是随意定义的，NVIDIA 提供了一系列的 GPU Instance Profiles，用户在创建 GI 时必须按照这个 Profile 来切割。我们知道，A100 总共有 8 个 GPU Memory Slice 和 7 个 SM Slice，那么切分总共有5种 Profile：

Profile Name	Fraction of Memory	Fraction of SMs	Hardware Units	Number of Instances Available
MIG 1g.5gb	1/8	1/7	0 NVDECs	7
MIG 2g.10gb	2/8	2/7	1 NVDECs	3
MIG 3g.20gb	4/8	3/7	2 NVDECs	2
MIG 4g.20gb	4/8	4/7	2 NVDECs	1
MIG 7g.40gb	Full	7/7	5 NVDECs	1

注意：这里对于 A100-SXM4-40GB 总的 Memory大小是40GB，所以最小单位是 1g.5gb，如果对于 A100-SXM4-80GB，则最小单位是 1g.10gb。

也就是说，这几种 Profile 确定了 A100 GPU 可以被切分的方式，如下图，所有可以切分的方式只是下图从左到右选择不同的Profile，并且两个Profile上下不重叠。唯一的例外是，现在 NVIDIA 不支持 (4 memory, 4 compute) 和 (4 memory, 3 compute) 的组合：

下图就是组合的一种方式：A100 GPU 被切割成了3个GPU Instance，分别的大小是

4 memory，4 compute
2 memory，2 compute
1 memory，1 compute

下图也是组合的一种可能：

前面提到，硬件上 NVIDIA 不支持 (4 memory, 4 compute) 和 (4 memory, 3 compute) 的组合，但是支持两个 (4 memory, 3 compute) 的组合，这里左边的一个 (4 memory, 3 compute) 是将 (4 memory, 4 compute) 示例化为一个 (4 memory, 3 compute)。如下图就将 A100 切分成两个 GPU Instance，每个GPU Instance都有 (4 memory, 3 compute)

或者切分成3个GPU Instance：

也可以切分成下面这种4个GPU Instance：

总的来说，一共有 18 种切分方法：

注意，下图中的两种切分并不相同，因为每个切分的Instance 的 physical layout 也很重要：

MIG 技术使用

具体到A100卡，实际实现有两个型号，分别是

GA100 Full GPU with 128 SMs
A100 Tensor Core GPU with 108 SMs

本次调研中使用的卡是108 SM版本

驱动安装

$ nvidia-smi
Wed Jan 13 11:42:34 2021
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 460.27.04    Driver Version: 460.27.04    CUDA Version: 11.2     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  A100-SXM4-40GB      Off  | 00000000:00:08.0 Off |                    0 |
| N/A   26C    P0    43W / 400W |      0MiB / 40536MiB |      0%      Default |
|                               |                      |             Disabled |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

$ tree /dev/
├── nvidia0
├── nvidia-caps
│   ├── nvidia-cap1
│   └── nvidia-cap2
├── nvidiactl
├── nvidia-modeset
├── nvidia-uvm
├── nvidia-uvm-tools

开启MIG支持

查询是否开启MIG

1
2
3

$ nvidia-smi -i 0 --query-gpu=pci.bus_id,mig.mode.current --format=csv
pci.bus_id, mig.mode.current
00000000:00:08.0, Disabled

对于指定卡开启mig，只有在卡空闲时才能更改mig enable 设置

$ nvidia-smi -i 0 -mig 1
Warning: MIG mode is in pending enable state for GPU 00000000:00:08.0:In use by another client
00000000:00:08.0 is currently being used by one or more other processes (e.g. CUDA application or a monitoring application such as another instance of nvidia-smi). Please first kill all processes using the device and retry the command or reboot the system to make MIG mode effective.
All done.

If you are using MIG inside a VM with GPU passthrough, then you may need to reboot the VM to allow the GPU to be in MIG mode as in some cases, GPU reset is not allowed via the hypervisor for security reasons. This can be seen in the following example:

重启之后

1
2
3

$ nvidia-smi -i 0 --query-gpu=pci.bus_id,mig.mode.current --format=csv
pci.bus_id, mig.mode.current
00000000:00:08.0, Enabled

查询可分配 GI 信息

# nvidia-smi mig -lgip
+--------------------------------------------------------------------------+
| GPU instance profiles:                                                   |
| GPU   Name          ID    Instances   Memory     P2P    SM    DEC   ENC  |
|                           Free/Total   GiB              CE    JPEG  OFA  |
|==========================================================================|
|   0  MIG 1g.5gb     19     7/7        4.75       No     14     0     0   |
|                                                          1     0     0   |
+--------------------------------------------------------------------------+
|   0  MIG 2g.10gb    14     3/3        9.75       No     28     1     0   |
|                                                          2     0     0   |
+--------------------------------------------------------------------------+
|   0  MIG 3g.20gb     9     2/2        19.62      No     42     2     0   |
|                                                          3     0     0   |
+--------------------------------------------------------------------------+
|   0  MIG 4g.20gb     5     1/1        19.62      No     56     2     0   |
|                                                          4     0     0   |
+--------------------------------------------------------------------------+
|   0  MIG 7g.40gb     0     1/1        39.50      No     98     5     0   |
|                                                          7     1     1   |
+--------------------------------------------------------------------------+

查询 GI placements

# nvidia-smi mig -lgipp
GPU  0 Profile ID 19 Placements: {0,1,2,3,4,5,6}:1
GPU  0 Profile ID 14 Placements: {0,2,4}:2
GPU  0 Profile ID  9 Placements: {0,4}:4
GPU  0 Profile ID  5 Placement : {0}:4
GPU  0 Profile ID  0 Placement : {0}:8

创建 GPU Instances

# nvidia-smi mig -cgi 9,14,19
Successfully created GPU instance ID  2 on GPU  0 using profile MIG 3g.20gb (ID  9)
Successfully created GPU instance ID  3 on GPU  0 using profile MIG 2g.10gb (ID 14)
Successfully created GPU instance ID  9 on GPU  0 using profile MIG 1g.5gb (ID 19)

查询 GPU Instance

# nvidia-smi mig -lgi
+----------------------------------------------------+
| GPU instances:                                     |
| GPU   Name          Profile  Instance   Placement  |
|                       ID       ID       Start:Size |
|====================================================|
|   0  MIG 1g.5gb       19        9          2:1     |
+----------------------------------------------------+
|   0  MIG 2g.10gb      14        3          0:2     |
+----------------------------------------------------+
|   0  MIG 3g.20gb       9        2          4:4     |
+----------------------------------------------------+

创建 Compute Instance

创建CI前，首先需要查询对应的GI支持Profile列表，可以发现上文创建的ID为2的GI可以进一步分为3种类型的CI

# nvidia-smi mig -lcip -gi 2
+--------------------------------------------------------------------------------------+
| Compute instance profiles:                                                           |
| GPU     GPU       Name             Profile  Instances   Exclusive       Shared       |
|       Instance                       ID     Free/Total     SM       DEC   ENC   OFA  |
|         ID                                                          CE    JPEG       |
|======================================================================================|
|   0      2       MIG 1c.3g.20gb       0      3/3           14        2     0     0   |
|                                                                      3     0         |
+--------------------------------------------------------------------------------------+
|   0      2       MIG 2c.3g.20gb       1      1/1           28        2     0     0   |
|                                                                      3     0         |
+--------------------------------------------------------------------------------------+
|   0      2       MIG 3g.20gb          2*     1/1           42        2     0     0   |
|                                                                      3     0         |
+--------------------------------------------------------------------------------------+

# nvidia-smi mig -lcip -gi 3
+--------------------------------------------------------------------------------------+
| Compute instance profiles:                                                           |
| GPU     GPU       Name             Profile  Instances   Exclusive       Shared       |
|       Instance                       ID     Free/Total     SM       DEC   ENC   OFA  |
|         ID                                                          CE    JPEG       |
|======================================================================================|
|   0      3       MIG 1c.2g.10gb       0      2/2           14        1     0     0   |
|                                                                      2     0         |
+--------------------------------------------------------------------------------------+
|   0      3       MIG 2g.10gb          1*     1/1           28        1     0     0   |
|                                                                      2     0         |
+--------------------------------------------------------------------------------------+

然后进一步将ID为2的GI划分为两个CI，Profile分别是1c.3g.20gb，2c.3g.20gb，具体命令如下

1
2
3

# nvidia-smi mig -cci 0,1 -gi 2
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  2 using profile MIG 1c.3g.20gb (ID  0)
Successfully created compute instance ID  1 on GPU  0 GPU instance ID  2 using profile MIG 2c.3g.20gb (ID  1)

查询 Compute Instance

# nvidia-smi mig -lci -gi 2
+--------------------------------------------------------------------+
| Compute instances:                                                 |
| GPU     GPU       Name             Profile   Instance   Placement  |
|       Instance                       ID        ID       Start:Size |
|         ID                                                         |
|====================================================================|
|   0      2       MIG 1c.3g.20gb       0         0          0:1     |
+--------------------------------------------------------------------+
|   0      2       MIG 2c.3g.20gb       1         1          1:2     |
+--------------------------------------------------------------------+

执行 nvidia-smi 也可以看到如下输出

# nvidia-smi
Wed Jan 13 12:04:54 2021
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 460.27.04    Driver Version: 460.27.04    CUDA Version: 11.2     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  A100-SXM4-40GB      On   | 00000000:00:08.0 Off |                   On |
| N/A   26C    P0    43W / 400W |     11MiB / 40536MiB |     N/A      Default |
|                               |                      |              Enabled |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| MIG devices:                                                                |
+------------------+----------------------+-----------+-----------------------+
| GPU  GI  CI  MIG |         Memory-Usage |        Vol|         Shared        |
|      ID  ID  Dev |           BAR1-Usage | SM     Unc| CE  ENC  DEC  OFA  JPG|
|                  |                      |        ECC|                       |
|==================+======================+===========+=======================|
|  0    2   0   0  |      5MiB / 20096MiB | 14      0 |  3   0    2    0    0 |
|                  |      0MiB / 32767MiB |           |                       |
+------------------+                      +-----------+-----------------------+
|  0    2   1   1  |                      | 28      0 |  3   0    2    0    0 |
|                  |                      |           |                       |
+------------------+----------------------+-----------+-----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

执行nvidia-smi -L 可以列出每个设备的UUID，供后续计算时使用

# nvidia-smi -L
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
  MIG 1c.3g.20gb Device 0: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/2/0)
  MIG 2c.3g.20gb Device 1: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/2/1)

删除 CPU Instance

可以使用如下命令删除gi实例1上的ci实例0

1	nvidia-smi mig -dci -ci 0 -gi 1

使用 MIG

Bare-Metal

暂时没有拿到 bare metal 的 A100 机器，TODO

Container

前置条件

安装Docker
安装NVIDIA Container Toolkit：
- Nvidia-docker2 版本推荐在 v2.5.0 以上

运行容器

1
2
3

# docker run --runtime=nvidia -e NVIDIA_VISIBLE_DEVICES=MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/2/1 nvidia/cuda nvidia-smi
docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "process_linux.go:449: container init caused \"process_linux.go:432: running prestart hook 0 caused \\\"error running hook: exit status 1, stdout: , stderr: exec command: [/usr/bin/nvidia-container-cli --load-kmods configure --ldconfig=@/sbin/ldconfig --device=MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/2/1 --compute --utility --require=cuda>=11.1 brand=tesla,driver>=418,driver<419 brand=tesla,driver>=440,driver<441 brand=tesla,driver>=450,driver<451 --pid=11936 /var/lib/docker/overlay2/5ee3e036c29f6cd488a3ad1ab1c55a47e595ffff530075853396745de546e4a8/merged]\\\\nnvidia-container-cli: device error: unknown device id: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/2/1\\\\n\\\"\"": unknown.
ERRO[0000] error waiting for container: context canceled

怀疑是 NVIDIA Docker Toolkit 版本太老

# /usr/bin/nvidia-container-runtime -v
runc version 1.0.0-rc10
commit: dc9208a3303feef5b3839f4323d9beb36df0a9dd
spec: 1.0.1-dev

安装新版本的 NVIDIA Docker Toolkit

Dependencies Resolved

==========================================================================================================================================================================
 Package                                       Arch                       Version                                      Repository                                    Size
==========================================================================================================================================================================
Installing:
 nvidia-docker2                                noarch                     2.5.0-1                                      nvidia-docker                                8.4 k
Installing for dependencies:
 container-selinux                             noarch                     2:2.119.1-1.c57a6f9.tl2                      tlinux                                        39 k
 containerd.io                                 x86_64                     1.2.5-3.1.el7                                tlinux                                        22 M
 docker-ce                                     x86_64                     3:18.09.5-3.el7                              tlinux                                        19 M
 docker-ce-cli                                 x86_64                     1:18.09.5-3.el7                              tlinux                                        14 M
Updating for dependencies:
 libnvidia-container-tools                     x86_64                     1.3.1-1                                      libnvidia-container                           42 k
 libnvidia-container1                          x86_64                     1.3.1-1                                      libnvidia-container                           86 k
 nvidia-container-runtime                      x86_64                     3.4.0-1                                      nvidia-container-runtime                     693 k
 nvidia-container-toolkit                      x86_64                     1.4.0-2                                      nvidia-container-runtime                     819 k

环境配置好后，即可通过 docker 运行容器使用GPU：

$ docker run --runtime=nvidia -e NVIDIA_VISIBLE_DEVICES=MIG-GPU-61148488-f8ba-c817-b2e8-18f59e2b66b1/2/0 nvidia/cuda nvidia-smi
Wed Jan 13 11:30:19 2021
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 460.27.04    Driver Version: 460.27.04    CUDA Version: 11.2     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  A100-SXM4-40GB      On   | 00000000:00:08.0 Off |                   On |
| N/A   26C    P0    42W / 400W |                  N/A |     N/A      Default |
|                               |                      |              Enabled |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| MIG devices:                                                                |
+------------------+----------------------+-----------+-----------------------+
| GPU  GI  CI  MIG |         Memory-Usage |        Vol|         Shared        |
|      ID  ID  Dev |           BAR1-Usage | SM     Unc| CE  ENC  DEC  OFA  JPG|
|                  |                      |        ECC|                       |
|==================+======================+===========+=======================|
|  0    2   0   0  |      5MiB / 20096MiB | 14      0 |  3   0    2    0    0 |
|                  |      0MiB / 32767MiB |           |                       |
+------------------+----------------------+-----------+-----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

Kubernetes

前置依赖

NVIDIA R450+ datacenter driver: 450.80.02+
NVIDIA Container Toolkit (nvidia-docker2): v2.5.0+
NVIDIA k8s-device-plugin: v0.7.0+
NVIDIA gpu-feature-discovery: v0.2.0+

None

确认 Node 上的 MIG 特性开启，此时没有创建任何GI：

Thu Jan 14 16:35:34 2021
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 460.27.04    Driver Version: 460.27.04    CUDA Version: 11.2     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  A100-SXM4-40GB      On   | 00000000:00:08.0 Off |                   On |
| N/A   26C    P0    43W / 400W |      0MiB / 40536MiB |     N/A      Default |
|                               |                      |              Enabled |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| MIG devices:                                                                |
+------------------+----------------------+-----------+-----------------------+
| GPU  GI  CI  MIG |         Memory-Usage |        Vol|         Shared        |
|      ID  ID  Dev |           BAR1-Usage | SM     Unc| CE  ENC  DEC  OFA  JPG|
|                  |                      |        ECC|                       |
|==================+======================+===========+=======================|
|  No MIG devices found                                                       |
+-----------------------------------------------------------------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

启动 Device Plugin，此时 mig-strategy 是 none：

kind: DaemonSet
metadata:
  name: nvidia-device-plugin-daemonset
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: nvidia-device-plugin-ds
  updateStrategy:
    type: RollingUpdate
  template:
    metadata:
      # This annotation is deprecated. Kept here for backward compatibility
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      annotations:
        scheduler.alpha.kubernetes.io/critical-pod: ""
      labels:
        name: nvidia-device-plugin-ds
    spec:
      tolerations:
      # This toleration is deprecated. Kept here for backward compatibility
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      - key: CriticalAddonsOnly
        operator: Exists
      - key: nvidia.com/gpu
        operator: Exists
        effect: NoSchedule
      # Mark this pod as a critical add-on; when enabled, the critical add-on
      # scheduler reserves resources for critical add-on pods so that they can
      # be rescheduled after a failure.
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      priorityClassName: "system-node-critical"
      containers:
      - image: nvidia/k8s-device-plugin:v0.7.0
        name: nvidia-device-plugin-ctr
        args: ["--fail-on-init-error=false"]
        securityContext:
          allowPrivilegeEscalation: false
          capabilities:
            drop: ["ALL"]
        volumeMounts:
          - name: device-plugin
            mountPath: /var/lib/kubelet/device-plugins
      volumes:
        - name: device-plugin
          hostPath:
            path: /var/lib/kubelet/device-plugins

可以看到 Node 上可以用 nvidia.com/gpu 资源数目：

Capacity:
...
  nvidia.com/gpu:          1
Allocatable:
...
  nvidia.com/gpu:          1

部署 Pod：

$ kubectl run -it --rm \
   --image=nvidia/cuda \
   --restart=Never \
   --limits=nvidia.com/gpu=1 \
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
pod "mig-none-example" deleted

Single

确认 Node 上的MIG特性开启后，创建大小相同的7个GI，每个GI对应着一个CI：

$ nvidia-smi mig -cgi 19,19,19,19,19,19,19 -C
Successfully created GPU instance ID 13 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID 13 using profile MIG 1g.5gb (ID  0)
Successfully created GPU instance ID 11 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID 11 using profile MIG 1g.5gb (ID  0)
Successfully created GPU instance ID 12 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID 12 using profile MIG 1g.5gb (ID  0)
Successfully created GPU instance ID  7 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  7 using profile MIG 1g.5gb (ID  0)
Successfully created GPU instance ID  8 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  8 using profile MIG 1g.5gb (ID  0)
Successfully created GPU instance ID  9 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  9 using profile MIG 1g.5gb (ID  0)
Successfully created GPU instance ID 10 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID 10 using profile MIG 1g.5gb (ID  0)
$ nvidia-smi -L
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
  MIG 1g.5gb Device 0: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/7/0)
  MIG 1g.5gb Device 1: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/8/0)
  MIG 1g.5gb Device 2: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/9/0)
  MIG 1g.5gb Device 3: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/10/0)
  MIG 1g.5gb Device 4: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/11/0)
  MIG 1g.5gb Device 5: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/12/0)
  MIG 1g.5gb Device 6: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/13/0)

部署 Device Plugin：

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: nvidia-device-plugin-daemonset
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: nvidia-device-plugin-ds
  updateStrategy:
    type: RollingUpdate
  template:
    metadata:
      # This annotation is deprecated. Kept here for backward compatibility
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      annotations:
        scheduler.alpha.kubernetes.io/critical-pod: ""
      labels:
        name: nvidia-device-plugin-ds
    spec:
      tolerations:
      # This toleration is deprecated. Kept here for backward compatibility
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      - key: CriticalAddonsOnly
        operator: Exists
      - key: nvidia.com/gpu
        operator: Exists
        effect: NoSchedule
      # Mark this pod as a critical add-on; when enabled, the critical add-on
      # scheduler reserves resources for critical add-on pods so that they can
      # be rescheduled after a failure.
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      priorityClassName: "system-node-critical"
      containers:
      - image: nvidia/k8s-device-plugin:v0.7.0
        name: nvidia-device-plugin-ctr
        args: ["--fail-on-init-error=false", "--mig-strategy=single"]
        securityContext:
          allowPrivilegeEscalation: false
          capabilities:
            drop: ["ALL"]
        volumeMounts:
          - name: device-plugin
            mountPath: /var/lib/kubelet/device-plugins
      volumes:
        - name: device-plugin
          hostPath:
            path: /var/lib/kubelet/device-plugins

这时候可以看到 Node 上面的标记 nvidia.com/gpu 变成了 7 个：

Capacity:
...
  nvidia.com/gpu:          7
Allocatable:
...
  nvidia.com/gpu:          7

部署 discovery

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: gpu-feature-discovery
  labels:
    app.kubernetes.io/name: gpu-feature-discovery
    app.kubernetes.io/version: 0.2.0
    app.kubernetes.io/part-of: nvidia-gpu
spec:
  selector:
    matchLabels:
      app.kubernetes.io/name: gpu-feature-discovery
      app.kubernetes.io/part-of: nvidia-gpu
  template:
    metadata:
      labels:
        app.kubernetes.io/name: gpu-feature-discovery
        app.kubernetes.io/version: 0.2.0
        app.kubernetes.io/part-of: nvidia-gpu
    spec:
      containers:
        - image: nvidia/gpu-feature-discovery:v0.2.0
          name: gpu-feature-discovery
          args: ["--mig-strategy=single"]
          volumeMounts:
            - name: output-dir
              mountPath: "/etc/kubernetes/node-feature-discovery/features.d"
            - name: dmi-product-name
              mountPath: "/sys/class/dmi/id/product_name"
          env:
            - name: NVIDIA_MIG_MONITOR_DEVICES
              value: all
          securityContext:
            privileged: true
      nodeSelector:
        feature.node.kubernetes.io/pci-10de.present: "true" # NVIDIA vendor ID
      volumes:
        - name: output-dir
          hostPath:
            path: "/etc/kubernetes/node-feature-discovery/features.d"
        - name: dmi-product-name
          hostPath:
            path: "/sys/class/dmi/id/product_name"

运行 Pod 申请GPU：

$  for i in $(seq 7); do
   kubectl run \
      --image=nvidia/cuda:11.0-base \
      --restart=Never \
      --limits=nvidia.com/gpu=1 \
      mig-single-example-${i} -- bash -c "nvidia-smi -L; sleep infinity"
done
pod/mig-single-example-1 created
pod/mig-single-example-2 created
pod/mig-single-example-3 created
pod/mig-single-example-4 created
pod/mig-single-example-5 created
pod/mig-single-example-6 created
pod/mig-single-example-7 created

$ for i in $(seq 7); do
echo "mig-single-example-${i}";
kubectl logs mig-single-example-${i}
echo "";
done

mig-single-example-1
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
  MIG 1g.5gb Device 0: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/11/0)

mig-single-example-2
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
  MIG 1g.5gb Device 0: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/7/0)

mig-single-example-3
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
  MIG 1g.5gb Device 0: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/8/0)
  
...

$ for i in $(seq 7); do
kubectl delete pod mig-single-example-${i};
done

pod "mig-single-example-1" deleted
pod "mig-single-example-2" deleted
...

Mixed

确认 Node 上的MIG特性开启后，创建不同大小的3个GI，每个GI对应着一个CI：

$ nvidia-smi mig -cgi 9,14,19 -C
Successfully created GPU instance ID  2 on GPU  0 using profile MIG 3g.20gb (ID  9)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  2 using profile MIG 3g.20gb (ID  2)
Successfully created GPU instance ID  3 on GPU  0 using profile MIG 2g.10gb (ID 14)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  3 using profile MIG 2g.10gb (ID  1)
Successfully created GPU instance ID  9 on GPU  0 using profile MIG 1g.5gb (ID 19)
Successfully created compute instance ID  0 on GPU  0 GPU instance ID  9 using profile MIG 1g.5gb (ID  0)
$ nvidia-smi -L
GPU 0: A100-SXM4-40GB (UUID: GPU-61148488-f8ba-c817-b2e8-18f59e2b66b1)
  MIG 3g.20gb Device 0: (UUID: MIG-GPU-61148488-f8ba-c817-b2e8-18f59e2b66b1/2/0)
  MIG 2g.10gb Device 1: (UUID: MIG-GPU-61148488-f8ba-c817-b2e8-18f59e2b66b1/3/0)
  MIG 1g.5gb Device 2: (UUID: MIG-GPU-61148488-f8ba-c817-b2e8-18f59e2b66b1/9/0)

启动 Device Plugin ：

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: nvidia-device-plugin-daemonset
  namespace: kube-system
spec:
  selector:
    matchLabels:
      name: nvidia-device-plugin-ds
  updateStrategy:
    type: RollingUpdate
  template:
    metadata:
      # This annotation is deprecated. Kept here for backward compatibility
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      annotations:
        scheduler.alpha.kubernetes.io/critical-pod: ""
      labels:
        name: nvidia-device-plugin-ds
    spec:
      tolerations:
      # This toleration is deprecated. Kept here for backward compatibility
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      - key: CriticalAddonsOnly
        operator: Exists
      - key: nvidia.com/gpu
        operator: Exists
        effect: NoSchedule
      # Mark this pod as a critical add-on; when enabled, the critical add-on
      # scheduler reserves resources for critical add-on pods so that they can
      # be rescheduled after a failure.
      # See https://kubernetes.io/docs/tasks/administer-cluster/guaranteed-scheduling-critical-addon-pods/
      priorityClassName: "system-node-critical"
      containers:
      - image: nvidia/k8s-device-plugin:v0.7.0
        name: nvidia-device-plugin-ctr
        args: ["--fail-on-init-error=false", "--mig-strategy=mixed"]
        securityContext:
          allowPrivilegeEscalation: false
          capabilities:
            drop: ["ALL"]
        volumeMounts:
          - name: device-plugin
            mountPath: /var/lib/kubelet/device-plugins
      volumes:
        - name: device-plugin
          hostPath:
            path: /var/lib/kubelet/device-plugins

启动 Device Plugin 之后，可以看到 Node 上的有MIG的resource type：

Capacity:
...
  nvidia.com/gpu:          0
  nvidia.com/mig-1g.5gb:   1
  nvidia.com/mig-2g.10gb:  1
  nvidia.com/mig-3g.20gb:  1
  pods:                    61
Allocatable:
...
  nvidia.com/gpu:          0
  nvidia.com/mig-1g.5gb:   1
  nvidia.com/mig-2g.10gb:  1
  nvidia.com/mig-3g.20gb:  1
  pods:                    61

这时候启动 gpu-feature-discovery，启动策略是 mixed：

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: gpu-feature-discovery
  labels:
    app.kubernetes.io/name: gpu-feature-discovery
    app.kubernetes.io/version: 0.2.0
    app.kubernetes.io/part-of: nvidia-gpu
spec:
  selector:
    matchLabels:
      app.kubernetes.io/name: gpu-feature-discovery
      app.kubernetes.io/part-of: nvidia-gpu
  template:
    metadata:
      labels:
        app.kubernetes.io/name: gpu-feature-discovery
        app.kubernetes.io/version: 0.2.0
        app.kubernetes.io/part-of: nvidia-gpu
    spec:
      containers:
        - image: nvidia/gpu-feature-discovery:v0.2.0
          name: gpu-feature-discovery
          args: ["--mig-strategy=mixed"]
          volumeMounts:
            - name: output-dir
              mountPath: "/etc/kubernetes/node-feature-discovery/features.d"
            - name: dmi-product-name
              mountPath: "/sys/class/dmi/id/product_name"
          env:
            - name: NVIDIA_MIG_MONITOR_DEVICES
              value: all
          securityContext:
            privileged: true
      #nodeSelector:
      #  feature.node.kubernetes.io/pci-10de.present: "true" # NVIDIA vendor ID
      volumes:
        - name: output-dir
          hostPath:
            path: "/etc/kubernetes/node-feature-discovery/features.d"
        - name: dmi-product-name
          hostPath:
            path: "/sys/class/dmi/id/product_name"

这时候查看 Node 的 label，可以看到 MIG 相关的 label 已经打上？

1
2
3

$ kubectl get node -o json | \
   jq '.items[0].metadata.labels | with_entries(select(.key | startswith("nvidia.com")))'
{}

使用 kubectl 启动 Pod：

$ kubectl run -it --rm \
   --image=nvidia/cuda:11.0-base \
   --restart=Never \
   --limits=nvidia.com/mig-1g.5gb=1 \
   mig-mixed-example -- nvidia-smi -L
GPU 0: A100-SXM4-40GB (UUID: GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181)
  MIG 1g.5gb Device 0: (UUID: MIG-GPU-ed92375c-b61c-7a27-2611-bc72ad3ea181/9/0)
pod "mig-mixed-example" deleted

当前TKE的问题

驱动版本和 Nvidia-container-toolkit 版本较老，需要更新

# TKE GPU Node查看到 Driver 信息
$ nvidia-smi -a
Driver Version                      : 418.67
CUDA Version                        : 10.1

# Nvidia Container Toolkit 版本
nvidia-container-runtime-3.1.0-1
nvidia-container-toolkit-1.0.1-2
libnvidia-container-tools-1.0.2-1
libnvidia-container1-1.0.2-1

# NVIDIA Device Plugin 版本较老
nvidia/k8s-device-plugin:1.10

应该用 NVIDIA k8s-device-plugin: v0.7.0+

VM 中使用 MIG，开启MIG特性需要重启VM

If you are using MIG inside a VM with GPU passthrough, then you may need to reboot the VM to allow the GPU to be in MIG mode as in some cases, GPU reset is not allowed via the hypervisor for security reasons. This can be seen in the following example:

$ sudo nvidia-smi -i 0 -mig 1
Warning: MIG mode is in pending enable state for GPU 00000000:00:03.0:Not Supported
Reboot the system or try nvidia-smi --gpu-reset to make MIG mode effective on GPU 00000000:00:03.0
All done.

$ sudo nvidia-smi --gpu-reset
Resetting GPU 00000000:00:03.0 is not supported.

划分MIG后的性能对比

整块卡的性能

测试项目	实测性能	官方标准性能
FP32MAD	19.436TF	19.5 TF
FP64MAD	9.690TF	9.7 TF
int32mad	19.446TF	-
int32add	18.906TF	-
FP32GEMMTensor (矩阵大小满足最佳性能要求)	158.426TF	156 TF
FP32GEMMTensor (不满足最佳性能要求)	68.054 TF	-
FP32GEMM	19.047 TF	-

备注

GEMM 需要在cuda 11.0 下重编，才能达到以上效果
满足最佳性能要求是的GEMM大小参数 9000 6000 6000
不满足最佳性能要求的GEMM大小参数 8997 5998 5998

MIG卡的性能

为了测试各个CI和GI的性能，对3g.20gb GI进行进一步划分，分为 2c.3g.20gb, 1c.3g.20gb，另外两个GI不做进一步划分，直接在GI基础上创建CI。

至此一块GPU卡被分为四个CI分别是

MIG 1c.3g.20gb
MIG 2c.3g.20gb
MIG 2g.10gb
MIG 1g.5gb

各CI串行执行

MIG 1c.3g.20gb

测试项目	实测性能(OPS)
FP32MAD	2.523 T
FP64MAD	1.261 T
INT32MAD	2.524 T
INT32ADD	2.455 T
FP32GEMMTensor (矩阵大小满足最佳性能要求)	23.081 T
FP32GEMMTensor (不满足最佳性能要求)	8.940 T
FP32GEMM	2.476 T

MIG 2c.3g.20gb

测试项目	实测性能(OPS)
FP32MAD	5.046 T
FP64MAD	2.521 T
INT32MAD	5.049 T
INT32ADD	4.908 T
FP32GEMMTensor (矩阵大小满足最佳性能要求)	44.941 T
FP32GEMMTensor (不满足最佳性能要求)	18.920 T
FP32GEMM	4.909 T

MIG 2g.10gb

测试项目	实测性能(OPS)
FP32MAD	5.046 T
FP64MAD	2.521 T
INT32MAD	5.049 T
INT32ADD	4.908 T
FP32GEMMTensor (矩阵大小满足最佳性能要求)	40.151 T
FP32GEMMTensor (不满足最佳性能要求)	17.514 T
FP32GEMM	4.909 T

MIG 1g.5gb

测试项目	实测性能(OPS)
FP32MAD	2.523 T
FP64MAD	1.261 T
INT32MAD	2.524 T
INT32ADD	2.454 T
FP32GEMMTensor (矩阵大小满足最佳性能要求)	16.453 T
FP32GEMMTensor (不满足最佳性能要求)	8.261 T
FP32GEMM	2.476T

备注

在串行执行FP32MAD任务时，1c.3g.20gb，1g.5gb的测试任务时保持在14.3%，2c.3g.20gb，2g.10gb的测试任务时保持在28.6%附近

各CI并行执行

统一执行FP32MAD

测试项目	实测性能(OPS)
1c.3g.20gb	2.523 T
2c.3g.20gb	5.044 T
2g.10gb	5.046 T
1g.5gb	2.523 T

统一执行FP32GEMMTensor

测试项目	实测性能(OPS)
1c.3g.20gb	20.450 T
2c.3g.20gb	41.194 T
2g.10gb	39.773 T
1g.5gb	16.336 T

备注

在并行执行FP32MAD任务时，SmActivity,SmOccupancy,FP32Activity三项监控指标保持在85.7%附近

分别执行不同类型的计算

测试项目	实测性能(OPS)
1c.3g.20gb FP32MAD	2.523 T
2c.3g.20gb FP64MAD	2.521 T
2g.10gb INT32MAD	5.048 T
1g.5gb INT32ADD	2.454 T

备注

在并行执行不同计算任务时，SmActivity,SmOccupancy,FP64Activity,FP32Activity分别为85.7%, 78.1%, 28.5%, 57.0%

根据测试结果，验证了CI，GI隔离的有效性，具体结论如下

对比各个MIG上任务串行执行，以及并行执行的性能数据，可以有效验证CI，GI隔离的有效性
划分CI，GI存在一定的性能损失，1g.5gb 上测得的性能并不等与整张卡的1/7，从整张卡的维度来看，存在10%的性能损失。考虑原因，A100 卡总共有108 SMs，但是分为7个MIG实例后，每个MIG实例只有14个SM 14*7 = 98 SMs，有10个SM将无法使用，这10个SM的浪费就是产生性能损失的源头。
对比2c.3g.20gb 2g.10gb可以发现在2c.3g.20gb（一个GI上软隔离的CI）Tensor计算性能比 2c.3g.20gb（完全隔离的GI)更好一些，同时对比所有CI同时执行FP32GemmTensor，可以发现同一个GI上的CI同时执行GEMM（相比FP32MAD，有一定的显存读写）时，两个CI的计算性能比单独执行时会有所下降，更接近单独GI的性能。即说明2c.3g.20gb性能强于2g.10gb，是由于CI隔离不完全导致的。

A100卡可以为后续工作带来的价值

每个MIG实例的完整隔离，可以支持多种虚拟化场景，包括虚拟机，容器
最小实例的基础计算能力，大约为T4卡的三分之一，P4卡的一半，计算能力适中，内存带宽1,555 GB/s 相比于P4卡 192 GB/s，T4 320+ GB/s，带宽足够充裕，不会成为瓶颈
存在离线计算和在线推理使用同一种GPU的可能性，打通离线，在线两个GPU资源池
- T4卡的具体性能指标 16G显存，SM 40, 8 TensorCores/SM, 64 INT32Cores/SM, 64 FP32Cores/SM,
- A100卡的具体性能指标 40G显存，SM 108, 4 Third-generation Tensor Cores/SM, 64 FP32 CUDA Cores/SM,

参考资料

【异构计算】GPU 共享

2020-11-18T03:11:07.000Z

原生的 k8s 基于 Device Plugin 和 Extended Resource 机制实现了在容器中使用GPU，但是只支持GPU的独占使用，不允许在Pod间共享GPU，这大大降低了对集群中GPU的利用率。为了在集群层面共享GPU，我们需要实现GPU资源的隔离与调度，本文将依次介绍阿里的 GPUShare 与腾讯的 GPUManager，分析其实现机制。

阿里GPUShare

阿里的 GPUShare 基于 Nvidia Docker2 和他们的 gpu sharing design 设计而实现的，为了使用阿里的GPUShare，首先需要配置Node上的 Docker Runtime 并安装 NVIDIA Docker 2，具体过程可以参考在Docker中使用GPU。

架构设计

假设条件

尽管GPU可以从 CUDA Cores 和 GPU Memory 两个维度来衡量GPU的能力，在推理的场景，我们可以假定CUDA core的数量和GPU Memory的大小是成比例的
在模型开发和推理的场景下，用户申请的GPU资源不超过1个GPU，也就是说 resource limit 是一个GPU
每个Node上所有卡的GPU Memory相同，这样可以通过 gpuTotalMemory 和 gpuTotalCount 算出Node上每张卡的GPU Memory

设计原则

设计里定义了两种 Extended Resource：
- aliyun.com/gpu-mem：单位从 number of GPUs 变更为 amount of GPU memory in MiB，如果一个Node有多个GPU设备，这里计算的是总的GPU Memory
- aliyun.com/gpu-count：对应于Node上的GPU 设备的数目
基于k8s原生的Scheduler Extender、Extended Resource、DevicePlugin机制来实现
这个方案只实现GPU的共享，不实现算力和显存的隔离，如果想实现隔离，在阿里云可以搭配 cGPU 一起使用

核心组件

下图是整个设计的核心组件：

GPU Share Scheduler Extender：基于k8s scheduler extender机制，作用于调度过程的Filter和Bind阶段，用于决定某个Node上的一个GPU设备是否可以提供足够的GPU Memory，并将GPU分配的结果记录到Pod Spec 的 Annotation中
GPU Share Device Plugin：基于k8s device plugin机制，根据GPU Share Scheduler Extender记录在Pod Spec的Annotation，实现GPU 设备的 Allocation。

具体过程

设备资源报告

GPU Share Device Plugin 基于 nvml 库来查询每个Node上GPU设备的数目和每个GPU设备的GPU Memory。

这些资源状况被通过 ListAndWatch() 汇报给 Kubelet，然后 kubelet 会上报给 APIServer，这时候执行 kubectl get node 可以看到在 status 看到相关的Extended Resource字段：

apiVersion: v1
kind: Node
metadata:
  name: 10.0.0.4
  labels:
    gpushare: "true"
    ...
spec:
  podCIDR: 172.16.1.0/26
  podCIDRs:
  - 172.16.1.0/26
  providerID: qcloud:///800002/ins-hsmsc4x9
status:
  ...
  allocatable:
    aliyun.com/gpu-count: "1"
    aliyun.com/gpu-mem: "22"
    cpu: 5926m
    ephemeral-storage: "47438316671"
    hugepages-2Mi: "0"
    memory: 54222084Ki
    ...
  capacity:
    aliyun.com/gpu-count: "1"
    aliyun.com/gpu-mem: "22"
    cpu: "6"
    ephemeral-storage: 51473868Ki
    hugepages-2Mi: "0"
    memory: 57448708Ki
    ...

调度插件扩展

用户申请GPU的时候，在 Extended Resource 中只填写 gpu-mem，下面部署一个单机版的Tensorflow：

apiVersion: apps/v1
kind: Deployment
metadata: 
  name: tensorflow
  labels:
    k8s-app: tensorflow
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: tensorflow
  template:
    metadata:
      labels:
        k8s-app: tensorflow
    spec:
      containers:
      - name: tensorflow
        image: tensorflow/tensorflow:2.2.1-gpu-py3-jupyter
        ports:
        - containerPort: 8888
        resources:
          limits:
            cpu: 4
            memory: 2Gi
            aliyun.com/gpu-mem: 3
          requests:
            cpu: 2
            memory: 1Gi
---
apiVersion: v1
kind: Service
metadata:
    name: jupyter-service
spec:
  type: NodePort
  ports:
  - port: 80
    targetPort: 8888
    name: tensorflow
  selector:
    k8s-app: tensorflow

Filter

当kube-scheduler运行完所有的Filter函数后，就会调用 GPU Share Extender 的 Filter 函数。在原生的过滤中，kube-scheduler会计算是否有足够的Extended Resource（算的是总共的GPU Memory），但是不能知道是否某个GPU设备有足够的资源，这时候就需要调度器插件来实现。以下图为例：

用户申请了8138MiB的GPU Memory，对于原生调度器，N1节点只剩下 (16276 * 2 - 16276 - 12207 = 4069) 的GPU资源，不满足 Extended Resource可用的条件，N1节点被过滤掉
接下来的N2节点和N3节点剩余的总的资源数都有8138MiB，那么该选择哪一个呢
在 GPU Share Extender 的过滤中，他需要找到有单个GPU能够满足用户申请的资源，当检查到N2节点的时候，发现虽然总的GPU Memory有8138MiB，但是每个GPU设备都只剩4096MiB了，不能满足单设备8138的需求，所以N2被过滤掉
扫描到N3节点，发现GPU0满足8138MiB的需求，符合要求

这里有一个问题：当一个Node上有多张卡的时候，Scheduler Extender是如何知道每张卡当前可用的Capacity的呢？

我们看一下Extender在 Filter 阶段执行的函数，对于要创建的Pod，当前Node检查自己拥有的所有可用GPU，一旦有一个GPU的可用显存大于申请的显存，那么当前Node是可以被调度的。

// check if the pod can be allocated on the node
func (n *NodeInfo) Assume(pod *v1.Pod) (allocatable bool) {
allocatable = false

n.rwmu.RLock()
defer n.rwmu.RUnlock()

availableGPUs := n.getAvailableGPUs()
reqGPU := uint(utils.GetGPUMemoryFromPodResource(pod))
log.Printf("debug: AvailableGPUs: %v in node %s", availableGPUs, n.name)

if len(availableGPUs) > 0 {
for devID := 0; devID < len(n.devs); devID++ {
availableGPU, ok := availableGPUs[devID]
if ok {
if availableGPU >= reqGPU {
allocatable = true
break
}
}
}
}

return allocatable
}

接下来的一个问题是，每个Node可用的GPU显存是如何得到的呢？我们进入到 getAvailableGPUs 继续看：

func (n *NodeInfo) getAvailableGPUs() (availableGPUs map[int]uint) {
allGPUs := n.getAllGPUs()
usedGPUs := n.getUsedGPUs()
unhealthyGPUs := n.getUnhealthyGPUs()
availableGPUs = map[int]uint{}
for id, totalGPUMem := range allGPUs {
if usedGPUMem, found := usedGPUs[id]; found {
availableGPUs[id] = totalGPUMem - usedGPUMem
}
}
log.Printf("info: available GPU list %v before removing unhealty GPUs", availableGPUs)
for id, _ := range unhealthyGPUs {
log.Printf("info: delete dev %d from availble GPU list", id)
delete(availableGPUs, id)
}
log.Printf("info: available GPU list %v after removing unhealty GPUs", availableGPUs)

return availableGPUs
}

这里可以看到，Scheduler Extender 内部维护了当前Node上所有的GPU显存状态和已经用了的GPU显存状态信息：

// device index: gpu memory
func (n *NodeInfo) getUsedGPUs() (usedGPUs map[int]uint) {
usedGPUs = map[int]uint{}
for _, dev := range n.devs {
usedGPUs[dev.idx] = dev.GetUsedGPUMemory()
}
log.Printf("info: getUsedGPUs: %v in node %s, and devs %v", usedGPUs, n.name, n.devs)
return usedGPUs
}

// device index: gpu memory
func (n *NodeInfo) getAllGPUs() (allGPUs map[int]uint) {
allGPUs = map[int]uint{}
for _, dev := range n.devs {
allGPUs[dev.idx] = dev.totalGPUMem
}
log.Printf("info: getAllGPUs: %v in node %s, and dev %v", allGPUs, n.name, n.devs)
return allGPUs
}

关于 GetUsedGPUMemory，是Scheduler Extender 内部维护的 DeviceInfo 所记录的，这里的 d.podMap 会在每次Extender执行 Bind 的时候，将对应的Pod添加到对应的Node上的 DeviceInfo中：

func (d *DeviceInfo) GetUsedGPUMemory() (gpuMem uint) {
log.Printf("debug: GetUsedGPUMemory() podMap %v, and its address is %p", d.podMap, d)
d.rwmu.RLock()
defer d.rwmu.RUnlock()
for _, pod := range d.podMap {
if pod.Status.Phase == v1.PodSucceeded || pod.Status.Phase == v1.PodFailed {
log.Printf("debug: skip the pod %s in ns %s due to its status is %s", pod.Name, pod.Namespace, pod.Status.Phase)
continue
}
// gpuMem += utils.GetGPUMemoryFromPodEnv(pod)
gpuMem += utils.GetGPUMemoryFromPodAnnotation(pod)
}
return gpuMem
}

再总结总结，本质上是 Scheduler Extender 维护了一个 devs 这么一个数据结构，使得它可以知道当前Node上每个GPU设备的显存状态。

// NodeInfo is node level aggregated information.
type NodeInfo struct {
name           string
node           *v1.Node
devs           map[int]*DeviceInfo
gpuCount       int
gpuTotalMemory int
rwmu           *sync.RWMutex
}

那么问题来了，我们通过ApiServer，只能知道对应Node上的 gpuCount 和 gpuTotalMemory，而不知道每张卡各自的显存的。这个 devs 是怎么初始化得到每张卡的显存信息呢的呢？继续看代码：

// Create Node Level
func NewNodeInfo(node *v1.Node) *NodeInfo {
log.Printf("debug: NewNodeInfo() creates nodeInfo for %s", node.Name)

devMap := map[int]*DeviceInfo{}
for i := 0; i < utils.GetGPUCountInNode(node); i++ {
devMap[i] = newDeviceInfo(i, uint(utils.GetTotalGPUMemory(node)/utils.GetGPUCountInNode(node)))
}

if len(devMap) == 0 {
log.Printf("warn: node %s with nodeinfo %v has no devices",
node.Name,
node)
}

return &NodeInfo{
name:           node.Name,
node:           node,
devs:           devMap,
gpuCount:       utils.GetGPUCountInNode(node),
gpuTotalMemory: utils.GetTotalGPUMemory(node),
rwmu:           new(sync.RWMutex),
}
}

可以看到，这里在初始化的时候，默认设定每张GPU卡的显存大小一样，通过平均得到每张卡的心存信息。

Bind

当调度器发现有Node符合要求，这时候会把Pod和Node Bind到一起，GPU Share Extender 需要做两件事情：
- 根据 binpack 原则找到Node上对应的GPU设备，并将 GPU Device ID记录到 Pod的 Annotation中 ALIYUN_GPU_ID。他也会将Pod使用的GPU Memory记录到Pod Annotation中：ALIYUN_COM_GPU_MEM_POD 和 ALIYUN_COM_GPU_MEM_ASSUME_TIME
- Bind the Node and Pod with kubernetes API
如果没有找到合适的Node符合要求，那么就不会做Bind操作

以下图为例，N1中有4个GPU，其中GPU0（12207），GPU1（8138）、GPU2（4069）和GPU3（16276）, GPU2因为资源不够被过滤掉，剩下的3个GPU根据 Binpack 原则，我们选用GPU1（图里面 Annotation错了，不是0，而是1）

我们看一看在找GPU设备的时候是如何操作的，可以看到这里通过 candidateGPUMemory > availableGPU 这里实现了 binpack。

// allocate the GPU ID to the pod
func (n *NodeInfo) allocateGPUID(pod *v1.Pod) (candidateDevID int, found bool) {

reqGPU := uint(0)
found = false
candidateDevID = -1
candidateGPUMemory := uint(0)
availableGPUs := n.getAvailableGPUs()

reqGPU = uint(utils.GetGPUMemoryFromPodResource(pod))

if reqGPU > uint(0) {
log.Printf("info: reqGPU for pod %s in ns %s: %d", pod.Name, pod.Namespace, reqGPU)
log.Printf("info: AvailableGPUs: %v in node %s", availableGPUs, n.name)
if len(availableGPUs) > 0 {
for devID := 0; devID < len(n.devs); devID++ {
availableGPU, ok := availableGPUs[devID]
if ok {
if availableGPU >= reqGPU {
if candidateDevID == -1 || candidateGPUMemory > availableGPU {
candidateDevID = devID
candidateGPUMemory = availableGPU
}

found = true
}
}
}
}

if found {
log.Printf("info: Find candidate dev id %d for pod %s in ns %s successfully.",
candidateDevID,
pod.Name,
pod.Namespace)
} else {
log.Printf("warn: Failed to find available GPUs %d for the pod %s in the namespace %s",
reqGPU,
pod.Name,
pod.Namespace)
}
}

return candidateDevID, found
}

Kubelet创建Pod

接下来由Kubelet在创建container前调用 GPU Share Device Plugin 的 Allocate 函数，参数是申请的GPU Memory的数量。

Pod运行成功后，执行 kubectl get pod 可以看到：

apiVersion: v1
kind: Pod
metadata:
  annotations:
    ALIYUN_COM_GPU_MEM_ASSIGNED: "true"
    ALIYUN_COM_GPU_MEM_ASSUME_TIME: "1606125285243248618"
    ALIYUN_COM_GPU_MEM_DEV: "22"
    ALIYUN_COM_GPU_MEM_IDX: "0"
    ALIYUN_COM_GPU_MEM_POD: "3"
  ...

Device Plugin 从 k8s apiserver 拿到所有Pending的Pod中属于GPU Share的Pod，并且按照 AssumedTimestamp排序
选择符合Allocation传入的GPU Memory的Pod，如果有多个，选择最早的那个Pod
标记 ALIYUN_COM_GPU_MEM_ASSIGNED 为 True
把 DeviceID 作为下NVIDIA_VISIBLE_DEVICES环境变量告诉 Nvidia Docker2，并且创建容器

这里问题是device plugin的allocate接口参数是什么，是否包含pod信息，是否包含pod annotation？

查看 Device Plugin 的代码，这一个申请的GPU Memory的数量让我很疑惑，为何要这么算？

1
2
3

for _, req := range reqs.ContainerRequests {
podReqGPU += uint(len(req.DevicesIDs))
}

继续看 Device Plugin 的 DeviceIDs 是如何生成的。这里调用了 nvml library 可以探测到本Node上拥有的GPU有多少个，每个显存是多少。接下来 Device Plugin 会创建一系列的 FakeDeviceID，并将这个DeviceIDs返回给 Kubelet，这就解释了为什么要通过上面的方法计算申请的 GPU Memory，这里的Memory以MiB为单位。

func getDevices() ([]*pluginapi.Device, map[string]uint) {
n, err := nvml.GetDeviceCount()
check(err)

var devs []*pluginapi.Device
realDevNames := map[string]uint{}
for i := uint(0); i < n; i++ {
d, err := nvml.NewDevice(i)
check(err)
// realDevNames = append(realDevNames, d.UUID)
var id uint
log.Infof("Deivce %s's Path is %s", d.UUID, d.Path)
_, err = fmt.Sscanf(d.Path, "/dev/nvidia%d", &id)
check(err)
realDevNames[d.UUID] = id
// var KiB uint64 = 1024
log.Infof("# device Memory: %d", uint(*d.Memory))
if getGPUMemory() == uint(0) {
setGPUMemory(uint(*d.Memory))
}
for j := uint(0); j < getGPUMemory(); j++ {
fakeID := generateFakeDeviceID(d.UUID, j)
if j == 0 {
log.Infoln("# Add first device ID: " + fakeID)
}
if j == getGPUMemory()-1 {
log.Infoln("# Add last device ID: " + fakeID)
}
devs = append(devs, &pluginapi.Device{
ID:     fakeID,
Health: pluginapi.Healthy,
})
}
}

return devs, realDevNames
}

我们看一下 Device Plugin 是如何找到对应的Pod的，可以看到一旦碰到有Pod申请的GPU显存与Kubelet传入的显存大小一致，那么则找到对应的Pod了。

pods, err := getCandidatePods()
if err != nil {
   log.Infof("invalid allocation requst: Failed to find candidate pods due to %v", err)
   return buildErrResponse(reqs, podReqGPU), nil
}
...

for _, pod := range pods {
   if getGPUMemoryFromPodResource(pod) == podReqGPU {
      log.Infof("Found Assumed GPU shared Pod %s in ns %s with GPU Memory %d",
         pod.Name,
         pod.Namespace,
         podReqGPU)
      assumePod = pod
      found = true
      break
   }
}

这里的 getCandidatePods就是List所有Pending的Pod中 Assume Memory的，并且按照时间排序：

// pick up the gpushare pod with assigned status is false, and
func getCandidatePods() ([]*v1.Pod, error) {
candidatePods := []*v1.Pod{}
allPods, err := getPendingPodsInNode()
if err != nil {
return candidatePods, err
}
for _, pod := range allPods {
current := pod
if isGPUMemoryAssumedPod(¤t) {
candidatePods = append(candidatePods, ¤t)
}
}

  ...
return makePodOrderdByAge(candidatePods), nil
}

那么这里有一个问题：如果在同一个Node有两个Pod ，都申请了相同的GPU显存大小，比如3G，那么kubelet是在创建容器的时候，是如何保证两个Pod不混淆的呢？混淆会有问题吗，kubelet建Pod的时候到底是怎么搞的？是谁触发了kubelet创建容器？

腾讯GPUManager

GPU Manager 提供一个 All-in-One 的 GPU 管理器，基于 Kubernetes DevicePlugin 插件系统实现，该管理器提供了分配并共享 GPU、GPU 指标查询、容器运行前的 GPU 相关设备准备等功能，支持用户在 Kubernetes 集群中使用 GPU 设备。

拓扑分配：提供基于 GPU 拓扑分配功能，当用户分配超过1张 GPU 卡的应用，可以选择拓扑连接最快的方式分配 GPU 设备。
GPU 共享：允许用户提交小于1张卡资源的任务，并提供 QoS 保证。
应用 GPU 指标的查询：用户可以访问主机端口（默认为 5678）的 /metrics 路径，可以为 Prometheus 提供 GPU 指标的收集功能，访问 /usage 路径可以进行可读性的容器状况查询。

架构设计

设计原则

设计里定义了两种 Extended Resource：
- tencent.com/vcuda-core ： vcuda-core对应的是使用率，单张卡有100个core
- tencent.com/vcuda-memory ：vcuda-memory 是显存，每个单位是256MB的显存
- 如果申请的资源为50%利用率，7680MB显存，tencent.com/vcuda-core 填写50，tencent.com/vcuda-memory 填写成30
- 同样支持原来的独占卡的方式，只需要在core的地方填写100的整数倍，memory值填写大于0的任意值
基于k8s原生的Scheduler Extender、Extended Resource、DevicePlugin机制来实现
这个方案同时实现GPU的共享与算力和显存的隔离，类似于阿里云 cGPU 加上GPUShare 一起使用

核心组件

GaiaGPU的实现主要分为两个部分：Kubernetes 部分和 vCUDA 部分

Kubernetes部分基于 Kubernetes 的 Extended Resources、Device Plugin 和 Scheduler Extender机制，实现了下面两个项目
- GPU Manager ：实现为一个 Device Plugin，与 NVIDIA 的 k8s-device-plugin 相比，不需要额外配置 nvidia-docker2，使用的是原生的 runc
- GPU Admission：实现为一个Scheduler Extender，注意这里的Extender在论文中没有提到，下图中的GPU Scheduler实现的是topology的选卡，属于现在GPU Manager项目的一部分，与这里的调度器插件无关
vCUDA 部分通过 vcuda-controller 来实现，作为 NVIDIA 的 CUDA 库的封装

具体过程

设备资源上报

与阿里的 GPUShare 一样，GPU Manager 在 ListAndWatch 返回给Kubelet的也不是实际的GPU设备，而是 a list of vGPUs，
GPU被虚拟化为两个资源维度，memory 和 computing resource
- memory：以256M内存作为单位，每个memory unit叫做 vmemory device
- computing resource：将一个物理GPU划分为100个 vprocessor devices，每个 vprocessor 占有 1%的GPU利用率
用户申请具有GPU的Pod资源Manifest如下：

apiVersion: v1
kind: Pod
metadata:
  name: vcuda
spec:
  restartPolicy: Never
  hostNetwork: true
  containers:
  - image: tensorflow
    name: vcuda-test
    command: ['/usr/local/nvidia/bin/nvidia-smi']
    resources:
      requests:
        tencent.com/vcuda-core: 50
        tencent.com/vcuda-memory: 30
      limits:
        tencent.com/vcuda-core: 50
        tencent.com/vcuda-memory: 3

下面看具体代码，首先是向 kubelet 注册：

func (m *managerImpl) RegisterToKubelet() error {
socketFile := filepath.Join(m.config.DevicePluginPath, types.KubeletSocket)
dialOptions := []grpc.DialOption{grpc.WithInsecure(), grpc.WithDialer(utils.UnixDial), grpc.WithBlock(), grpc.WithTimeout(time.Second * 5)}

conn, err := grpc.Dial(socketFile, dialOptions...)
if err != nil {
return err
}
defer conn.Close()

client := pluginapi.NewRegistrationClient(conn)

for _, srv := range m.bundleServer {
req := &pluginapi.RegisterRequest{
Version:      pluginapi.Version,
Endpoint:     path.Base(srv.SocketName()),
ResourceName: srv.ResourceName(),
Options:      &pluginapi.DevicePluginOptions{PreStartRequired: true},
}

glog.V(2).Infof("Register to kubelet with endpoint %s", req.Endpoint)
_, err = client.Register(context.Background(), req)
if err != nil {
return err
}
}

return nil
}

这里有一个 m.bundleServer，分别是 vcore 和 vmemory 的 gRPC Server。

func (m *managerImpl) setupGRPCService() {
vcoreServer := newVcoreServer(m)
vmemoryServer := newVmemoryServer(m)

m.bundleServer[types.VCoreAnnotation] = vcoreServer
m.bundleServer[types.VMemoryAnnotation] = vmemoryServer

displayapi.RegisterGPUDisplayServer(m.srv, m)
}

接下来看 ListAndWatch 的实现，对于两种资源，它会去检查 capacity()里面包含对应 resourceName 的：

//ListAndWatchWithResourceName send devices for request resource back to server
func (ta *NvidiaTopoAllocator) ListAndWatchWithResourceName(resourceName string, e *pluginapi.Empty, s pluginapi.DevicePlugin_ListAndWatchServer) error {
devs := make([]*pluginapi.Device, 0)
for _, dev := range ta.capacity() {
if strings.HasPrefix(dev.ID, resourceName) {
devs = append(devs, dev)
}
}

s.Send(&pluginapi.ListAndWatchResponse{Devices: devs})

// We don't send unhealthy state
for {
time.Sleep(time.Second)
}

glog.V(2).Infof("ListAndWatch %s exit", resourceName)

return nil
}

那么这里的 ta.capicity() 是如何得到的呢？这里维护了一个拓扑树，树根是物理的Host，树叶是物理的GPU。这里根据树叶上GPU的数目和总的显存大小，构建了 vcore 设备和 vmemory 设备，命名以各自的资源名为前缀。

func (ta *NvidiaTopoAllocator) capacity() (devs []*pluginapi.Device) {
var (
gpuDevices, memoryDevices []*pluginapi.Device
totalMemory               int64
)

nodes := ta.tree.Leaves()
for i := range nodes {
totalMemory += int64(nodes[i].Meta.TotalMemory)
}

totalCores := len(nodes) * nvtree.HundredCore
gpuDevices = make([]*pluginapi.Device, totalCores)
for i := 0; i < totalCores; i++ {
gpuDevices[i] = &pluginapi.Device{
ID:     fmt.Sprintf("%s-%d", types.VCoreAnnotation, i),
Health: pluginapi.Healthy,
}
}

totalMemoryBlocks := totalMemory / types.MemoryBlockSize
memoryDevices = make([]*pluginapi.Device, totalMemoryBlocks)
for i := int64(0); i < totalMemoryBlocks; i++ {
memoryDevices[i] = &pluginapi.Device{
ID:     fmt.Sprintf("%s-%d-%d", types.VMemoryAnnotation, types.MemoryBlockSize, i),
Health: pluginapi.Healthy,
}
}

devs = append(devs, gpuDevices...)
devs = append(devs, memoryDevices...)

return
}

调度插件扩展

细粒度Quota准入

GPU Quota Admission 作为调度器插件，实现了更细粒度的quota调度准入维度。用户通过配置一个 ConfigMap，对每个 Namespace可用的GPU卡的配额做规划，同时也定义了资源池，这样在调度的时候就可以实现按照资源池及GPU型号进行策略调度。

{
  "A": {
    "pool": ["public"], // Pods in namespace 'A' could use pool 'public'
    "quota": {
      "M40": 2,
      "P100": 3
    }
  },
  "B": {
    "pool": [ "wx" ], // Pods in namespace 'B' could use pool 'wx'
    "quota": {
      "M40": 8,
      "P100": 2
    }
  }
}

具体在调度的时候，对每一个Pod，根据Namespace可以筛选出一系列含有GPU的Pods，然后当前Namespace下，对于某种GPU Model（比如P100），计算已经使用了的GPU大小，根据 ConfigMap 定义的配额，找到没超出。通过这个，得到所有没超出Quota的Models。

type NamespaceQuota struct {
Quota map[string]int `json:"quota"`
Pool []string `json:"pool"`
}

func (gpuFilter *GPUFilter) filterGPUModel(pod *corev1.Pod, namespaceQuota NamespaceQuota) ([]string, error) {
var filteredGPUModels []string
for gpuModel, limit := range namespaceQuota.Quota {
limit = limit * VirtualGPUTimes
  nodeSelector, err := metav1.LabelSelectorAsSelector(&metav1.LabelSelector{
MatchLabels: map[string]string{gpuFilter.conf.GPUModelLabel: gpuModel}})
if err != nil {
return nil, err
}
pods, err := gpuFilter.listPodsOnNodes(nodeSelector, pod.Namespace)
if err != nil {
return nil, err
}
gpuUsed := calculateGPUUsage(append(pods, pod))
if gpuUsed <= limit {
filteredGPUModels = append(filteredGPUModels, gpuModel)
}
glog.V(4).Infof("Pods in namespace %s will use %d %s GPU cards after adding this pod, quota is %d",
pod.Namespace, gpuUsed, gpuModel, limit)
}
glog.V(4).Infof("These GPU models could be used by pod %s: %+v", pod.Name, filteredGPUModels)
return filteredGPUModels, nil
}

接下来在 Filter阶段，根据上面的可用 GPU Models 和定义的 Quota Pool，

func (gpuFilter *GPUFilter) filterNodes(nodes []corev1.Node, gpuModels, pools []string) (filteredNodes []corev1.Node, failedNodesMap schedulerapi.FailedNodesMap, err error) {
var gpuModelSelector, poolSelector labels.Selector

glog.V(4).Infof("Filter nodes with gpuModels(%+v) and pools(%+v)", gpuModels, pools)

if len(gpuModels) != 0 {
gpuModelSelector, err = metav1.LabelSelectorAsSelector(&metav1.LabelSelector{
MatchExpressions: []metav1.LabelSelectorRequirement{{
Key:      gpuFilter.conf.GPUModelLabel,
Operator: metav1.LabelSelectorOpIn,
Values:   gpuModels,
}}})
if err != nil {
return nil, nil, err
}
} else {
gpuModelSelector = labels.Nothing()
}

// If pool is empty, it means that pod could use every pool, it is OK to leave it as a empty selector.
if len(pools) != 0 {
poolSelector, err = metav1.LabelSelectorAsSelector(&metav1.LabelSelector{
MatchExpressions: []metav1.LabelSelectorRequirement{{
Key:      gpuFilter.conf.GPUPoolLabel,
Operator: metav1.LabelSelectorOpIn,
Values:   pools,
}}})
if err != nil {
return nil, nil, err
}
} else {
poolSelector = labels.Everything()
}

failedNodesMap = schedulerapi.FailedNodesMap{}
for _, node := range nodes {
if gpuModelSelector.Matches(labels.Set(node.Labels)) && poolSelector.Matches(labels.Set(node.Labels)) {
filteredNodes = append(filteredNodes, node)
glog.V(5).Infof("Add %s to filteredNodes", node.Name)
} else {
failedNodesMap[node.Name] = "ExceedsGPUQuota"
glog.V(5).Infof("Add %s to failedNodesMap", node.Name)
}
}
return filteredNodes, failedNodesMap, nil
}

到这一步，也就是实现了细粒度的Quota调度准入控制。

避免GPU碎片化

为此我们增加了GPU predicate controller来尽可能的降低系统默认调度策略带来的碎片化问题。

我们看看它是如何实现的，首先在 deviceFilter的入口里面，拿到当前Node上存在的所有Pod：

pods, err := gpuFilter.ListPodsOnNode(node)
...
nodeInfo := device.NewNodeInfo(node, pods)
alloc := algorithm.NewAllocator(nodeInfo)
newPod, err := alloc.Allocate(pod)

接下来构建一个 NodeInfo 结构体，里面包含有当前Node的所有信息，这里记录了Node上所有的GPU显存和GPU设备数目。这个是通过Node Status里面两个扩展资源计算出来的。GPU Manager 方案也是认为每台机器上的GPU的不同卡的显存大小是相同的，这样可以算出每张卡的显存大小。

type NodeInfo struct {
name        string
node        *v1.Node
devs        map[int]*DeviceInfo
deviceCount int
totalMemory uint
usedCore    uint
usedMemory  uint
}

NodeInfo 里面还有一个 DeviceInfo 的map，用于记录每张卡的使用情况。这里在初始化这个 NodeInfo 数据结构的时候也会根据传入的 pods 信息更新 DeviceInfo 的设备使用情况。

type DeviceInfo struct {
id          int
totalMemory uint
usedMemory  uint
usedCore    uint
}

接下来就是每个 Allocate 函数的实现，对于Pod里面的每一个容器，都会分配得到一个 devIDs 列表，然后得到对Pod打上Annotation：

func (alloc *allocator) Allocate(pod *v1.Pod) (*v1.Pod, error) {
newPod := pod.DeepCopy()
for i, c := range newPod.Spec.Containers {
if !util.IsGPURequiredContainer(&c) {
continue
}
devIDs := []string{}
devs, err := alloc.AllocateOne(&c)
if err != nil {
glog.Infof("failed to allocate for pod %s(%s)", newPod.Name, c.Name)
return nil, err
}
for _, dev := range devs {
devIDs = append(devIDs, strconv.Itoa(dev.GetID()))
}
if newPod.Annotations == nil {
newPod.Annotations = make(map[string]string)
}
newPod.Annotations[util.PredicateGPUIndexPrefix+strconv.Itoa(i)] = strings.Join(devIDs, ",")
}
newPod.Annotations[util.GPUAssigned] = "false"
newPod.Annotations[util.PredicateTimeAnnotation] = fmt.Sprintf("%d", time.Now().UnixNano())

return newPod, nil
}

接下来的问题就是，这里的 AllocateOne 是如何实现的呢？对于每个容器，根据其申请的GPU资源，可以分为GPU是共享模式还是独占模式，然后调用 Evaluate去得到 devs。

func (alloc *allocator) AllocateOne(container *v1.Container) ([]*device.DeviceInfo, error) {
var (
devs           []*device.DeviceInfo
sharedMode     bool
vcore, vmemory uint
)
node := alloc.nodeInfo.GetNode()
nodeTotalMemory := util.GetCapacityOfNode(node, util.VMemoryAnnotation)
deviceCount := util.GetGPUDeviceCountOfNode(node)
deviceTotalMemory := uint(nodeTotalMemory / deviceCount)
needCores := util.GetGPUResourceOfContainer(container, util.VCoreAnnotation)
needMemory := util.GetGPUResourceOfContainer(container, util.VMemoryAnnotation)

switch {
case needCores < util.HundredCore:
eval := NewShareMode(alloc.nodeInfo)
devs = eval.Evaluate(needCores, needMemory)
sharedMode = true
default:
eval := NewExclusiveMode(alloc.nodeInfo)
devs = eval.Evaluate(needCores, needMemory)
}

if len(devs) == 0 {
return nil, fmt.Errorf("failed to allocate for container %s", container.Name)
}

if sharedMode {
vcore = needCores
vmemory = needMemory
} else {
vcore = util.HundredCore
vmemory = deviceTotalMemory
}
for _, dev := range devs {
err := alloc.nodeInfo.AddUsedResources(dev.GetID(), vcore, vmemory)
if err != nil {
glog.Infof("failed to update used resource for node %s dev %d due to %v", node.Name, dev.GetID(), err)
}
}
return devs, nil
}

以共享模式为例，这里拿到当前Node的所有 Device，分别根据最少可用的cores和可用的memory来排序，如果有满足用户需要的设备，则加入到 devs 里面，最后将这个 list 返回给用户。

func (al *shareMode) Evaluate(cores uint, memory uint) []*device.DeviceInfo {
var (
devs        []*device.DeviceInfo
deviceCount = al.node.GetDeviceCount()
tmpStore    = make([]*device.DeviceInfo, deviceCount)
sorter      = shareModeSort(device.ByAllocatableCores, device.ByAllocatableMemory, device.ByID)
)

for i := 0; i < deviceCount; i++ {
tmpStore[i] = al.node.GetDeviceMap()[i]
}

sorter.Sort(tmpStore)

for _, dev := range tmpStore {
if dev.AllocatableCores() >= cores && dev.AllocatableMemory() >= memory {
glog.V(4).Infof("Pick up %d , cores: %d, memory: %d", dev.GetID(), dev.AllocatableCores(), dev.AllocatableMemory())
devs = append(devs, dev)
break
}
}

return devs
}

可以看到这里在调度过程中，选择最先满足的那个，一旦满足则跳出选择。这是因为这里的 devs 已经按照最少可用的资源来匹配了，通过这种方式可以减少碎片化。

Kubelet创建Pod

用户创建Pod之后，经过调度找到对应的Node，这时候Kubelet向DevicePlugin执行Allocate函数。因为Kubelet看到的是虚拟的Devices，这里需要有一个从虚拟Device到实际GPU Device的映射，这里就是上图中GPU Manager做的事情，然后发送一个Request给GPU Scheduler，根据拓扑关系选择最合适的GPU，然后GPU Manager将 AllocateResponse返回给Kubelet。

我们先看 Allocate 的实现，这段代码比较长，但是实现的逻辑也不难：

Allocate传入的参数是 deviceIDs 这样里一个List，里面只有 vcore 这种设备 （代码是这样的，需要进一步看一看 kubelet）
Pod可能有多个Container，这里每次只处理一个容器
- 如果还有未处理的Pod，先解决未处理Pod中的容器
- 否则从当前Node上的Pod遍历，选择与用户申请的 vcore 相同的容器

func (ta *NvidiaTopoAllocator) Allocate(_ context.Context, reqs *pluginapi.AllocateRequest) (*pluginapi.AllocateResponse, error) {
ta.Lock()
defer ta.Unlock()

var (
reqCount           uint
candidatePod       *v1.Pod
candidateContainer *v1.Container
found              bool
)
if len(reqs.ContainerRequests) < 1 {
return nil, fmt.Errorf("empty container request")
}

// k8s send allocate request for one container at a time
req := reqs.ContainerRequests[0]
resps := &pluginapi.AllocateResponse{}
reqCount = uint(len(req.DevicesIDs))

if ta.unfinishedPod != nil {
candidatePod = ta.unfinishedPod
cache := ta.allocatedPod.GetCache(string(candidatePod.UID))
for i, c := range candidatePod.Spec.Containers {
if _, ok := cache[c.Name]; ok {
continue
}

if !utils.IsGPURequiredContainer(&c) {
continue
}

if reqCount != utils.GetGPUResourceOfContainer(&candidatePod.Spec.Containers[i], types.VCoreAnnotation) {
return nil, fmt.Errorf(msg)
}
candidateContainer = &candidatePod.Spec.Containers[i]
found = true
break
}
} else {
pods, err := getCandidatePods(ta.k8sClient, ta.config.Hostname)
if err != nil {
msg := fmt.Sprintf("Failed to find candidate pods due to %v", err)
glog.Infof(msg)
return nil, fmt.Errorf(msg)
}

for _, pod := range pods {
if found {
break
}
for i, c := range pod.Spec.Containers {
if !utils.IsGPURequiredContainer(&c) {
continue
}
podCache := ta.allocatedPod.GetCache(string(pod.UID))
if podCache != nil {
if _, ok := podCache[c.Name]; ok {
glog.Infof("container %s of pod %s has been allocate, continue to next", c.Name, pod.UID)
continue
}
}
if utils.GetGPUResourceOfContainer(&pod.Spec.Containers[i], types.VCoreAnnotation) == reqCount {
glog.Infof("Found candidate Pod %s(%s) with device count %d", pod.UID, c.Name, reqCount)
candidatePod = pod
candidateContainer = &pod.Spec.Containers[i]
found = true
break
}
}
}
}
  ...
}

找到这样的一个容器之后，拿到容器申请的 vmemory，每一个虚拟的 vmemory 作为一个设备加入到 req.DevicesIDs 中，继续调用 allocateOne:

if found {
// get vmemory info from container spec
vmemory := utils.GetGPUResourceOfContainer(candidateContainer, types.VMemoryAnnotation)
for i := 0; i < int(vmemory); i++ {
req.DevicesIDs = append(req.DevicesIDs, types.VMemoryAnnotation)
}

resp, err := ta.allocateOne(candidatePod, candidateContainer, req)
if err != nil {
glog.Errorf(err.Error())
return nil, err
}
resps.ContainerResponses = append(resps.ContainerResponses, resp)
} else {
msg := fmt.Sprintf("candidate pod not found for request %v, allocation failed", reqs)
glog.Infof(msg)
return nil, fmt.Errorf(msg)
}

return resps, ni

具体的 Allocate 实现在 allocateOne 里面，根据Pod计算出其申请的 needCores 和 needMemory 之后，根据三种情况有不同的分配策略。注意这里还是在拓扑树上面操作，拓扑树树根是物理的Host，树叶是物理的GPU

申请的资源超过一张卡，这时候分配的策略是尽可能减少卡之间的通信开销
申请的资源等于一张卡，这时候的分配策略是尽可能减少拓扑树里面产生没有兄弟节点的叶节点
申请的资源小于一张卡，这时候的分配策略是尽可能减少卡资源的碎片化

switch {
case needCores > nvtree.HundredCore:
eval, ok := ta.evaluators["link"]
// 这种场景下needCores must be multiple of nvtree.HundredCore
nodes = eval.Evaluate(needCores, 0)
case needCores == nvtree.HundredCore:
eval, ok := ta.evaluators["fragment"]
nodes = eval.Evaluate(needCores, 0)
default:
// evaluate in share mode
shareMode = true
eval, ok := ta.evaluators["share"]
nodes = eval.Evaluate(needCores, needMemory)
  }

这里的 Evaluate 返回的是 NvidiaNode 这样的 GPU 节点，通过这个结构可以构建一个拓扑树：

//NvidiaNode represents a node of Nvidia GPU
type NvidiaNode struct {
Meta            DeviceMeta
AllocatableMeta SchedulerCache

Parent   *NvidiaNode
Children []*NvidiaNode
Mask     uint32

pendingReset bool
vchildren    map[int]*NvidiaNode
ntype        nvml.GpuTopologyLevel
tree         *NvidiaTree
}

关于这里具体的分配算法此处就不再详述了，抓住主脉络。

接下来构建 pluginapi.ContainerAllocateResponse，这里会分别设置环境变量，挂载的目录，找到的设备，以及Annotation：

ctntResp := &pluginapi.ContainerAllocateResponse{
Envs:        make(map[string]string),
Mounts:      make([]*pluginapi.Mount, 0),
Devices:     make([]*pluginapi.DeviceSpec, 0),
Annotations: make(map[string]string),
}

首先是 Devices 字段：

allocatedDevices := sets.NewString()
deviceList := make([]string, 0)
for _, n := range nodes {
name := n.MinorName()
glog.V(2).Infof("Allocate %s for %s(%s), Meta (%d:%d)", name, pod.UID, container.Name, n.Meta.ID, n.Meta.MinorID)

ctntResp.Annotations[types.VCoreAnnotation] = fmt.Sprintf("%d", needCores)
ctntResp.Annotations[types.VMemoryAnnotation] = fmt.Sprintf("%d", needMemory)

ctntResp.Devices = append(ctntResp.Devices, &pluginapi.DeviceSpec{
ContainerPath: name,
HostPath:      name,
Permissions:   "rwm",
})
deviceList = append(deviceList, n.Meta.UUID)

if !allocated {
ta.tree.MarkOccupied(n, needCores, needMemory)
}
allocatedDevices.Insert(name)
}

这里还有一些控制设备：

// Append control device
ctntResp.Devices = append(ctntResp.Devices, &pluginapi.DeviceSpec{
ContainerPath: types.NvidiaCtlDevice,
HostPath:      types.NvidiaCtlDevice,
Permissions:   "rwm",
})

ctntResp.Devices = append(ctntResp.Devices, &pluginapi.DeviceSpec{
ContainerPath: types.NvidiaUVMDevice,
HostPath:      types.NvidiaUVMDevice,
Permissions:   "rwm",
})

// Append default device
if cfg, found := ta.extraConfig["default"]; found {
for _, dev := range cfg.Devices {
ctntResp.Devices = append(ctntResp.Devices, &pluginapi.DeviceSpec{
ContainerPath: dev,
HostPath:      dev,
Permissions:   "rwm",
})
}
}

接着是 Annotations 字段：

ctntResp.Annotations[types.VDeviceAnnotation] = vDeviceAnnotationStr(nodes)
if !allocated {
ta.allocatedPod.Insert(string(pod.UID), container.Name, &cache.Info{
Devices: allocatedDevices.UnsortedList(),
Cores:   needCores,
Memory:  needMemory,
})
}

然后是 Envs 字段

// LD_LIBRARY_PATH
ctntResp.Envs["LD_LIBRARY_PATH"] = "/usr/local/nvidia/lib64"
for _, env := range container.Env {
if env.Name == "compat32" && strings.ToLower(env.Value) == "true" {
ctntResp.Envs["LD_LIBRARY_PATH"] = "/usr/local/nvidia/lib"
}
}

// NVIDIA_VISIBLE_DEVICES
ctntResp.Envs["NVIDIA_VISIBLE_DEVICES"] = strings.Join(deviceList, ",")

最后是 Mounts 字段，这里给GPU容器配置一个volume挂载点来提供CUDA Library以及配置环境变量LD_LIBRARY_PATH 告诉应用哪里去找到 CUDA Library。

if shareMode {
ctntResp.Mounts = append(ctntResp.Mounts, &pluginapi.Mount{
ContainerPath: "/usr/local/nvidia",
HostPath:      types.DriverLibraryPath,
ReadOnly:      true,
})
} else {
ctntResp.Mounts = append(ctntResp.Mounts, &pluginapi.Mount{
ContainerPath: "/usr/local/nvidia",
HostPath:      types.DriverOriginLibraryPath,
ReadOnly:      true,
})
}

ctntResp.Mounts = append(ctntResp.Mounts, &pluginapi.Mount{
ContainerPath: types.VCUDA_MOUNTPOINT,
HostPath:      filepath.Join(ta.config.VirtualManagerPath, string(pod.UID)),
ReadOnly:      true,
})

vGPU Manager

vGPU Manager 作为 GPU Manager 这个 DaemonSet 的一部分，负责下发容器配置和监控容器分配的vGPU。上一步在拓扑分配器确定好每个容器的资源配置之后，vGPU Manager 负责为每个容器在 host 上创建一个独立的目录，这个目录以容器的名称命名，并且会被包括在 AllocateResponse 中返回给 kubelet，对就是上面那段代码做的事情。

vGPU Manager 会维护一个使用了GPU的并且仍然活着的容器列表，还会去周期性的检查他们。一旦有容器挂掉，就会将这个容器移出列表并且删去目录。

//                Host                     |                Container
//                                         |
//                                         |
//  .-----------.                          |
//  | allocator |----------.               |             ___________
//  '-----------'   PodUID |               |             \          \
//                         v               |              ) User App )--------.
//                .-----------------.      |             /__________/         |
//     .----------| virtual-manager |      |                                  |
//     |          '-----------------'      |                                  |
// $VirtualManagerPath/PodUID              |                                  |
//     |                                   |       read /proc/self/cgroup     |
//     |  .------------------.             |       to get PodUID, ContainerID |
//     '->| create directory |------.      |                                  |
//        '------------------'      |      |                                  |
//                                  |      |                                  |
//                 .----------------'      |       .----------------------.   |
//                 |                       |       | fork call gpu-client |<--'
//                 |                       |       '----------------------'
//                 v                       |                   |
//    .------------------------.           |                   |
//   ( wait for client register )<-------PodUID, ContainerID---'
//    '------------------------'           |
//                 |                       |
//                 v                       |
//   .--------------------------.          |
//   | locate pod and container |          |
//   '--------------------------'          |
//                 |                       |
//                 v                       |
//   .---------------------------.         |
//   | write down configure and  |         |
//   | pid file with containerID |         |
//   | as name                   |         |
//   '---------------------------'         |
//                                         |
//                                         |
//                                         v

vGPU Library

论文中的 vGPU Library，具体实现为 vcuda-controller ，它运行在容器中用于管理部署在容器中的GPU资源。这个 vGPU Library 本质上就是自己封装了 CUDA Library，劫持了 memory-related API 和 computing-related API，下表显示了劫持的API。

vCUDA 在调用相应API时检查：

对于显存，一旦该任务申请显存后占用的显存大小大于config中的设置，就报错。
对于计算资源，存在硬隔离和软隔离两种方式
- 共同点是当任务使用的GPU SM利用率超出资源上限，则暂缓下发API调用。
- 不同点是如果有资源空闲，软隔离允许任务超过设置，动态计算资源上限。而硬隔离则不允许超出设置量。

这里对于其具体实现按下不表。

一个令人疑惑的问题是，在GPU Manager中，用户的容器是如何能够使用这个动态库的呢？具体有两个问题：

这个库从哪里来？
- GPU Manager 作为 DaemonSet 会在其Image中将我们自定义的库打包进去，然后挂载到Node上的一个目录。
容器中的应用是如何感知到的？
- 这里主要是通过在创建容器的时候，设置 LD_LIBRARY_PATH ，将其指向这个自定义的动态库的地址。

资源监控统计

这部分代码还没有看。

参考资料

【异构计算】在Docker中使用GPU

2020-11-17T12:45:00.000Z

我们在 GPU 与 CUDA 编程入门这篇博客中初步介绍了如何Linux上使用GPU的方法，随着容器和k8s的迅猛发展，人们对于在容器中使用GPU的需求越发强烈。本文将基于前文，继续介绍如何在容器中使用GPU，进一步地，介绍在Kubernetes中如何调度GPU，并以Tensorflow为例，介绍如何基于Docker搭建部署了GPU的深度学习开发环境。

背景介绍

容器最早是用于无缝部署基于CPU的应用，它们对于硬件和平台是无感知的，但是显然这种使用场景对于GPU并不适用。对于不同的GPU，需要机器安装不同的硬件驱动，这极大限制了在容器中使用GPU。为了解决这个问题，最早的一种使用方法是在容器中完全重新安装一次NVIDIA驱动，然后将在容器启动的时候将GPU以字符设备 /dev/nvidia0 的方式传递给容器。然而这种方法要求容器中安装的驱动版本与Host上的驱动版本完全一致，同一个Docker Image不能在各个机器上复用，这极大的限制了容器的扩展性。

为了解决上述问题，容器必须对于 NVIDIA 驱动是无感知的，基于此 NVIDIA 推出了 NVIDIA Container Toolkit：

如上图所示， NVIDIA 将原来 CUDA 应用依赖的API环境划分为两个部分：

驱动级API：由libcuda.so.major.minor动态库和内核module提供支持，图中表示为CUDA Driver
- 驱动级API属于底层API，每当NVIDIA公司释放出某一个版本的驱动时，如果你要升级主机上的驱动，那么内核模块和libcuda.so.major.minor这2个文件就必须同时升级到同一个版本，这样原有的程序才能正常工作,
- 不同版本的驱动不能同时存在于宿主机上
非驱动级API：由动态库libcublas.so等用户空间级别的API组成，图中表示为CUDA Toolkit
- 非驱动级API的版本号是以Toolkit自身的版本号来管理, 比如cuda-10，cuda-11
- 不同版本的Toolkit可以同时运行在相同的宿主机上
- 非驱动级API算是对驱动级API的一种更高级的封装,最终还是要调用驱动级API来实现功能

为了让使用GPU的容器更具可扩展性，关于非驱动级的API被 NVIDIA 打包进了 NVIDIA Container Toolkit，因此在容器中使用GPU之前，每个机器需要先安装好NVIDIA驱动，之后配置好 NVIDIA Container Toolkit之后，就可以在容器中方便使用GPU了。

整体架构

NVIDIA 的容器工具包本质是使用一个nvidia-runc的方式来提供GPU容器的创建, 在用户创建出来的OCI spec上补上几个hook函数，来达到GPU设备运行的准备工作。具体包括以下几个组件，从上到下展示如图：

nvidia-docker2
nvidia-container-runtime
nvidia-container-toolkit
libnvidia-container

下面对这几个组件依次介绍：

`libnvidia-container`

libnvidia-container 提供了一个 library 和一个配置 GNU/Linux 的 Container 使用 NVIDIA GPU 的 client nvidia-container-cli。libnvidia-container 的实现依赖于 kernel primitives，并且是对于 container runtime 是无关的。

nvidia-container-cli 的主要作用就是将 NVIDIA GPU 注入到容器中，包括 /dev/nvidia0 设备挂载等操作。下面是抓到的日志信息，可以看到其主要操作包括：

加载内核模块，包括 nvidia/nvidia_uvm/nvidia_modeset 等
创建字符设备，包括 nvidia0，nvidiactl，nvidia-uvm，nvidia-modeset 等
Mount GPU设备、NVIDIA 相关库等

I0301 09:23:38.589710 4693 nvc_mount.c:218] zz: mounting /dev/nvidiactl at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidiactl
I0301 09:23:38.589733 4693 nvc_mount.c:509] whitelisting device node 195:255
I0301 09:23:38.589789 4693 nvc_mount.c:218] zz: mounting /dev/nvidia-uvm at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidia-uvm
I0301 09:23:38.589809 4693 nvc_mount.c:509] whitelisting device node 233:0
I0301 09:23:38.589855 4693 nvc_mount.c:218] zz: mounting /dev/nvidia-uvm-tools at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidia-uvm-tools
I0301 09:23:38.589875 4693 nvc_mount.c:509] whitelisting device node 233:1
I0301 09:23:38.589959 4693 nvc_mount.c:218] zz: mounting /dev/nvidia0 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidia0

到 libnvidia-container 代码中查看，可以看到

1 2	if (xmount(err, src, dst, NULL, MS_BIND, NULL) < 0) goto fail;

具体就是将 /dev/nvidia0 设备 bind mount 到 container roofs 的 /dev/nvidia0上。

下面是详细日志信息：

-- WARNING, the following logs are for debugging purposes only --

I0301 09:23:38.570499 4693 nvc.c:374] initializing library context (version=1.3.3, build=bd9fc3f2b642345301cb2e23de07ec5386232317)
I0301 09:23:38.570591 4693 nvc.c:346] using root /
I0301 09:23:38.570600 4693 nvc.c:347] using ldcache /etc/ld.so.cache
I0301 09:23:38.570606 4693 nvc.c:348] using unprivileged user 65534:65534
I0301 09:23:38.570624 4693 nvc.c:391] attempting to load dxcore to see if we are running under Windows Subsystem for Linux (WSL)
I0301 09:23:38.570708 4693 nvc.c:393] dxcore initialization failed, continuing assuming a non-WSL environment
I0301 09:23:38.571856 4698 nvc.c:274] loading kernel module nvidia
I0301 09:23:38.572227 4698 nvc.c:278] running mknod for /dev/nvidiactl
I0301 09:23:38.572285 4698 nvc.c:282] running mknod for /dev/nvidia0
I0301 09:23:38.572324 4698 nvc.c:286] running mknod for all nvcaps in /dev/nvidia-caps
I0301 09:23:38.572342 4698 nvc.c:292] loading kernel module nvidia_uvm
I0301 09:23:38.572382 4698 nvc.c:296] running mknod for /dev/nvidia-uvm
I0301 09:23:38.572472 4698 nvc.c:301] loading kernel module nvidia_modeset
I0301 09:23:38.572606 4698 nvc.c:305] running mknod for /dev/nvidia-modeset
I0301 09:23:38.572891 4699 driver.c:101] starting driver service
I0301 09:23:38.576138 4693 nvc_container.c:388] configuring container with 'compute utility video supervised'
I0301 09:23:38.576499 4693 nvc_container.c:408] setting pid to 4658
I0301 09:23:38.576510 4693 nvc_container.c:409] setting rootfs to /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged
I0301 09:23:38.576516 4693 nvc_container.c:410] setting owner to 0:0
I0301 09:23:38.576522 4693 nvc_container.c:411] setting bins directory to /usr/bin
I0301 09:23:38.576528 4693 nvc_container.c:412] setting libs directory to /usr/lib/x86_64-linux-gnu
I0301 09:23:38.576534 4693 nvc_container.c:413] setting libs32 directory to /usr/lib/i386-linux-gnu
I0301 09:23:38.576541 4693 nvc_container.c:414] setting cudart directory to /usr/local/cuda
I0301 09:23:38.576547 4693 nvc_container.c:415] setting ldconfig to @/sbin/ldconfig (host relative)
I0301 09:23:38.576553 4693 nvc_container.c:416] setting mount namespace to /proc/4658/ns/mnt
I0301 09:23:38.576559 4693 nvc_container.c:418] setting devices cgroup to /sys/fs/cgroup/devices/docker/5e868a1fa27cc187630a4b41cbdc8cc50b29a1aa35984f69f00b298db75caf4d
I0301 09:23:38.576571 4693 nvc_info.c:680] requesting driver information with ''
I0301 09:23:38.578231 4693 nvc_info.c:169] selecting /usr/lib64/vdpau/libvdpau_nvidia.so.418.126.02
I0301 09:23:38.578374 4693 nvc_info.c:169] selecting /usr/lib64/libnvoptix.so.418.126.02
I0301 09:23:38.578442 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-tls.so.418.126.02
I0301 09:23:38.578478 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-rtcore.so.418.126.02
I0301 09:23:38.578515 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-ptxjitcompiler.so.418.126.02
I0301 09:23:38.578565 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-opticalflow.so.418.126.02
I0301 09:23:38.578614 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-opencl.so.418.126.02
I0301 09:23:38.578651 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-ml.so.418.126.02
I0301 09:23:38.578699 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-ifr.so.418.126.02
I0301 09:23:38.578749 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-glvkspirv.so.418.126.02
I0301 09:23:38.578782 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-glsi.so.418.126.02
I0301 09:23:38.578815 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-glcore.so.418.126.02
I0301 09:23:38.578851 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-fbc.so.418.126.02
I0301 09:23:38.578896 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-fatbinaryloader.so.418.126.02
I0301 09:23:38.578941 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-encode.so.418.126.02
I0301 09:23:38.578989 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-eglcore.so.418.126.02
I0301 09:23:38.579029 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-compiler.so.418.126.02
I0301 09:23:38.579071 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-cfg.so.418.126.02
I0301 09:23:38.579115 4693 nvc_info.c:169] selecting /usr/lib64/libnvidia-cbl.so.418.126.02
I0301 09:23:38.579150 4693 nvc_info.c:169] selecting /usr/lib64/libnvcuvid.so.418.126.02
I0301 09:23:38.579314 4693 nvc_info.c:169] selecting /usr/lib64/libcuda.so.418.126.02
I0301 09:23:38.579405 4693 nvc_info.c:169] selecting /usr/lib64/libGLX_nvidia.so.418.126.02
I0301 09:23:38.579440 4693 nvc_info.c:169] selecting /usr/lib64/libGLESv2_nvidia.so.418.126.02
I0301 09:23:38.579474 4693 nvc_info.c:169] selecting /usr/lib64/libGLESv1_CM_nvidia.so.418.126.02
I0301 09:23:38.579507 4693 nvc_info.c:169] selecting /usr/lib64/libEGL_nvidia.so.418.126.02
I0301 09:23:38.579547 4693 nvc_info.c:169] selecting /usr/lib/vdpau/libvdpau_nvidia.so.418.126.02
I0301 09:23:38.579588 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-tls.so.418.126.02
I0301 09:23:38.579626 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-ptxjitcompiler.so.418.126.02
I0301 09:23:38.579673 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-opticalflow.so.418.126.02
I0301 09:23:38.579721 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-opencl.so.418.126.02
I0301 09:23:38.579755 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-ml.so.418.126.02
I0301 09:23:38.579802 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-ifr.so.418.126.02
I0301 09:23:38.579850 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-glvkspirv.so.418.126.02
I0301 09:23:38.579883 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-glsi.so.418.126.02
I0301 09:23:38.579916 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-glcore.so.418.126.02
I0301 09:23:38.579960 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-fbc.so.418.126.02
I0301 09:23:38.580007 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-fatbinaryloader.so.418.126.02
I0301 09:23:38.580039 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-encode.so.418.126.02
I0301 09:23:38.580085 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-eglcore.so.418.126.02
I0301 09:23:38.580121 4693 nvc_info.c:169] selecting /usr/lib/libnvidia-compiler.so.418.126.02
I0301 09:23:38.580158 4693 nvc_info.c:169] selecting /usr/lib/libnvcuvid.so.418.126.02
I0301 09:23:38.580209 4693 nvc_info.c:169] selecting /usr/lib/libcuda.so.418.126.02
I0301 09:23:38.580258 4693 nvc_info.c:169] selecting /usr/lib/libGLX_nvidia.so.418.126.02
I0301 09:23:38.580291 4693 nvc_info.c:169] selecting /usr/lib/libGLESv2_nvidia.so.418.126.02
I0301 09:23:38.580324 4693 nvc_info.c:169] selecting /usr/lib/libGLESv1_CM_nvidia.so.418.126.02
I0301 09:23:38.580356 4693 nvc_info.c:169] selecting /usr/lib/libEGL_nvidia.so.418.126.02
W0301 09:23:38.580373 4693 nvc_info.c:350] missing library libnvidia-allocator.so
W0301 09:23:38.580381 4693 nvc_info.c:350] missing library libnvidia-ngx.so
W0301 09:23:38.580387 4693 nvc_info.c:354] missing compat32 library libnvidia-cfg.so
W0301 09:23:38.580393 4693 nvc_info.c:354] missing compat32 library libnvidia-allocator.so
W0301 09:23:38.580405 4693 nvc_info.c:354] missing compat32 library libnvidia-ngx.so
W0301 09:23:38.580412 4693 nvc_info.c:354] missing compat32 library libnvidia-rtcore.so
W0301 09:23:38.580418 4693 nvc_info.c:354] missing compat32 library libnvoptix.so
W0301 09:23:38.580424 4693 nvc_info.c:354] missing compat32 library libnvidia-cbl.so
I0301 09:23:38.580710 4693 nvc_info.c:276] selecting /usr/bin/nvidia-smi
I0301 09:23:38.580731 4693 nvc_info.c:276] selecting /usr/bin/nvidia-debugdump
I0301 09:23:38.580750 4693 nvc_info.c:276] selecting /usr/bin/nvidia-persistenced
I0301 09:23:38.580771 4693 nvc_info.c:276] selecting /usr/bin/nvidia-cuda-mps-control
I0301 09:23:38.580791 4693 nvc_info.c:276] selecting /usr/bin/nvidia-cuda-mps-server
I0301 09:23:38.580821 4693 nvc_info.c:438] listing device /dev/nvidiactl
I0301 09:23:38.580827 4693 nvc_info.c:438] listing device /dev/nvidia-uvm
I0301 09:23:38.580833 4693 nvc_info.c:438] listing device /dev/nvidia-uvm-tools
I0301 09:23:38.580839 4693 nvc_info.c:438] listing device /dev/nvidia-modeset
W0301 09:23:38.580868 4693 nvc_info.c:321] missing ipc /var/run/nvidia-persistenced/socket
W0301 09:23:38.580884 4693 nvc_info.c:321] missing ipc /tmp/nvidia-mps
I0301 09:23:38.580891 4693 nvc_info.c:745] requesting device information with ''
I0301 09:23:38.588416 4693 nvc_info.c:628] listing device /dev/nvidia0 (GPU-a99e5631-5bcb-b5e1-9a08-e64a25effe1e at 00000000:00:05.0)
I0301 09:23:38.588494 4693 nvc_mount.c:354] mounting tmpfs at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/proc/driver/nvidia
I0301 09:23:38.588826 4693 nvc_mount.c:112] mounting /usr/bin/nvidia-smi at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/bin/nvidia-smi
I0301 09:23:38.588866 4693 nvc_mount.c:112] mounting /usr/bin/nvidia-debugdump at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/bin/nvidia-debugdump
I0301 09:23:38.588899 4693 nvc_mount.c:112] mounting /usr/bin/nvidia-persistenced at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/bin/nvidia-persistenced
I0301 09:23:38.588945 4693 nvc_mount.c:112] mounting /usr/bin/nvidia-cuda-mps-control at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/bin/nvidia-cuda-mps-control
I0301 09:23:38.588980 4693 nvc_mount.c:112] mounting /usr/bin/nvidia-cuda-mps-server at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/bin/nvidia-cuda-mps-server
I0301 09:23:38.589177 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-ml.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-ml.so.418.126.02
I0301 09:23:38.589226 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-cfg.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-cfg.so.418.126.02
I0301 09:23:38.589268 4693 nvc_mount.c:112] mounting /usr/lib64/libcuda.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libcuda.so.418.126.02
I0301 09:23:38.589308 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-opencl.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-opencl.so.418.126.02
I0301 09:23:38.589350 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-ptxjitcompiler.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-ptxjitcompiler.so.418.126.02
I0301 09:23:38.589391 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-fatbinaryloader.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-fatbinaryloader.so.418.126.02
I0301 09:23:38.589440 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-compiler.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-compiler.so.418.126.02
I0301 09:23:38.589484 4693 nvc_mount.c:112] mounting /usr/lib64/vdpau/libvdpau_nvidia.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libvdpau_nvidia.so.418.126.02
I0301 09:23:38.589524 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-encode.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-encode.so.418.126.02
I0301 09:23:38.589566 4693 nvc_mount.c:112] mounting /usr/lib64/libnvidia-opticalflow.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-opticalflow.so.418.126.02
I0301 09:23:38.589611 4693 nvc_mount.c:112] mounting /usr/lib64/libnvcuvid.so.418.126.02 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvcuvid.so.418.126.02
I0301 09:23:38.589631 4693 nvc_mount.c:534] creating symlink /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libcuda.so -> libcuda.so.1
I0301 09:23:38.589657 4693 nvc_mount.c:534] creating symlink /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/usr/lib/x86_64-linux-gnu/libnvidia-opticalflow.so -> libnvidia-opticalflow.so.1
I0301 09:23:38.589710 4693 nvc_mount.c:218] zz: mounting /dev/nvidiactl at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidiactl
I0301 09:23:38.589733 4693 nvc_mount.c:509] whitelisting device node 195:255
I0301 09:23:38.589789 4693 nvc_mount.c:218] zz: mounting /dev/nvidia-uvm at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidia-uvm
I0301 09:23:38.589809 4693 nvc_mount.c:509] whitelisting device node 233:0
I0301 09:23:38.589855 4693 nvc_mount.c:218] zz: mounting /dev/nvidia-uvm-tools at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidia-uvm-tools
I0301 09:23:38.589875 4693 nvc_mount.c:509] whitelisting device node 233:1
I0301 09:23:38.589959 4693 nvc_mount.c:218] zz: mounting /dev/nvidia0 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/dev/nvidia0
I0301 09:23:38.590046 4693 nvc_mount.c:422] mounting /proc/driver/nvidia/gpus/0000:00:05.0 at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged/proc/driver/nvidia/gpus/0000:00:05.0
I0301 09:23:38.590069 4693 nvc_mount.c:509] whitelisting device node 195:0
I0301 09:23:38.590097 4693 nvc_ldcache.c:360] executing /sbin/ldconfig from host at /var/lib/docker/overlay2/09af6a668c457545500c0bc7e152195750c2ccfe948daeae6d8a573a1e738ba0/merged
W0301 09:23:38.598613 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.418.67 is empty, not checked.
W0301 09:23:38.598725 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-opticalflow.so.418.67 is empty, not checked.
W0301 09:23:38.599063 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-cfg.so.1 is empty, not checked.
W0301 09:23:38.599085 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-opencl.so.1 is empty, not checked.
W0301 09:23:38.599139 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libvdpau_nvidia.so.1 is empty, not checked.
W0301 09:23:38.599310 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-ptxjitcompiler.so.418.67 is empty, not checked.
W0301 09:23:38.599355 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-compiler.so.418.67 is empty, not checked.
W0301 09:23:38.599417 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libcuda.so.1 is empty, not checked.
W0301 09:23:38.599468 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libcuda.so is empty, not checked.
W0301 09:23:38.599589 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvcuvid.so.418.67 is empty, not checked.
W0301 09:23:38.599609 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-opticalflow.so is empty, not checked.
W0301 09:23:38.599628 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-ptxjitcompiler.so.1 is empty, not checked.
W0301 09:23:38.599729 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libcuda.so.418.67 is empty, not checked.
W0301 09:23:38.599749 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvcuvid.so.1 is empty, not checked.
W0301 09:23:38.599770 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-encode.so.1 is empty, not checked.
W0301 09:23:38.599819 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libvdpau_nvidia.so.418.67 is empty, not checked.
W0301 09:23:38.599839 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-ml.so.1 is empty, not checked.
W0301 09:23:38.599860 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-cfg.so.418.67 is empty, not checked.
W0301 09:23:38.599951 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-encode.so.418.67 is empty, not checked.
W0301 09:23:38.600048 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-fatbinaryloader.so.418.67 is empty, not checked.
W0301 09:23:38.600056 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-opencl.so.418.67 is empty, not checked.
W0301 09:23:38.600076 4693 utils.c:121] /sbin/ldconfig: File /usr/lib/x86_64-linux-gnu/libnvidia-opticalflow.so.1 is empty, not checked.
I0301 09:23:38.622024 4693 nvc.c:429] shutting down library context
I0301 09:23:38.628575 4699 driver.c:156] terminating driver service
I0301 09:23:38.629013 4693 driver.c:196] driver service terminated successfully

`nvidia-container-toolkit`

nvidia-container-toolkit 被 runC 在 PreStart Hook 的时候调用，此时 Container 已经被创建，但是还没有启动。nvidia-container-toolkit 的主要作用是搜集信息(比如 container 的 roofs 路径)，搜集在 config.json 的信息，拼凑起来 nvidia-container-cli 的参数，并调用 nvidia-container-cli，调用参数为：

/usr/bin/nvidia-container-cli
--load-kmods # Load kernel modules
--debbug=/var/log/nvidia-container-toolkit.log # Log debug information configure 
  --ldconfig=@/sbin/ldconfig 
  ---device=all # Device UUID(s) or index(es) to isolate
  --compute # Enable compute capability
  --utility # Enable utility capability
  --video # Enable video capability
  --require=cuda>=9.0
  --pid=3409 # Container PID
  /var/lib/ddocker/overlay2/f5a884006ac0e5a1390809bf09209d9e47f2a400d305048b358d7fed735ef799/merged

`nvidia-container-runtime`

在执行 docker run 的时候，加上 --runtime=nvidia 参数，就会将 docker 的 runtime 从 runC 变成 nvidia-container-runtime。nvidia-docker-runtime 本质上就是对 runC 的一个简单封装，它把 runC Spec 当作输入，将 nvidia-container-toolkit 作为 PreStart Hook，然后调用 runC。

github.com/NVIDIA/nvidia-container-runtime/src/main.go

func addNVIDIAHook(spec *specs.Spec) error {
path, err := exec.LookPath("nvidia-container-runtime-hook")
args := []string{path}
spec.Hooks.Prestart = append(spec.Hooks.Prestart, specs.Hook{
Path: path,
Args: append(args, "prestart"),
})

return nil
}

func execRunc() {
    runcPath, err := exec.LookPath("docker-runc") //没找到
    runcPath, err = exec.LookPath("runc")
    syscall.Exec(runcPath, append([]string{runcPath}, os.Args[1:]...), os.Environ())
}

func main() {
    addNVIDIAHook(&spec)
    execRunc()
}

注意，这里的 nvidia-container-runtime-hook 实际上就是执行 /usr/bin/nvidia-container-toolkit 的软链接。

当安装了 nvidia-container-runtime 之后，需要修改 Docker 的 daemon.json 来使其生效，或者显示制定 --runtime 参数。

/etc/docker/daemon.json
{
"default-runtime": "nvidia",
"runtimes": {
    "nvidia": {
        "path": "/usr/bin/nvidia-container-runtime",
        "runtimeArgs": []
    }
}

`nvidia-docker2`

nvidia-docker2 是整个 NVIDIA Container Toolkit 中唯一与 docker 相关的包，它的作用在用户 docker run/create 的时候，添加 --runtime=nvidia 的参数，然后调用上面的 nvidia-container-runtime 进行后面的一系列操作，将 GPU 注入到容器中。它也支持设置 NV_GPU 参数来指定哪一个 GPU 来注射到容器中。

nvidia-docker 本质上就是一个 Shell 脚本，内容如下所示：

github.com/NVIDIA/nvidia-docker/nvidia-docker

#! /bin/bash
# Copyright (c) 2017-2018, NVIDIA CORPORATION. All rights reserved.

NV_DOCKER=${NV_DOCKER:-"docker"}

DOCKER_ARGS=()
NV_DOCKER_ARGS=()
while [ $# -gt 0 ]; do
    arg=$1
    shift
    DOCKER_ARGS+=("$arg")
    case $arg in
        run|create)
            NV_DOCKER_ARGS+=("--runtime=nvidia")
            if [ ! -z "${NV_GPU}" ]; then
                NV_DOCKER_ARGS+=(-e NVIDIA_VISIBLE_DEVICES="${NV_GPU// /,}")
            fi
            break
        ;;
        version)
            printf "NVIDIA Docker: @VERSION@\n"
            break
        ;;
        --)
            break
        ;;
    esac
done

if [ ! -z $NV_DEBUG ]; then
    set -x
fi

exec $NV_DOCKER "${DOCKER_ARGS[@]}" "${NV_DOCKER_ARGS[@]}" "$@"

部署验证

这里仍然基于腾讯云的 CentOS 7机器为例演示如何在安装配置 NVIDIA Container Toolkit，对于更多的平台可以参考其官方文档。

安装 Docker CE

1
2
3

$ curl https://get.docker.com | sh \
  && sudo systemctl start docker \
  && sudo systemctl enable docker

安装 NVIDIA Container Toolkit

Setup the stable repository and the GPG key:

1
2
3

$ distribution=$(. /etc/os-release;echo $ID$VERSION_ID) \
   && curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add - \
   && curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | sudo tee /etc/apt/sources.list.d/nvidia-docker.list

Install the nvidia-docker2 package (and dependencies) after updating the package listing:

1	$ sudo apt-get update

1	$ sudo apt-get install -y nvidia-docker2

Restart the Docker daemon to complete the installation after setting the default runtime:

1	$ sudo systemctl restart docker

At this point, a working setup can be tested by running a base CUDA container:

1	$ sudo docker run --rm --gpus all nvidia/cuda:11.0-base nvidia-smi

This should result in a console output shown below:

+-----------------------------------------------------------------------------+
| NVIDIA-SMI 450.51.06    Driver Version: 450.51.06    CUDA Version: 11.0     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  Tesla T4            On   | 00000000:00:1E.0 Off |                    0 |
| N/A   34C    P8     9W /  70W |      0MiB / 15109MiB |      0%      Default |
|                               |                      |                  N/A |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

配置 NVIDIA Runtime

To register the nvidia runtime, use the method below that is best suited to your environment. You might need to merge the new argument with your existing configuration. Three options are available:

Systemd drop-in file

1	$ sudo mkdir -p /etc/systemd/system/docker.service.d

$ sudo tee /etc/systemd/system/docker.service.d/override.conf <
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd --host=fd:// --add-runtime=nvidia=/usr/bin/nvidia-container-runtime
EOF

1 2	$ sudo systemctl daemon-reload \ && sudo systemctl restart docker

Daemon configuration file

The nvidia runtime can also be registered with Docker using the daemon.json configuration file:

$ sudo tee /etc/docker/daemon.json <
{
    "runtimes": {
        "nvidia": {
            "path": "/usr/bin/nvidia-container-runtime",
            "runtimeArgs": []
        }
    }
}
EOF

1	sudo pkill -SIGHUP dockerd

You can optionally reconfigure the default runtime by adding the following to /etc/docker/daemon.json:

1	"default-runtime": "nvidia"

Command Line

Use dockerd to add the nvidia runtime:

1	$ sudo dockerd --add-runtime=nvidia=/usr/bin/nvidia-container-runtime [...]

在k8s中管理GPU

为了在 k8s 中管理和使用GPU，我们除了需要配置 NVIDIA Container Toolkit，还需要安装NVIDIA推出的 NVIDIA/k8s-device-plugin，具体安装可以参考我的这篇博文。上面的步骤加起来显得还是有些繁琐，如果你直接使用腾讯云 TKE 的话，在集群添加装有GPU的Node时候，就会自动帮你安装配置好 NVIDIA Container Toolkit 和 NVIDIA/k8s-device-plugin，十分方便。接下来我们以Tensorflow为例，演示在 k8s 环境运行有GPU的Tensorflow。

单机版的Tensorflow，执行 kubectl apply -f tensorflow.yaml来运行 Jupiter Notebook。

tensorflow.yaml

apiVersion: apps/v1
kind: Deployment
metadata: 
  name: tensorflow
  labels:
    k8s-app: tensorflow
spec:
  replicas: 1
  selector:
    matchLabels:
      k8s-app: tensorflow
  template:
    metadata:
      labels:
        k8s-app: tensorflow
    spec:
      containers:
      - name: tensorflow
        image: tensorflow/tensorflow:2.2.1-gpu-py3-jupyter
        ports:
        - containerPort: 8888
        resources:
          limits:
            cpu: 4
            memory: 2Gi
          requests:
            cpu: 2
            memory: 1Gi
---
apiVersion: v1
kind: Service
metadata:
    name: jupyter-service
spec:
  type: NodePort
  ports:
  - port: 80
    targetPort: 8888
    name: tensorflow
  selector:
    k8s-app: tensorflow

我们看到容器很快运行起来，根据 http:: 可以访问到 Jupiter Notebook，但是显示需要token：

查看 Tensorflow 日志，可以获得 token：aa06c9f12d80adac1a6288b97bf8030522cecc92202dbb20

[root@VM-1-14-centos single]# kubectl get pods
NAME                          READY   STATUS    RESTARTS   AGE
tensorflow-6cbc85744b-c567p   1/1     Running   0          7m37s
[root@VM-1-14-centos single]# kubectl logs tensorflow-6cbc85744b-c567p

________                               _______________
___  __/__________________________________  ____/__  /________      __
__  /  _  _ \_  __ \_  ___/  __ \_  ___/_  /_   __  /_  __ \_ | /| / /
_  /   /  __/  / / /(__  )/ /_/ /  /   _  __/   _  / / /_/ /_ |/ |/ /
/_/    \___//_/ /_//____/ \____//_/    /_/      /_/  \____/____/|__/


WARNING: You are running this container as root, which can cause new files in
mounted volumes to be created as the root user on your host machine.

To avoid this, run the container by specifying your user's userid:

$ docker run -u $(id -u):$(id -g) args...

[I 04:47:52.083 NotebookApp] Writing notebook server cookie secret to /root/.local/share/jupyter/runtime/notebook_cookie_secret
[I 04:47:52.315 NotebookApp] Serving notebooks from local directory: /tf
[I 04:47:52.315 NotebookApp] Jupyter Notebook 6.1.4 is running at:
[I 04:47:52.315 NotebookApp] http://tensorflow-6cbc85744b-c567p:8888/?token=aa06c9f12d80adac1a6288b97bf8030522cecc92202dbb20
[I 04:47:52.315 NotebookApp]  or http://127.0.0.1:8888/?token=aa06c9f12d80adac1a6288b97bf8030522cecc92202dbb20
[I 04:47:52.315 NotebookApp] Use Control-C to stop this server and shut down all kernels (twice to skip confirmation).
[C 04:47:52.319 NotebookApp]

    To access the notebook, open this file in a browser:
        file:///root/.local/share/jupyter/runtime/nbserver-1-open.html
    Or copy and paste one of these URLs:
        http://tensorflow-6cbc85744b-c567p:8888/?token=aa06c9f12d80adac1a6288b97bf8030522cecc92202dbb20
     or http://127.0.0.1:8888/?token=aa06c9f12d80adac1a6288b97bf8030522cecc92202dbb20
[I 04:49:28.692 NotebookApp] 302 GET / (172.16.0.193) 0.57ms
[I 04:49:28.700 NotebookApp] 302 GET /tree? (172.16.0.193) 0.67ms

登陆之后即可看到 Jupiter Notebook：

新建Notebook，运行命令如下：

可以看到，TensorFlow 支持在GPU上的运算

"/device:GPU:0"：TensorFlow 可见的机器上第一个 GPU 的速记表示法。
"/job:localhost/replica:0/task:0/device:GPU:0"：TensorFlow 可见的机器上第一个 GPU 的完全限定名称。

参考资料

【Kubernetes】Device Plugin

2020-11-16T07:31:42.000Z

Kubernetes 原生支持对于CPU和内存资源的发现，但是有很多其他的设备 kubelet不能原生处理，比如GPU、FPGA、RDMA、存储设备和其他类似的异构计算资源设备。为了能够使用这些设备资源，我们需要进行各个设备的初始化和设置。按照 Kubernetes 的 OutOfTree 的哲学理念，我们不应该把各个厂商的设备初始化设置相关代码与 Kubernetes 核心代码放在一起。与之相反，我们需要一种机制能够让各个设备厂商向 Kubelet 上报设备资源，而不需要修改 Kubernetes 核心代码。这即是 Device Plugin 这一机制的来源，本文将介绍 Device Plugin 的实现原理，并介绍其使用。

Device 插件原理

Device Plugin 实际上是一个 gPRC server，Device 插件一般推荐使用 DaemonSet 的方式部署，并将 /var/lib/kubelet/device-plugins 以 Volume 的形式挂载到容器中。当然，也可以手动运行的方式来部署，但这样就没有失败自动恢复的功能了。

为了能够使用某个厂商的特定设备，一般有两步：

kubectl create -f http://vendor.com/device-plugin-daemonset.yaml
执行 kubectl describe nodes的时候，相关设备会出现在node status中：vendor-domain/vendor-device

当 Device Plugin 向 kubelet 注册后，kubelet 就通过 RPC 与 Device Plugin 交互：

ListAndWatch() ：让 kubelet 发现设备资源和对应属性，并且在设备资源发生变动的时候接收通知
Allocate() ：kubelet 在创建容器前通过 Allocate来申请相关设备资源

Registration

为了向 kubelet 告知 Device Plugin 的存在，Device Plugin 必须向 kubelet 发出注册请求，这之后 kubelet 才会和 Device Plugin 通过 gRPC交互，具体过程如下：

Device Plugin 向 Kubelet 发送一个 RegisterRequest的请求
Kubelet 收到 RegisterRequest 请求后，返回一个 RegisterResponse，如果Kubelet碰到任何错误，会把错误附在Response中
如果 Device Plugin 没有收到任何错误，则启动他的 gRPC server

插件启动后要持续监控 Kubelet 的状态，并在 Kubelet 重启后重新注册自己。比如，Kubelet 刚启动后会清空 /var/lib/kubelet/device-plugins/ 目录，所以插件作者可以监控自己监听的 unix socket 是否被删除了，并根据此事件重新注册自己

Unix Socket

Device Plugin 和 Kubelet 通过在一个 Unix Socket上使用 gRPC 交互，当启动 gRPC server的时候，Device Plugin 将会在 /var/lib/kubelet/device-plugins/ 这个 HostPath 创建一个 UnixSocket，比如 /var/lib/kubelet/device-plugins/nvidiaGPU.sock。

在实现 Device 插件时需要注意

插件启动时，需要通过 /var/lib/kubelet/device-plugins/kubelet.sock 向 Kubelet 注册，同时提供插件的 Unix Socket 名称、API 的版本号和插件名称（格式为 vendor-domain/resource，如 nvidia.com/gpu）。Kubelet 会将这些设备暴露到 Node 状态中，方便后续调度器使用
插件启动后向 Kubelet 发送插件列表、按需分配设备并持续监控设备的实时状态

Protocol Overview

API specification

// Registration is the service advertised by the Kubelet
// Only when Kubelet answers with a success code to a Register Request
// may Device Plugins start their service
// Registration may fail when device plugin version is not supported by
// Kubelet or the registered resourceName is already taken by another
// active device plugin. Device plugin is expected to terminate upon registration failure
service Registration {
    rpc Register(RegisterRequest) returns (Empty) {}
}

message DevicePluginOptions {
  // Indicates if PreStartContainer call is required before each container start
    bool pre_start_required = 1;
}

message RegisterRequest {
    // Version of the API the Device Plugin was built against
    string version = 1;
    // Name of the unix socket the device plugin is listening on
    // PATH = path.Join(DevicePluginPath, endpoint)
    string endpoint = 2;
    // Schedulable resource name. As of now it's expected to be a DNS Label
    string resource_name = 3;
    // Options to be communicated with Device Manager
    options = 4;
}

message Empty {
}

// DevicePlugin is the service advertised by Device Plugins
service DevicePlugin {
    // GetDevicePluginOptions returns options to be communicated with Device
    // Manager
    rpc GetDevicePluginOptions(Empty) returns (DevicePluginOptions) {}

    // ListAndWatch returns a stream of List of Devices
    // Whenever a Device state change or a Device disapears, ListAndWatch
    // returns the new list
    rpc ListAndWatch(Empty) returns (stream ListAndWatchResponse) {}

    // Allocate is called during container creation so that the Device
    // Plugin can run device specific operations and instruct Kubelet
    // of the steps to make the Device available in the container
    rpc Allocate(AllocateRequest) returns (AllocateResponse) {}

    // PreStartContainer is called, if indicated by Device Plugin during registeration phase,
    // before each container start. Device plugin can run device specific operations
    // such as reseting the device before making devices available to the container
    rpc PreStartContainer(PreStartContainerRequest) returns (PreStartContainerResponse) {}
}

// ListAndWatch returns a stream of List of Devices
// Whenever a Device state change or a Device disapears, ListAndWatch
// returns the new list
message ListAndWatchResponse {
    repeated Device devices = 1;
}

/* E.g:
* struct Device {
*    ID: "GPU-fef8089b-4820-abfc-e83e-94318197576e",
*    State: "Healthy",
*} */
message Device {
    // A unique ID assigned by the device plugin used
    // to identify devices during the communication
    // Max length of this field is 63 characters
    string ID = 1;
    // Health of the device, can be healthy or unhealthy, see constants.go
    string health = 2;
}

// - PreStartContainer is expected to be called before each container start if indicated by plugin during registration phase.
// - PreStartContainer allows kubelet to pass reinitialized devices to containers.
// - PreStartContainer allows Device Plugin to run device specific operations on
//   the Devices requested
message PreStartContainerRequest {
    repeated string devicesIDs = 1;
}

// PreStartContainerResponse will be send by plugin in response to PreStartContainerRequest
message PreStartContainerResponse {
}

// - Allocate is expected to be called during pod creation since allocation
//   failures for any container would result in pod startup failure.
// - Allocate allows kubelet to exposes additional artifacts in a pod's
//   environment as directed by the plugin.
// - Allocate allows Device Plugin to run device specific operations on
//   the Devices requested
message AllocateRequest {
    repeated ContainerAllocateRequest container_requests = 1;
}

message ContainerAllocateRequest {
    repeated string devicesIDs = 1;
}

// AllocateResponse includes the artifacts that needs to be injected into
// a container for accessing 'deviceIDs' that were mentioned as part of
// 'AllocateRequest'.
// Failure Handling:
// if Kubelet sends an allocation request for dev1 and dev2.
// Allocation on dev1 succeeds but allocation on dev2 fails.
// The Device plugin should send a ListAndWatch update and fail the
// Allocation request
message AllocateResponse {
    repeated ContainerAllocateResponse container_responses = 1;
}

message ContainerAllocateResponse {
    // List of environment variable to be set in the container to access one of more devices.
    map<string, string> envs = 1;
    // Mounts for the container.
    repeated Mount mounts = 2;
    // Devices for the container.
    repeated DeviceSpec devices = 3;
    // Container annotations to pass to the container runtime
    map<string, string> annotations = 4;
}

// Mount specifies a host volume to mount into a container.
// where device library or tools are installed on host and container
message Mount {
    // Path of the mount within the container.
    string container_path = 1;
    // Path of the mount on the host.
    string host_path = 2;
    // If set, the mount is read-only.
    bool read_only = 3;
}

// DeviceSpec specifies a host device to mount into a container.
message DeviceSpec {
  // Path of the device within the container.
  string container_path = 1;
  // Path of the device on the host.
  string host_path = 2;
  // Cgroups permissions of the device, candidates are one or more of
  // * r - allows container to read from the specified device.
  // * w - allows container to write to the specified device.
  // * m - allows container to create device files that do not yet exist.
  string permissions = 3;
}

插件生命周期管理

插件启动时，以grpc的形式通过/var/lib/kubelet/device-plugins/kubelet.sock向Kubelet注册，同时提供插件的监听Unix Socket，API版本号和设备名称（比如nvidia.com/gpu）。Kubelet将会把这些设备暴露到Node状态中，以Extended Resource的要求发送到API server中，后续Scheduler会根据这些信息进行调度。

插件启动后，Kubelet会建立一个到插件的listAndWatch长连接，当插件检测到某个设备不健康的时候，就会主动通知Kubelet。此时如果这个设备处于空闲状态，Kubelet就会将其挪出可分配列表；如果该设备已经被某个pod使用，Kubelet就会将该Pod杀掉

插件启动后可以利用Kubelet的socket持续检查Kubelet的状态，如果Kubelet重启，插件也会相应的重启，并且重新向Kubelet注册自己

NVIDIA Device Plugin

NVIDIA 提供了一个基于 Device Plugins 接口的 GPU 设备插件 NVIDIA/k8s-device-plugin。

部署

1	kubectl apply -f https://raw.githubusercontent.com/NVIDIA/k8s-device-plugin/master/nvidia-device-plugin.yml

创建 Pod 时请求 GPU 资源

apiVersion: v1
kind: Pod
metadata:
  name: pod1
spec:
  restartPolicy: OnFailure
  containers:
  - image: nvidia/cuda
    name: pod1-ctr
    command: ["sleep"]
    args: ["100000"]

    resources:
      limits:
        nvidia.com/gpu: 1

注意：使用该插件时需要配置 nvidia-docker 2.0，并配置 nvidia 为默认运行时（即配置 docker daemon 的选项 --default-runtime=nvidia）。nvidia-docker 2.0 的安装方法为（以 Ubuntu Xenial 为例，其他系统的安装方法可以参考这里）：

整个Kubernetes调度GPU的过程如下：

GPU Device plugin 部署到GPU节点上，通过 ListAndWatch 接口，上报注册节点的GPU信息和对应的DeviceID。
当有声明 nvidia.com/gpu 的GPU Pod创建出现，调度器会综合考虑GPU设备的空闲情况，将Pod调度到有充足GPU设备的节点上。
节点上的kubelet 启动Pod时，根据request中的声明调用各个Device plugin 的 allocate接口，由于容器声明了GPU。 kubelet 根据之前 ListAndWatch 接口收到的Device信息，选取合适的设备，DeviceID 作为参数，调用GPU DevicePlugin的 Allocate 接口
GPU DevicePlugin ，接收到调用，将DeviceID 转换为 NVIDIA_VISIBLE_DEVICES 环境变量，返回kubelet
kubelet将环境变量注入到Pod，启动容器
容器启动时， gpu-container-runtime 调用 gpu-containers-runtime-hook
gpu-containers-runtime-hook 根据容器的 NVIDIA_VISIBLE_DEVICES 环境变量，转换为 --devices 参数，调用 nvidia-container-cli prestart
nvidia-container-cli 根据 --devices ，将GPU设备映射到容器中。并且将宿主机的Nvidia Driver Lib 的so文件也映射到容器中。此时容器可以通过这些so文件，调用宿主机的Nvidia Driver。

在前面 API Specification 中，通过 Protobuf 定义了 DevicePlugin 应该提供的服务，在 Kubelet 中会调用 DevicePluginClient 来使用对应的服务，这里的 DevicePluginClient 即是通过 Protobuf 自动生成的代码。

k8s.io/kubelet/pkg/apis/deviceplugin/v1beta1/api.pb.go

type DevicePluginClient interface {
    GetDevicePluginOptions(ctx context.Context, in *Empty, opts ...grpc.CallOption) (*DevicePluginOptions, error)
    ListAndWatch(ctx context.Context, in *Empty, opts ...grpc.CallOption) (DevicePlugin_ListAndWatchClient, error)
    Allocate(ctx context.Context, in *AllocateRequest, opts ...grpc.CallOption) (*AllocateResponse, error)
    PreStartContainer(ctx context.Context, in *PreStartContainerRequest, opts ...grpc.CallOption) (*PreStartContainerResponse, error)
}

在 NVIDIA/k8s-device-plugin 中，我们可以看到上面不同服务的具体实现：

func (m *NvidiaDevicePlugin) GetDevicePluginOptions(context.Context, *pluginapi.Empty) (*pluginapi.DevicePluginOptions, error)
func (m *NvidiaDevicePlugin) ListAndWatch(e *pluginapi.Empty, s pluginapi.DevicePlugin_ListAndWatchServer) error
func (m *NvidiaDevicePlugin) Allocate(ctx context.Context, reqs *pluginapi.AllocateRequest) (*pluginapi.AllocateResponse, error)
func (m *NvidiaDevicePlugin) PreStartContainer(context.Context, *pluginapi.PreStartContainerRequest) (*pluginapi.PreStartContainerResponse, error)

对 NVIDIA/k8s-device-plugin 来说，这里的关键数据结构为 NvidiaDevicePlugin，它实现了 Device Plugin 架构定义的API：

type NvidiaDevicePlugin struct {
    ResourceManager
    resourceName     string
    deviceListEnvvar string
    allocatePolicy   gpuallocator.Policy
    socket           string

    server        *grpc.Server
    cachedDevices []*Device
    health        chan *Device
    stop          chan interface{}
}

下面根据 Device Plugin 的生命周期，依次分析每个部分的实现机制。

NVIDIA DevicePlugin 启动

NVIDIA 的 k8s-device-plugin 启动之后逻辑如下，总的来说干了三件事：

Serve：启动 gRPC server
Register：向 Kubelet 注册给定的 resourceName
CheckHealth：执行设备的健康检查逻辑，当检查到不健康的设备时，写到 unhealthy 的 channel 中

func (m *NvidiaDevicePlugin) Start() error {
    m.initialize()

    err := m.Serve()
  // ...

    err = m.Register()
  // ...
  
  go m.CheckHealth(m.stop, m.cachedDevices, m.health)

    return nil
}

Serve

Serve 监听在/var/lib/kubelet/device-plugins/nvidia-gpu.sock 这个 Unix Socket，并且启动了 gRPC server，其他的就是启动失败重试的逻辑了。

func (m *NvidiaDevicePlugin) Serve() error {
    os.Remove(m.socket)
    sock, err := net.Listen("unix", m.socket)
    if err != nil {
        return err
    }

    pluginapi.RegisterDevicePluginServer(m.server, m)

    go func() {
        lastCrashTime := time.Now()
        restartCount := 0
        for {
            log.Printf("Starting GRPC server for '%s'", m.resourceName)
            err := m.server.Serve(sock)
            if err == nil {
                break
            }

            log.Printf("GRPC server for '%s' crashed with error: %v", m.resourceName, err)

            // restart if it has not been too often
            // i.e. if server has crashed more than 5 times and it didn't last more than one hour each time
            if restartCount > 5 {
                // quit
                log.Fatalf("GRPC server for '%s' has repeatedly crashed recently. Quitting", m.resourceName)
            }
            timeSinceLastCrash := time.Since(lastCrashTime).Seconds()
            lastCrashTime = time.Now()
            if timeSinceLastCrash > 3600 {
                // it has been one hour since the last crash.. reset the count
                // to reflect on the frequency
                restartCount = 1
            } else {
                restartCount++
            }
        }
    }()

    // Wait for server to start by launching a blocking connexion
    conn, err := m.dial(m.socket, 5*time.Second)
    if err != nil {
        return err
    }
    conn.Close()

    return nil
}

Register

Register 通过和 /var/lib/kubelet/device-plugins/kubelet.sock 这个 Unix Socket 向 Kubelet 注册，传递了 DevicePlugin 的 Unix Socket 的 Endpoint、资源的名称、API的版本号等信息。

func (m *NvidiaDevicePlugin) Register() error {
    conn, err := m.dial(pluginapi.KubeletSocket, 5*time.Second)
    if err != nil {
        return err
    }
    defer conn.Close()

    client := pluginapi.NewRegistrationClient(conn)
    reqt := &pluginapi.RegisterRequest{
        Version:      pluginapi.Version,
        Endpoint:     path.Base(m.socket),
        ResourceName: m.resourceName,
        Options: &pluginapi.DevicePluginOptions{
            GetPreferredAllocationAvailable: (m.allocatePolicy != nil),
        },
    }

    _, err = client.Register(context.Background(), reqt)
    if err != nil {
        return err
    }
    return nil
}

CheckHealth

这里调用了 nvml.NewEventSet 来监听 GPU 是否发生变化的事件，并且将 unhealthy Device 传递给 m.health 这个channel。

func checkHealth(stop <-chan interface{}, devices []*Device, unhealthy chan<- *Device) {
    disableHealthChecks := strings.ToLower(os.Getenv(envDisableHealthChecks))
    if disableHealthChecks == "all" {
        disableHealthChecks = allHealthChecks
    }
    if strings.Contains(disableHealthChecks, "xids") {
        return
    }

    eventSet := nvml.NewEventSet()
    defer nvml.DeleteEventSet(eventSet)

    for _, d := range devices {
        gpu, _, _, err := nvml.ParseMigDeviceUUID(d.ID)
        if err != nil {
            gpu = d.ID
        }

        err = nvml.RegisterEventForDevice(eventSet, nvml.XidCriticalError, gpu)
        if err != nil && strings.HasSuffix(err.Error(), "Not Supported") {
            log.Printf("Warning: %s is too old to support healthchecking: %s. Marking it unhealthy.", d.ID, err)
            unhealthy <- d
            continue
        }
        check(err)
    }

    for {
        select {
        case <-stop:
            return
        default:
        }

        e, err := nvml.WaitForEvent(eventSet, 5000)
        if err != nil && e.Etype != nvml.XidCriticalError {
            continue
        }

        // FIXME: formalize the full list and document it.
        // http://docs.nvidia.com/deploy/xid-errors/index.html#topic_4
        // Application errors: the GPU should still be healthy
        if e.Edata == 31 || e.Edata == 43 || e.Edata == 45 {
            continue
        }

        if e.UUID == nil || len(*e.UUID) == 0 {
            // All devices are unhealthy
            log.Printf("XidCriticalError: Xid=%d, All devices will go unhealthy.", e.Edata)
            for _, d := range devices {
                unhealthy <- d
            }
            continue
        }

        for _, d := range devices {
            // Please see https://github.com/NVIDIA/gpu-monitoring-tools/blob/148415f505c96052cb3b7fdf443b34ac853139ec/bindings/go/nvml/nvml.h#L1424
            // for the rationale why gi and ci can be set as such when the UUID is a full GPU UUID and not a MIG device UUID.
            gpu, gi, ci, err := nvml.ParseMigDeviceUUID(d.ID)
            if err != nil {
                gpu = d.ID
                gi = 0xFFFFFFFF
                ci = 0xFFFFFFFF
            }

            if gpu == *e.UUID && gi == *e.GpuInstanceId && ci == *e.ComputeInstanceId {
                log.Printf("XidCriticalError: Xid=%d on Device=%s, the device will go unhealthy.", e.Edata, d.ID)
                unhealthy <- d
            }
        }
    }
}

Kubelet DeviceManager

DeviceManager 启动

kubernetes/pkg/kubelet/cm/devicemanager/manager.go

type ManagerImpl struct {
    socketname string
    socketdir  string

    endpoints map[string]endpointInfo // Key is ResourceName
    mutex     sync.Mutex

    server *grpc.Server
    wg     sync.WaitGroup

    // activePods is a method for listing active pods on the node
    // so the amount of pluginResources requested by existing pods
    // could be counted when updating allocated devices
    activePods ActivePodsFunc

    // sourcesReady provides the readiness of kubelet configuration sources such as apiserver update readiness.
    // We use it to determine when we can purge inactive pods from checkpointed state.
    sourcesReady config.SourcesReady

    // callback is used for updating devices' states in one time call.
    // e.g. a new device is advertised, two old devices are deleted and a running device fails.
    callback monitorCallback

    // allDevices is a map by resource name of all the devices currently registered to the device manager
    allDevices map[string]map[string]pluginapi.Device

    // healthyDevices contains all of the registered healthy resourceNames and their exported device IDs.
    healthyDevices map[string]sets.String

    // unhealthyDevices contains all of the unhealthy devices and their exported device IDs.
    unhealthyDevices map[string]sets.String

    // allocatedDevices contains allocated deviceIds, keyed by resourceName.
    allocatedDevices map[string]sets.String

    // podDevices contains pod to allocated device mapping.
    podDevices        podDevices
    checkpointManager checkpointmanager.CheckpointManager

    // List of NUMA Nodes available on the underlying machine
    numaNodes []int

    // Store of Topology Affinties that the Device Manager can query.
    topologyAffinityStore topologymanager.Store

    // devicesToReuse contains devices that can be reused as they have been allocated to
    // init containers.
    devicesToReuse PodReusableDevices
}

Device Manager 在 kubelet 启动时的 NewContainerManager 中创建,属于 containerManager 的子模块。

func NewContainerManager(mountUtil mount.Interface, cadvisorInterface cadvisor.Interface, nodeConfig NodeConfig, failSwapOn bool, devicePluginEnabled bool, recorder record.EventRecorder) (ContainerManager, error) {
  // ...
  
    klog.Infof("Creating device plugin manager: %t", devicePluginEnabled)
    if devicePluginEnabled {
        cm.deviceManager, err = devicemanager.NewManagerImpl(numaNodeInfo, cm.topologyManager)
        cm.topologyManager.AddHintProvider(cm.deviceManager)
    } else {
        cm.deviceManager, err = devicemanager.NewManagerStub()
    }

  // ...
}

具体创建 DeviceManager 的代码如下：

func newManagerImpl(socketPath string, numaNodeInfo cputopology.NUMANodeInfo, topologyAffinityStore topologymanager.Store) (*ManagerImpl, error) {
    klog.V(2).Infof("Creating Device Plugin manager at %s", socketPath)

    if socketPath == "" || !filepath.IsAbs(socketPath) {
        return nil, fmt.Errorf(errBadSocket+" %s", socketPath)
    }

    var numaNodes []int
    for node := range numaNodeInfo {
        numaNodes = append(numaNodes, node)
    }

    dir, file := filepath.Split(socketPath)
    manager := &ManagerImpl{
        endpoints: make(map[string]endpointInfo),

        socketname:            file,
        socketdir:             dir,
        allDevices:            make(map[string]map[string]pluginapi.Device),
        healthyDevices:        make(map[string]sets.String),
        unhealthyDevices:      make(map[string]sets.String),
        allocatedDevices:      make(map[string]sets.String),
        podDevices:            make(podDevices),
        numaNodes:             numaNodes,
        topologyAffinityStore: topologyAffinityStore,
        devicesToReuse:        make(PodReusableDevices),
    }
    manager.callback = manager.genericDeviceUpdateCallback

    // The following structures are populated with real implementations in manager.Start()
    // Before that, initializes them to perform no-op operations.
    manager.activePods = func() []*v1.Pod { return []*v1.Pod{} }
    manager.sourcesReady = &sourcesReadyStub{}
    checkpointManager, err := checkpointmanager.NewCheckpointManager(dir)
    if err != nil {
        return nil, fmt.Errorf("failed to initialize checkpoint manager: %v", err)
    }
    manager.checkpointManager = checkpointManager

    return manager, nil
}

其中除了构建 DeviceManager 相关的结构之外，另外做的一个事情就是注册了一个 callback，用来处理对应 devices 的add，delete，update 事件。

func (m *ManagerImpl) genericDeviceUpdateCallback(resourceName string, devices []pluginapi.Device) {
    m.mutex.Lock()
    m.healthyDevices[resourceName] = sets.NewString()
    m.unhealthyDevices[resourceName] = sets.NewString()
    m.allDevices[resourceName] = make(map[string]pluginapi.Device)
    for _, dev := range devices {
        m.allDevices[resourceName][dev.ID] = dev
        if dev.Health == pluginapi.Healthy {
            m.healthyDevices[resourceName].Insert(dev.ID)
        } else {
            m.unhealthyDevices[resourceName].Insert(dev.ID)
        }
    }
    m.mutex.Unlock()
    if err := m.writeCheckpoint(); err != nil {
        klog.Errorf("writing checkpoint encountered %v", err)
    }
}

接下来到了 DeviceManager 启动的方法，它读取了 checkpoint file 中的数据，恢复 ManagerImpl中的相关数据，包括：

podDevices
allocatedDevices
healthyDevices
unhealthyDevices
endpoints

然后将 /var/lib/kubelet/device-plugins/ 下面的除了 checkpiont文件 的所有文件清空，也就是清空所有的socket文件，包括自己的 kubelet.sock，以及其他所有之前的 DevicePlugin 的socket文件。最后创建 kubelet.sock 并启动 gRPC Server对外提供gRPC服务，其中 Register()用于 DevicePlugin 调用进行插件注册。

func (m *ManagerImpl) Start(activePods ActivePodsFunc, sourcesReady config.SourcesReady) error {
    klog.V(2).Infof("Starting Device Plugin manager")

    m.activePods = activePods
    m.sourcesReady = sourcesReady

    // Loads in allocatedDevices information from disk.
    err := m.readCheckpoint()
    if err != nil {
        klog.Warningf("Continue after failing to read checkpoint file. Device allocation info may NOT be up-to-date. Err: %v", err)
    }

    socketPath := filepath.Join(m.socketdir, m.socketname)
    if err = os.MkdirAll(m.socketdir, 0750); err != nil {
        return err
    }
    if selinux.SELinuxEnabled() {
        if err := selinux.SetFileLabel(m.socketdir, config.KubeletPluginsDirSELinuxLabel); err != nil {
            klog.Warningf("Unprivileged containerized plugins might not work. Could not set selinux context on %s: %v", m.socketdir, err)
        }
    }

    // Removes all stale sockets in m.socketdir. Device plugins can monitor
    // this and use it as a signal to re-register with the new Kubelet.
    if err := m.removeContents(m.socketdir); err != nil {
        klog.Errorf("Fail to clean up stale contents under %s: %v", m.socketdir, err)
    }

    s, err := net.Listen("unix", socketPath)
    if err != nil {
        klog.Errorf(errListenSocket+" %v", err)
        return err
    }

    m.wg.Add(1)
    m.server = grpc.NewServer([]grpc.ServerOption{}...)

    pluginapi.RegisterRegistrationServer(m.server, m)
    go func() {
        defer m.wg.Done()
        m.server.Serve(s)
    }()

    klog.V(2).Infof("Serving device plugin registration server on %q", socketPath)

    return nil
}

DeviceManager 注册

DeviceManager 接收到 DevicePlugin的 RegisterRequest请求，其结构体如下

type RegisterRequest struct {
   Version string
   Endpoint string 
   ResourceName string 
   Options   *DevicePluginOptions 
}

检查注册的device Name、version是否符合 Extended Resource 的规则，Name不能属于kubernetes.i o，得有自己的domain，比如nvidia.com

根据 endpoint 信息创建 EndpointImpl 对象，即根据 endpoint 建立 socket 连接：

func (m *ManagerImpl) RegisterPlugin(pluginName string, endpoint string, versions []string) error {
    klog.V(2).Infof("Registering Plugin %s at endpoint %s", pluginName, endpoint)

    e, err := newEndpointImpl(endpoint, pluginName, m.callback)
    if err != nil {
        return fmt.Errorf("failed to dial device plugin with socketPath %s: %v", endpoint, err)
    }

    options, err := e.client.GetDevicePluginOptions(context.Background(), &pluginapi.Empty{})
    if err != nil {
        return fmt.Errorf("failed to get device plugin options: %v", err)
    }

    m.registerEndpoint(pluginName, options, e)
    go m.runEndpoint(pluginName, e)

    return nil
}

下面是 endPointsImpl 的具体实现：

type endpointImpl struct {
    client     pluginapi.DevicePluginClient
    clientConn *grpc.ClientConn

    socketPath   string
    resourceName string
    stopTime     time.Time

    mutex sync.Mutex
    cb    monitorCallback
}

func newEndpointImpl(socketPath, resourceName string, callback monitorCallback) (*endpointImpl, error) {
    client, c, err := dial(socketPath)
    if err != nil {
        klog.Errorf("Can't create new endpoint with path %s err %v", socketPath, err)
        return nil, err
    }

    return &endpointImpl{
        client:     client,
        clientConn: c,

        socketPath:   socketPath,
        resourceName: resourceName,

        cb: callback,
    }, nil
}

执行 EndpointImpl 对象的 run()，在 run方法中:

func (e *endpointImpl) run() {
    stream, err := e.client.ListAndWatch(context.Background(), &pluginapi.Empty{})
    if err != nil {
        klog.Errorf(errListAndWatch, e.resourceName, err)

        return
    }

    for {
        response, err := stream.Recv()
        if err != nil {
            klog.Errorf(errListAndWatch, e.resourceName, err)
            return
        }

        devs := response.Devices
        klog.V(2).Infof("State pushed for device plugin %s", e.resourceName)

        var newDevs []pluginapi.Device
        for _, d := range devs {
            newDevs = append(newDevs, *d)
        }

        e.callback(e.resourceName, newDevs)
    }
}

调用 DevicePlugin 的ListAndWatch gRPC 接口，通过长连接持续获取 ListAndWatch gRPC stream
从 stream 流中获取的devices详情列表然后调用Endpoint的 callback，也就是 ManagerImpl 注册的callback方法genericDeviceUpdateCallback进行Device Manager的缓存更新并写到checkpoint文件中
run()是通过协程启动的，持续获取device server的ListAndWatch结果，持续更新device状态
当获取异常时，deviceManager断开连接，将device设置为不健康的状态。

ListAndWatch

看一下 DevicePlugin 实现的 ListAndWatch，先是立马返回device详情列表，然后开启协程，一旦感知device的健康状态发生变化了，更新 device 详情列表再次返回给 deviceManager。回想起健康检查，DevicePlugin 的 CheckHealth 就就会将设备的健康状态传递给 m.health 这个 channel。

func (m *NvidiaDevicePlugin) ListAndWatch(e *pluginapi.Empty, s pluginapi.DevicePlugin_ListAndWatchServer) error {
    s.Send(&pluginapi.ListAndWatchResponse{Devices: m.apiDevices()})

    for {
        select {
        case <-m.stop:
            return nil
        case d := <-m.health:
            // FIXME: there is no way to recover from the Unhealthy state.
            d.Health = pluginapi.Unhealthy
            log.Printf("'%s' device marked unhealthy: %s", m.resourceName, d.ID)
            s.Send(&pluginapi.ListAndWatchResponse{Devices: m.apiDevices()})
        }
    }
}

那么问题来了，DevicePlugin 是如何知道有多少 Device 的呢？我们看看 apiDevices 的实现：

func (m *NvidiaDevicePlugin) apiDevices() []*pluginapi.Device {
    var pdevs []*pluginapi.Device
    for _, d := range m.cachedDevices {
        pdevs = append(pdevs, &d.Device)
    }
    return pdevs
}

这里的 cachedDevices 是通过 ResourceManager 获得的 Device 信息，其具体通过 GpuDeviceManager 结构来实现，可以看到它们是调用了 nvml 库而实现的。这里还有一个 MigDeviceManager 本质上相同，不再概述。

func (g *GpuDeviceManager) Devices() []*Device {
    n, err := nvml.GetDeviceCount()
    check(err)

    var devs []*Device
    for i := uint(0); i < n; i++ {
        d, err := nvml.NewDeviceLite(i)
        check(err)

        migEnabled, err := d.IsMigEnabled()
        check(err)

        if migEnabled && g.skipMigEnabledGPUs {
            continue
        }

        devs = append(devs, buildDevice(d))
    }

    return devs
}

Allocation

kubelet 接收到被调度到本节点的pods后

HandlePodAdditions

当 Node 上的 Kubelet 监听到有新的 Pod 创建时，会调用 HandlerPodAdditions 来处理 Pod 创建的事件。

func (kl *Kubelet) syncLoopIteration(configCh <-chan kubetypes.PodUpdate, handler SyncHandler,
    syncCh <-chan time.Time, housekeepingCh <-chan time.Time, plegCh <-chan *pleg.PodLifecycleEvent) bool {
    select {
    case u, open := <-configCh:
        switch u.Op {
        case kubetypes.ADD:
            klog.V(2).Infof("SyncLoop (ADD, %q): %q", u.Source, format.Pods(u.Pods))
            handler.HandlePodAdditions(u.Pods)
        case kubetypes.UPDATE:
            klog.V(2).Infof("SyncLoop (UPDATE, %q): %q", u.Source, format.PodsWithDeletionTimestamps(u.Pods))
            handler.HandlePodUpdates(u.Pods)
    // ...
        }
    case e := <-plegCh:
    // ...
  }
  return true
}

接下来进一步看下 HandlerPodAdditions 的实现，对于传入的每一个 Pod ，如果它没有被 terminate，则通过 canAdmitPod 检查是否可以允许该 Pod 创建。

func (kl *Kubelet) HandlePodAdditions(pods []*v1.Pod) {
    start := kl.clock.Now()
    sort.Sort(sliceutils.PodsByCreationTime(pods))
    for _, pod := range pods {
        existingPods := kl.podManager.GetPods()
        kl.podManager.AddPod(pod)
   
    // ...
        if !kl.podIsTerminated(pod) {
            activePods := kl.filterOutTerminatedPods(existingPods)
            if ok, reason, message := kl.canAdmitPod(activePods, pod); !ok {
                kl.rejectPod(pod, reason, message)
                continue
            }
        }
        // ...
    }
}

canAdmitPod 里面，Kubelet 将会依次执行每一个 admit handler 来看 Pod 能否通过。

// "pod" is new pod, while "pods" are all admitted pods
func (kl *Kubelet) canAdmitPod(pods []*v1.Pod, pod *v1.Pod) (bool, string, string) {
    attrs := &lifecycle.PodAdmitAttributes{Pod: pod, OtherPods: pods}
    for _, podAdmitHandler := range kl.admitHandlers {
        if result := podAdmitHandler.Admit(attrs); !result.Admit {
            return false, result.Reason, result.Message
        }
    }

    return true, "", ""
}

admitHandlers 是一个 PodAdmitHandler 的切片，其接口如下：

type PodAdmitHandler interface {
    // Admit evaluates if a pod can be admitted.
    Admit(attrs *PodAdmitAttributes) PodAdmitResult
}

Kubelet 在创建的时候会添加一系列的 PodAdmitHandler 用于检查，对pod的资源做一些准入判断，比如：

evictionAdmitHandler :当节点有内存压力时，拒绝创建best effort的pod，还有其它条件先略过
TopologyPodAdmitHandler：拒绝创建因为Topology locality冲突而无法分配资源的pod

1
2
3

  klet.admitHandlers.AddPodAdmitHandler(evictionAdmitHandler)
  klet.admitHandlers.AddPodAdmitHandler(klet.containerManager.GetAllocateResourcesPodAdmitHandler())
// ...

与我们 DevicePlugin 相关的则是 containerManager 的 resourceAllocator，这里会分别调用 DeviceManager 和 CpuManager 的 Allocate 函数，看是否能够申请到相关的资源。这里会对 Pod 的每一个 InitContainer 和 Container检查，看能否申请到。

func (m *resourceAllocator) Admit(attrs *lifecycle.PodAdmitAttributes) lifecycle.PodAdmitResult {
    pod := attrs.Pod

    for _, container := range append(pod.Spec.InitContainers, pod.Spec.Containers...) {
        err := m.deviceManager.Allocate(pod, &container)
        if err != nil {
            return lifecycle.PodAdmitResult{
                Message: fmt.Sprintf("Allocate failed due to %v, which is unexpected", err),
                Reason:  "UnexpectedAdmissionError",
                Admit:   false,
            }
        }

        if m.cpuManager != nil {
            err = m.cpuManager.Allocate(pod, &container)
            if err != nil {
                return lifecycle.PodAdmitResult{
                    Message: fmt.Sprintf("Allocate failed due to %v, which is unexpected", err),
                    Reason:  "UnexpectedAdmissionError",
                    Admit:   false,
                }
            }
        }
    }

    return lifecycle.PodAdmitResult{Admit: true}
}

接下来我们看 ManagerImpl 的 Allocate 函数实现。

ManagerImpl.Allocate

allocateContainerResources为Pod中的init container分配devices，并更新deviceManager中PodDevices缓存；
allocateContainerResources为 Pod中的regular container分配devices，并更新deviceManager中PodDevices缓存
- 每次在为Pod分配devices之前，都去检查一下此时的active pods，并与podDevices缓存中的pods进行比对，将已经terminated的Pods的devices从podDevices中删除，即进行了devices的GC操作。
- 从 healthyDevices 中随机分配对应数量的devices给该Pod，并注意更新allocatedDevices，否则会导致一个device被分配给多个Pod。
- 拿到devices后，就通过Grpc调用 DevicePlugin 的 Allocate方法，DevicePlugin 返回 ContainerAllocateResponse (包括注入的环境变量、挂载信息、Annotations)，deviceManager
- 根据 pod uuid 和 container name 将返回的信息存入 podDevices 缓存，更新 podDevices 缓存信息，并将deviceManager 中缓存数据更新到 checkpoint 文件中。

func (m *ManagerImpl) Allocate(pod *v1.Pod, container *v1.Container) error {
    if _, ok := m.devicesToReuse[string(pod.UID)]; !ok {
        m.devicesToReuse[string(pod.UID)] = make(map[string]sets.String)
    }
    // If pod entries to m.devicesToReuse other than the current pod exist, delete them.
    for podUID := range m.devicesToReuse {
        if podUID != string(pod.UID) {
            delete(m.devicesToReuse, podUID)
        }
    }
    // Allocate resources for init containers first as we know the caller always loops
    // through init containers before looping through app containers. Should the caller
    // ever change those semantics, this logic will need to be amended.
    for _, initContainer := range pod.Spec.InitContainers {
        if container.Name == initContainer.Name {
            if err := m.allocateContainerResources(pod, container, m.devicesToReuse[string(pod.UID)]); err != nil {
                return err
            }
            m.podDevices.addContainerAllocatedResources(string(pod.UID), container.Name, m.devicesToReuse[string(pod.UID)])
            return nil
        }
    }
    if err := m.allocateContainerResources(pod, container, m.devicesToReuse[string(pod.UID)]); err != nil {
        return err
    }
    m.podDevices.removeContainerAllocatedResources(string(pod.UID), container.Name, m.devicesToReuse[string(pod.UID)])
    return nil

}

接下来我们看 allocateContainerResource 的实现，因为扩展资源是DevicePlugin 所发现的，而扩展资源不允许过量提交，因此要求容器中的 Request 与 Limits 相等，并且 DevicePlugin 会遍历所有的 Limits 保证资源是充足的。

func (m *ManagerImpl) allocateContainerResources(pod *v1.Pod, container *v1.Container, devicesToReuse map[string]sets.String) error {
    podUID := string(pod.UID)
    contName := container.Name
    allocatedDevicesUpdated := false
    // Extended resources are not allowed to be overcommitted.
    // Since device plugin advertises extended resources,
    // therefore Requests must be equal to Limits and iterating
    // over the Limits should be sufficient.
    for k, v := range container.Resources.Limits {
        resource := string(k)
        needed := int(v.Value())
        klog.V(3).Infof("needs %d %s", needed, resource)
        if !m.isDevicePluginResource(resource) {
            continue
        }
        // Updates allocatedDevices to garbage collect any stranded resources
        // before doing the device plugin allocation.
        if !allocatedDevicesUpdated {
            m.UpdateAllocatedDevices()
            allocatedDevicesUpdated = true
        }
        allocDevices, err := m.devicesToAllocate(podUID, contName, resource, needed, devicesToReuse[resource])
        if err != nil {
            return err
        }
        if allocDevices == nil || len(allocDevices) <= 0 {
            continue
        }

        startRPCTime := time.Now()
        // Manager.Allocate involves RPC calls to device plugin, which
        // could be heavy-weight. Therefore we want to perform this operation outside
        // mutex lock. Note if Allocate call fails, we may leave container resources
        // partially allocated for the failed container. We rely on UpdateAllocatedDevices()
        // to garbage collect these resources later. Another side effect is that if
        // we have X resource A and Y resource B in total, and two containers, container1
        // and container2 both require X resource A and Y resource B. Both allocation
        // requests may fail if we serve them in mixed order.
        // TODO: may revisit this part later if we see inefficient resource allocation
        // in real use as the result of this. Should also consider to parallelize device
        // plugin Allocate grpc calls if it becomes common that a container may require
        // resources from multiple device plugins.
        m.mutex.Lock()
        eI, ok := m.endpoints[resource]
        m.mutex.Unlock()
        if !ok {
            m.mutex.Lock()
            m.allocatedDevices = m.podDevices.devices()
            m.mutex.Unlock()
            return fmt.Errorf("unknown Device Plugin %s", resource)
        }

        devs := allocDevices.UnsortedList()
        // TODO: refactor this part of code to just append a ContainerAllocationRequest
        // in a passed in AllocateRequest pointer, and issues a single Allocate call per pod.
        klog.V(3).Infof("Making allocation request for devices %v for device plugin %s", devs, resource)
        resp, err := eI.e.allocate(devs)
        metrics.DevicePluginAllocationDuration.WithLabelValues(resource).Observe(metrics.SinceInSeconds(startRPCTime))
        if err != nil {
            // In case of allocation failure, we want to restore m.allocatedDevices
            // to the actual allocated state from m.podDevices.
            m.mutex.Lock()
            m.allocatedDevices = m.podDevices.devices()
            m.mutex.Unlock()
            return err
        }

        if len(resp.ContainerResponses) == 0 {
            return fmt.Errorf("no containers return in allocation response %v", resp)
        }

        // Update internal cached podDevices state.
        m.mutex.Lock()
        m.podDevices.insert(podUID, contName, resource, allocDevices, resp.ContainerResponses[0])
        m.mutex.Unlock()
    }

    // Checkpoints device to container allocation information.
    return m.writeCheckpoint()
}

我们看到，这里通过 resp, err := eI.e.allocate(devs) 执行 RPC 调用，进入到了 DevicePlugin 的逻辑。这里有一个问题，RPC 远程调用中的 deviceIDs 参数是怎么来的呢？我们看到这里有一个 devicesToAllocate的调用。这里的主要逻辑如下：

拿到对应Pod的对应容器已经申请的资源的设备列表，检查是否只申请了部分，如果只有一部分，那么报错
然后从 resuableDevices 结构中拿到可以使用的设备列表，如果可用的足够则返回，否则继续从 healthyDevices 中找
从 healthyDevices 去掉已经在使用的设备，然后检查是否足够，如果不够则报错
如果足够的话，根据是否有满足拓扑亲和性去拿到足够的设备列表

func (m *ManagerImpl) devicesToAllocate(podUID, contName, resource string, required int, reusableDevices sets.String) (sets.String, error) {
    m.mutex.Lock()
    defer m.mutex.Unlock()
    needed := required
    // Gets list of devices that have already been allocated.
    // This can happen if a container restarts for example.
    devices := m.podDevices.containerDevices(podUID, contName, resource)
    if devices != nil {
        klog.V(3).Infof("Found pre-allocated devices for resource %s container %q in Pod %q: %v", resource, contName, podUID, devices.List())
        needed = needed - devices.Len()
        // A pod's resource is not expected to change once admitted by the API server,
        // so just fail loudly here. We can revisit this part if this no longer holds.
        if needed != 0 {
            return nil, fmt.Errorf("pod %q container %q changed request for resource %q from %d to %d", podUID, contName, resource, devices.Len(), required)
        }
    }
    if needed == 0 {
        // No change, no work.
        return nil, nil
    }
    klog.V(3).Infof("Needs to allocate %d %q for pod %q container %q", needed, resource, podUID, contName)
    // Needs to allocate additional devices.
    if _, ok := m.healthyDevices[resource]; !ok {
        return nil, fmt.Errorf("can't allocate unregistered device %s", resource)
    }
    devices = sets.NewString()
    // Allocates from reusableDevices list first.
    for device := range reusableDevices {
        devices.Insert(device)
        needed--
        if needed == 0 {
            return devices, nil
        }
    }
    // Needs to allocate additional devices.
    if m.allocatedDevices[resource] == nil {
        m.allocatedDevices[resource] = sets.NewString()
    }
    // Gets Devices in use.
    devicesInUse := m.allocatedDevices[resource]
    // Gets a list of available devices.
    available := m.healthyDevices[resource].Difference(devicesInUse)
    if available.Len() < needed {
        return nil, fmt.Errorf("requested number of devices unavailable for %s. Requested: %d, Available: %d", resource, needed, available.Len())
    }
    // By default, pull devices from the unsorted list of available devices.
    allocated := available.UnsortedList()[:needed]
    // If topology alignment is desired, update allocated to the set of devices
    // with the best alignment.
    hint := m.topologyAffinityStore.GetAffinity(podUID, contName)
    if m.deviceHasTopologyAlignment(resource) && hint.NUMANodeAffinity != nil {
        allocated = m.takeByTopology(resource, available, hint.NUMANodeAffinity, needed)
    }
    // Updates m.allocatedDevices with allocated devices to prevent them
    // from being allocated to other pods/containers, given that we are
    // not holding lock during the rpc call.
    for _, device := range allocated {
        m.allocatedDevices[resource].Insert(device)
        devices.Insert(device)
    }
    return devices, nil
}

RPC 调用成功后，会将对应的 Response 记录到 m.podDevices 中。

func (pdev podDevices) insert(podUID, contName, resource string, devices sets.String, resp *pluginapi.ContainerAllocateResponse) {
    if _, podExists := pdev[podUID]; !podExists {
        pdev[podUID] = make(containerDevices)
    }
    if _, contExists := pdev[podUID][contName]; !contExists {
        pdev[podUID][contName] = make(resourceAllocateInfo)
    }
    pdev[podUID][contName][resource] = deviceAllocateInfo{
        deviceIds: devices,
        allocResp: resp,
    }
}

DevicePlugin.Allocate

Allocate 接口给容器加上 NVIDIA_VISIBLE_DEVICES 环境变量，设置了相关的 DeviceSpec参数，将 Response 返回给 Kubelet。

func (m *NvidiaDevicePlugin) Allocate(ctx context.Context, reqs *pluginapi.AllocateRequest) (*pluginapi.AllocateResponse, error) {
    responses := pluginapi.AllocateResponse{}
    for _, req := range reqs.ContainerRequests {
        for _, id := range req.DevicesIDs {
            if !m.deviceExists(id) {
                return nil, fmt.Errorf("invalid allocation request for '%s': unknown device: %s", m.resourceName, id)
            }
        }

        response := pluginapi.ContainerAllocateResponse{}

        if *deviceListStrategyFlag == DeviceListStrategyEnvvar {
            response.Envs = m.apiEnvs(m.deviceListEnvvar, req.DevicesIDs)
        }
        if *deviceListStrategyFlag == DeviceListStrategyVolumeMounts {
            response.Envs = m.apiEnvs(m.deviceListEnvvar, []string{deviceListAsVolumeMountsContainerPathRoot})
            response.Mounts = m.apiMounts(req.DevicesIDs)
        }
        if *passDeviceSpecs {
            response.Devices = m.apiDeviceSpecs(req.DevicesIDs)
        }

        responses.ContainerResponses = append(responses.ContainerResponses, &response)
    }

    return &responses, nil
}

前面我们提到， Nvidia的 gpu-container-runtime 根据容器的 NVIDIA_VISIBLE_DEVICES 环境变量，会决定这个容器是否为GPU容器，并且可以使用哪些GPU设备。而Nvidia GPU device plugin做的事情，就是根据kubelet 请求中的GPU DeviceId，转换为 NVIDIA_VISIBLE_DEVICES 环境变量返回给kubelet， kubelet收到返回内容后，会自动将返回的环境变量注入到容器中。当容器中包含环境变量，启动时 gpu-container-runtime 会根据 NVIDIA_VISIBLE_DEVICES 里声明的设备信息，将设备映射到容器中，并将对应的Nvidia Driver Lib 也映射到容器中。

Device 的使用

在kubelet的 GetResource 中，会调用 DeviceManager 的 GetDeviceRunContainerOptions，并将这些 options添加到kubecontainer.RunContainerOptions 中。RunContainerOptions 包括 Envs、Mounts、Devices、PortMappings、Annotations等信息。kubelet调用 GetResources() 为启动container获取启动参数 runtimeapi.ContainerConfig{Args...}

kubernetes/pkg/kubelet/cm/container_manager_linux.go

func (cm *containerManagerImpl) GetResources(pod *v1.Pod, container *v1.Container) (*kubecontainer.RunContainerOptions, error) {
    opts := &kubecontainer.RunContainerOptions{}
    // Allocate should already be called during predicateAdmitHandler.Admit(),
    // just try to fetch device runtime information from cached state here
    devOpts, err := cm.deviceManager.GetDeviceRunContainerOptions(pod, container)
    if err != nil {
        return nil, err
    } else if devOpts == nil {
        return opts, nil
    }
    opts.Devices = append(opts.Devices, devOpts.Devices...)
    opts.Mounts = append(opts.Mounts, devOpts.Mounts...)
    opts.Envs = append(opts.Envs, devOpts.Envs...)
    opts.Annotations = append(opts.Annotations, devOpts.Annotations...)
    return opts, nil
}

GetDeviceRunContainerOptions() 根据 pod uuid 和 container name 从 podDevices 缓存（device的分配过程中会设置缓存数据）中取出Envs、Mounts、Devices、PortMappings、Annotations等信息，另外对于一些PreStartRequired为true的 DevicePlugin，deviceManager需要在启动container之前调用 DevicePlugin的 PreStartContainergrpc接口，做一些device的初始化工作，超时时间限制为30秒。

func (m *ManagerImpl) GetDeviceRunContainerOptions(pod *v1.Pod, container *v1.Container) (*DeviceRunContainerOptions, error) {
    podUID := string(pod.UID)
    contName := container.Name
    needsReAllocate := false
    for k := range container.Resources.Limits {
        resource := string(k)
        if !m.isDevicePluginResource(resource) {
            continue
        }
        err := m.callPreStartContainerIfNeeded(podUID, contName, resource)
        if err != nil {
            return nil, err
        }
        // This is a device plugin resource yet we don't have cached
        // resource state. This is likely due to a race during node
        // restart. We re-issue allocate request to cover this race.
        if m.podDevices.containerDevices(podUID, contName, resource) == nil {
            needsReAllocate = true
        }
    }
    if needsReAllocate {
        klog.V(2).Infof("needs re-allocate device plugin resources for pod %s, container %s", podUID, container.Name)
        if err := m.Allocate(pod, container); err != nil {
            return nil, err
        }
    }
    m.mutex.Lock()
    defer m.mutex.Unlock()
    return m.podDevices.deviceRunContainerOptions(string(pod.UID), container.Name), nil
}

Device 的状态管理

device的状态管理涉及到以下3个部分：

node上的device状态管理当kubelet更新node status时会调用GetCapacity更新device plugins对应的Resource信息。

kubelet_node_status.go调用deviceManager的GetCapacity()获取device的状态，将device状态添加到node info并通过kube-apiserver存入etcd，GetCapacity()返回device server含有的所有device、已经分配给pod使用的device、pod不能使用的device即no-active的device kubelet_node_status.go根据返回的数据更新node info

kubelet deviceManager服务的device状态管理其实在device的注册、device分配中都有讲解，即使用checkpoint机制默认是将podDevices以 PodDevicesEntry的格式存入/var/lib/kubelet/device-plugins/kubelet_internal_checkpoint 文件

type PodDevicesEntry struct {
   PodUID        string
   ContainerName string
   ResourceName  string
   DeviceIDs     []string
   AllocResp     []byte     //包含启动container时使用的Envs、Mounts、Devices、PortMappings、Annotations等信息
}

只要device的状态发生了变化（如注册新device、device被分配、device的健康状态发生变化、device被删除），就要将podDevices存入kubelet_internal_checkpoint 文件。kubelet在启动或重启时，都需要读取kubelet_internal_checkpoint 文件里的数据，并以podDevices格式存入podDevices缓存。

DevicePlugin 上报device状态在device的注册部分已经讲解过，归纳为
- deviceManager 注册完 DevicePlugin 后，会跟 DevicePlugin 建立长连接，持续获取 DevicePlugin 的ListAndWatch结果，持续更新device状态；
- 当获取异常时，deviceManager断开连接，将device设置为不健康的状态；
- DevicePlugin 默认会重启重新注册，重新上报device的状态

参考资料

【异构计算】GPU 与 CUDA

2020-11-15T05:16:10.000Z

随着近年来深度学习的爆发，原来被用于图形渲染的GPU被大量用于并行加速深度学习的模型训练中，在这个过程中 CUDA 作为 NVIDIA 推出的基于GPU的一个通用并行计算平台和编程模型也得到了广泛的使用。或许你已经十分了解现代CPU的体系架构，但是对于GPU还不甚清晰，GPU的体系架构到底和CPU有何区别，CUDA模型是什么，我们该如何使用 CUDA 实现并行计算，本文将为你扫盲祛魅，本文中使用到的所有代码可以在我的 Github 中找到。

GPU 体系架构

为什么我们需要 GPU

如前所述，GPU （Graphics Processing Unit）最开始只是用于游戏、视频中的图形渲染，而现在最热门的一个应用领域是在深度学习的加速计算上。为什么需要 GPU 来加速计算呢？我们知道，随着摩尔定律的发展，在过去五十年间CPU的性能获得了巨大的提升，不论是从芯片上晶体管数目，还是时钟频率，到后来的从单核处理器发展到后来的多核多处理器。

下图是过去五十年间各款CPU处理器上晶体管数目的变化，基本上满足每18个月提升一倍的规律，虽然现在看起来50十年后摩尔定律对CPU来说有停滞的迹象（这是另一个话题，此处不表）

在 CPU 算力快速提升的这五十年，人们需要的计算量也同时在迅猛发展着，从最开始的桌面互联网，到后来的移动互联网，以及5年前爆发的深度学习，无一不需要庞大的计算力。在这个过程中，仅仅依靠CPU的算力开始力有不逮，这个过程中像GPU、FPGA、DSP等异构计算单元开始得到广泛的应用。下面，我回归计算的本质，以GPU为例来分析为什么我们需要这些异构计算单元。

无论是 CPU 还是 GPU，我们可以把计算模型抽象为下面这张图，这也是典型的冯诺伊曼体系架构。

影响计算能力的4个主要因素如下：

Parallel Processing：Amount of data processed at one time
Clock Frequency：Processing speed on each data element
Memory Bandwidth：Amount of data transferred at one time
Memory Lantency：Time for each data element to be transferred

对于CPU，依次分析这几个因素：

为了提供并行处理能力，我们从单核单处理器发展到多核多处理器，每个时钟周期CPU也能够处理多条指令
因为CPU时钟频率和功率的关系 $ Power = k ClockFrequency Voltage^2 $ ，在CPU过去的发展历史中，通过提高CPU时钟频率可以变得更快，与此同时为了保持CPU功耗的正常，也需要不断降低电压。但是当主频逐渐逼近到 4GHz 时，电压已经不能再降低了，因为这已经到达了晶体管高低电平反转的极限，关于这部分的更多内容可以参考摩尔定律。
现在CPU用的是常规的DDR内存，明显存在着内存带宽限制
从CPU到DDR内存的延时很高，2020年的时候大概有100ns，具体可以参考 Key Numbers Every Programmer Should Know。CPU通过其他的方式隐藏了这个问题：
- Large On-Chip Low-Latency Cache，大概1ns
- MultiThreading
- Out-of-order execution

尽管现在CPU的能力还在发展，但是以上的问题极大的限制了其算力的提高，当前仅靠CPU已经不能够满足人们对庞大算力的需求了。因此我们需要其他的专用芯片来帮助CPU一起计算，这就是异构计算的来源。GPU等专用计算单元虽然工作频率较低，但具有更多的内核数和并行计算能力，总体性能/芯片面积比和性能/功耗比都很高。随着人工智能时代的降临，GPU从游戏走进了人们的视野。

无论是CPU还是GPU，在进行计算时都需要用核心（Core）来做算术逻辑运算。核心中有ALU（逻辑运算单元）和寄存器等电路。在进行计算时，一个核心只能顺序执行某项任务。CPU作为通用计算芯片，不仅仅做算术逻辑计算，其很重要的一部分功能是做复杂的逻辑控制，一般而言CPU上的Core数目相对较少，数据中心的服务器一般也就40左右个CPU核心。但是GPU动辄有上千个核心，这些核心可以独立的进行算术逻辑计算，大大提高了并行计算处理能力。

GPU时代的最大获益者是NVIDIA，当然AMD他们家也有GPU产品，但是因为AMD并没有形成CUDA这样的软件生态导致深度学习中主要用的都是NVIDIA的GPU，后面的分析都将基于NVIDIA的GPU产品。NVIDIA 不同时代产品的芯片设计不同，每代产品背后有一个架构代号，架构均以著名的物理学家为名，以向先贤致敬，对于消费者而言，英伟达主要有两条产品线：

消费级产品 GeForce系列：GeForce 2080 Ti…
高性能计算产品 Telsa系列：Telsa V100、Telsa P100、Telsa P40…

GPU 硬件模型

Host and Device

GPU并不是一个独立运行的计算平台，而是需要与CPU的协同工作，可以看作是CPU的协处理器，因此当我们说GPU并行计算的时候，实质上是指的 CPU+GPU 的异构计算架构。由于CPU和GPU是分开的，在NVIDIA的设计理念里，CPU和主存被称为 Host，GPU和显存被称为 Device。Host 和 Device 概念会贯穿整个NVIDIA GPU编程。

基于 CPU + GPU 的异构计算平台可以优势互补，CPU负责处理逻辑复杂的串行程序，GPU重点处理数据密集型的并行计算程序，从而发挥最大功效。CUDA 程序中既包含 Host 程序，又包含 Device 程序，它们分别在CPU和GPU上运行。

同时， Host 与 Device 之间通过PCIe总线交互进行数据拷贝，典型的 CUDA 程序的执行流程如下：

初始化后，将数据从 Main Memory 拷贝到 GPU Memory
CPU 调用 CUDA 的核函数
GPU 的 CUDA Core 并行执行核函数
将 Device 上的运算结果拷贝到 Host 上

GPU核心在做计算时，只能直接从显存中读写数据，程序员需要在代码中指明哪些数据需要从内存和显存之间相互拷贝。这些数据传输都是在总线上，因此总线的传输速度和带宽成了部分计算任务的瓶颈。当前最新的总线技术是NVLink，IBM的 Power CPU 和 NVIDIA 的高端显卡可以通过NVLink直接通信，Intel 的 CPU目前不支持NVLink，只能使用PCIe技术。同时，单台机器上的多张英伟达显卡也可以使用NVLink相互通信，适合多GPU卡并行计算的场景。

Streaming Multiprocessor

在 NVIDIA 的设计里，一张GPU卡有多个Streaming Multiprocessor（SM），每个 SM 中有多个计算核心，SM 是运算和调度的基本单元。下图为当前计算力最强的显卡Tesla V100，密密麻麻的绿色小格子就是GPU小核心，多个小核心一起组成了一个SM。

将 SM 放大，单个SM的结构如图所示：

可以看到一个SM中包含了计算核心和存储部分，SM的核心组件包括CUDA核心，共享内存，寄存器等，SM可以并发地执行数百个线程，并发能力就取决于SM所拥有的资源数。

针对不同计算的小核心（绿色小格子），包括优化深度学习的TENSOR CORE，32个64位浮点核心（FP64），64个整型核心(INT)，64个32位浮点核心(FP32)
计算核心直接从寄存器（Register）中读写数据
调度和分发器（Scheduler和Dispatch Unit）
L0和L1级缓存

具体而言，SM中的FP32进行32位浮点加乘运算，INT进行整型加乘运算，SFU（Special Functional Unit）执行一些倒数和三角函数等运算。Tensor Core是 NVIDIA 新的微架构中提出的一种混合精度的计算核心。我们知道，当前深度神经网络中使用到最频繁的矩阵运算是： $ D = A \times B + C $。Tensor Core可以对 $ 4 \times 4 $ 的矩阵做上述运算。其中：

涉及乘法的 A 和 B 使用FP16的16位浮点运算，精度较低
涉及加法的 C 和 D 使用FP16或FP32精度

Tensor Core是在 Volta 架构开始提出的，使用Volta架构的V100在深度学习上的性能远超Pascal架构的P100。

CUDA 编程模型

前面提到，NVIDIA 相对于 AMD 的一个巨大优势是它的 CUDA 软件生态，下图是 NVIDIA GPU 编程的软件栈，从底层的GPU驱动和CUDA 工具包，上面还提供了科学计算所必需的cuBLAS线性代数库，cuFFT快速傅里叶变换库以及cuDNN深度神经网络加速库，当前常见的 TensorFlow 和 PyTorch 深度学习框架底层大多都基于 cuDNN 库。

Hello World

在进一步学习 CUDA 编程模型之前，我们首先配置好 CUDA 的运行环境，跑通 Hello World 从而对 CUDA 编程有一个直观的认识，这里使用的是腾讯云的 GPU 服务器，机器安装的是 CentOS 7 系统，CUDA 环境配置可以参考 CUDA Installation Guide Linux 。

根据上图的 NVIDIA GPU 软件栈，有了一个插上了 GPU 的服务器之后，我们首先查看机器上的 GPU，可以看到当前机器上装GPU是 Tesla P40：

1 2	$ lspci \| grep -i nvidia 00:08.0 3D controller: NVIDIA Corporation GP102GL [Tesla P40] (rev a1)

接下来在这里下载 CUDA Toolkit，这里选择的是 rpm local 的安装方式：

$ wget https://developer.download.nvidia.com/compute/cuda/11.1.1/local_installers/cuda-repo-rhel7-11-1-local-11.1.1_455.32.00-1.x86_64.rpm
$ sudo rpm -i cuda-repo-rhel7-11-1-local-11.1.1_455.32.00-1.x86_64.rpm
$ sudo yum clean all
$ sudo yum -y install nvidia-driver-latest-dkms cuda
$ sudo yum -y install cuda-drivers

执行上面的安装操作之后，我们可以看到在 /usr/lib64/ 看到 libcuda.so ：

$ ls /usr/lib64 -al | grep cuda
lrwxrwxrwx   1 root root        20 Nov 21 15:05 libcuda.so -> libcuda.so.455.32.00
lrwxrwxrwx   1 root root        20 Nov 21 15:05 libcuda.so.1 -> libcuda.so.455.32.00
-rwxr-xr-x   1 root root  21074296 Oct 15 06:58 libcuda.so.455.32.00

下面是一些我们会经常用到的 CUDA 工具，你需要通过配置环境变量来使用他们：

编译器：nvcc (C/C++)
调试器：nvcc-gdb
性能分析：nsight, nvprof
函数库：cublas, nvblas, cusolver, cufftw, cusparse, nvgraph

设置环境变量如下：

$ export PATH=/usr/local/cuda-11.1/bin${PATH:+:${PATH}}
$ nvcc --version
nvcc: NVIDIA (R) Cuda compiler driver
Copyright (c) 2005-2020 NVIDIA Corporation
Built on Mon_Oct_12_20:09:46_PDT_2020
Cuda compilation tools, release 11.1, V11.1.105
Build cuda_11.1.TC455_06.29190527_0

除此之外，对于 64 位系统，需要设置 LD_LIBRARY_PATH：

1	$ export LD_LIBRARY_PATH=/usr/local/cuda-11.1/lib64${LD_LIBRARY_PATH:+:${LD_LIBRARY_PATH}}

这个时候可以确认驱动的版本：

1
2
3

$ cat /proc/driver/nvidia/version
NVRM version: NVIDIA UNIX x86_64 Kernel Module  455.32.00  Wed Oct 14 22:46:18 UTC 2020
GCC version:  gcc version 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)

可以使用nvidia-smi命令查看显卡情况，比如这台机器上几张显卡，CUDA版本，显卡上运行的进程等。

$ nvidia-smi
Sat Nov 21 17:09:13 2020
+-----------------------------------------------------------------------------+
| NVIDIA-SMI 455.32.00    Driver Version: 455.32.00    CUDA Version: 11.1     |
|-------------------------------+----------------------+----------------------+
| GPU  Name        Persistence-M| Bus-Id        Disp.A | Volatile Uncorr. ECC |
| Fan  Temp  Perf  Pwr:Usage/Cap|         Memory-Usage | GPU-Util  Compute M. |
|                               |                      |               MIG M. |
|===============================+======================+======================|
|   0  Tesla P40           Off  | 00000000:00:08.0 Off |                    0 |
| N/A   27C    P0    49W / 250W |      0MiB / 22919MiB |      3%      Default |
|                               |                      |                  N/A |
+-------------------------------+----------------------+----------------------+

+-----------------------------------------------------------------------------+
| Processes:                                                                  |
|  GPU   GI   CI        PID   Type   Process name                  GPU Memory |
|        ID   ID                                                   Usage      |
|=============================================================================|
|  No running processes found                                                 |
+-----------------------------------------------------------------------------+

CUDA 自己提供了一系列的代码示例，可以通过下面的方法安装：

1	$ cuda-install-samples-11.1.sh

在对应目录下，我们可以看到 CUDA 提供的源代码：

1
2
3

$ ls NVIDIA_CUDA-11.1_Samples
0_Simple     2_Graphics  4_Finance      6_Advanced       bin     EULA.txt  Makefile
1_Utilities  3_Imaging   5_Simulations  7_CUDALibraries  common  LICENSE

直接在这个目录下执行 make，可以在 bin目录下得到所有代码的二进制程序，选择其中的 deviceQuery 执行：

$ ./deviceQuery
./deviceQuery Starting...

 CUDA Device Query (Runtime API) version (CUDART static linking)

Detected 1 CUDA Capable device(s)

Device 0: "Tesla P40"
  CUDA Driver Version / Runtime Version          11.1 / 11.1
  CUDA Capability Major/Minor version number:    6.1
  Total amount of global memory:                 22919 MBytes (24032378880 bytes)
  (30) Multiprocessors, (128) CUDA Cores/MP:     3840 CUDA Cores
  GPU Max Clock rate:                            1531 MHz (1.53 GHz)
  Memory Clock rate:                             3615 Mhz
  Memory Bus Width:                              384-bit
  L2 Cache Size:                                 3145728 bytes
  Maximum Texture Dimension Size (x,y,z)         1D=(131072), 2D=(131072, 65536), 3D=(16384, 16384, 16384)
  Maximum Layered 1D Texture Size, (num) layers  1D=(32768), 2048 layers
  Maximum Layered 2D Texture Size, (num) layers  2D=(32768, 32768), 2048 layers
  Total amount of constant memory:               65536 bytes
  Total amount of shared memory per block:       49152 bytes
  Total shared memory per multiprocessor:        98304 bytes
  Total number of registers available per block: 65536
  Warp size:                                     32
  Maximum number of threads per multiprocessor:  2048
  Maximum number of threads per block:           1024
  Max dimension size of a thread block (x,y,z): (1024, 1024, 64)
  Max dimension size of a grid size    (x,y,z): (2147483647, 65535, 65535)
  Maximum memory pitch:                          2147483647 bytes
  Texture alignment:                             512 bytes
  Concurrent copy and kernel execution:          Yes with 2 copy engine(s)
  Run time limit on kernels:                     No
  Integrated GPU sharing Host Memory:            No
  Support host page-locked memory mapping:       Yes
  Alignment requirement for Surfaces:            Yes
  Device has ECC support:                        Enabled
  Device supports Unified Addressing (UVA):      Yes
  Device supports Managed Memory:                Yes
  Device supports Compute Preemption:            Yes
  Supports Cooperative Kernel Launch:            Yes
  Supports MultiDevice Co-op Kernel Launch:      Yes
  Device PCI Domain ID / Bus ID / location ID:   0 / 0 / 8
  Compute Mode:
     < Default (multiple host threads can use ::cudaSetDevice() with device simultaneously) >

deviceQuery, CUDA Driver = CUDART, CUDA Driver Version = 11.1, CUDA Runtime Version = 11.1, NumDevs = 1
Result = PASS

到现在，CUDA Toolkit 安装完毕，接下来通过编写一个简单的 hello world 来直观感受 CUDA 编程：

hello.cu

#include 

__global__ void hello_from_gpu()
{
    printf( "\"Hello, world!\", says the GPU.\n" );
}

void hello_from_cpu()
{
    printf( "\"Hello, world!\", says the CPU.\n" );
}

// host code entrance
int main( int argc, char **argv )
{
    hello_from_cpu();
    hello_from_gpu <<< 2, 4>>>();
    cudaDeviceReset();
    return 0;
}

可以看到，CUDA 程序基本上和标准 C 语言程序一样，主要的区别在于 __global__ 限定词和 <<<... >>> 符号。其中 __global__ 标记用来告诉编译器这段代码会运行在 Device （GPU）上，它会被运行在 Host 上的代码调用，也被称作是在 Device 上线程中并行执行的核函数（Kernel），是在 Device 上线程中并行执行的函数。

当一个核函数被调用时，需要通过 <<>> 符号来设置核函数执行时的配置，在 CUDA 的术语中，这称作 kernel lauch，在后面我们将深入介绍这部分。

hello world 程序写完，我们以 hello.cu 这样的后缀名来保存，接下来使用 nvcc 来编译，整体上用法与 gcc 几乎一样：

$ nvcc hello.cu -o hello
$./hello
"Hello, world!", says the CPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.
"Hello, world!", says the GPU.

可以看到，来自 CPU 的 Hello World 执行了一次，来自 GPU 的 Hello World 执行了8次。

核函数与线程模型

上文提到，为了实现 GPU 并行加速计算，我们需要在 Host 上执行 kernel launch，让核函数在 Device 上的多个线程并发执行。具体的方式就是在调用核函数的时候通过 <<>> 来指定核函数要执行的线程数量N，之后GPU上的N个Core会并行执行核函数，并且每个线程会分配一个唯一的线程号threadID，这个ID值可以通过核函数的内置变量threadIdx来获得。

CUDA将核函数所定义的运算称为线程（Thread），多个线程组成一个块（Block），多个块组成网格（Grid）。这样一个Grid可以定义成千上万个线程，也就解决了并行执行上万次操作的问题。 <<>> 中括号中第一个数字表示整个Grid有多少个Block，括号中第二个数字表示一个Block有多少个Thread。前面 Hello World 用 2 个Block，每个Block中有4个Thread，所以总共执行了8次。

实际上，线程（Thread）是一个编程上的软件概念。从硬件来看，Thread运行在一个CUDA核心上，多个Thread组成的Block运行在Streaming Multiprocessor（SM），多个Block组成的Grid运行在一个GPU显卡上。当一个 kernel 被执行时，它的gird中的线程块被分配到SM上，一个线程块只能在一个SM上被调度。SM一般可以调度多个线程块，这要看SM本身的能力。那么有可能一个 kernel 的各个线程块被分配多个SM，所以grid只是逻辑层，而SM才是执行的物理层。

grid 和 block都是定义为dim3类型的变量，dim3可以看成是包含三个无符号整数（x，y，z）成员的结构体变量，在定义时，缺省值初始化为1。因此 grid 和 block 可以灵活地定义为 1-dim，2-dim 以及3-dim 结构，对于上图中结构（主要水平方向为x轴），定义的 grid和 block 如下所示， kernel 在调用时也必须通过执行配置<<>>来指定 kernel 所使用的线程数及结构。

1
2
3

dim3 grid(3, 2);
dim3 block(5, 3);
kernel_fun<<< grid, block >>>(prams...);

所以，一个线程需要两个内置的坐标变量（blockIdx，threadIdx）来唯一标识，它们都是dim3类型变量，其中blockIdx指明线程所在grid中的位置，而threaIdx指明线程所在block中的位置，如图中的 Thread (1,1) 满足：

threadIdx.x = 1
threadIdx.y = 1
blockIdx.x = 1
blockIdx.y = 1

不同的执行配置会影响GPU程序的速度，一般需要多次调试才能找到较好的执行配置，在实际编程中，执行配置<<>>应参考下面的方法：

Block运行在SM上，不同硬件架构（Turing、Volta、Pascal…）的CUDA核心数不同，一般需要根据当前硬件来设置Block的大小block（执行配置中第二个参数）。一个Block中的Thread数最好是32、128、256的倍数。注意，限于当前硬件的设计，Block大小不能超过1024。
Grid的大小grid（执行配置中第一个参数），即一个Grid中Block的个数可以由总次数N除以block，并向上取整。

例如，我们想并行启动1000个Thread，可以将blockDim设置为128，1000 ÷ 128 = 7.8，向上取整为8。使用时，执行配置可以写成gpuWork<<<8, 128>>>()，CUDA共启动8 * 128 = 1024个Thread，实际计算时只使用前1000个Thread，多余的24个Thread不进行计算。

这几个变量比较容易混淆，再次明确一下：block是Block中Thread的个数，一个Block中的threadIdx最大不超过block；grid是Grid中Block的个数，一个Grid中的blockIdx最大不超过grid。

kernel 的这种线程组织结构天然适合vector，matrix等运算，我们将在后面实现向量加法和矩阵乘法。如我们将利用上图2-dim结构实现两个矩阵的加法，每个线程负责处理每个位置的两个元素相加，代码如下所示。线程块大小为(16, 16)，然后将 $ N*N $ 大小的矩阵均分为不同的线程块来执行加法运算。

SM采用的是SIMT (Single-Instruction, Multiple-Thread，单指令多线程)架构，基本的执行单元是 线程束（wraps)，线程束包含32个线程，这些线程同时执行相同的指令，但是每个线程都包含自己的指令地址计数器和寄存器状态，也有自己独立的执行路径。

当线程块被划分到某个SM上时，它将进一步划分为多个线程束，因为这才是SM的基本执行单元，但是一个SM同时并发的线程束数是有限的。这是因为资源限制，SM要为每个线程块分配共享内存，而也要为每个线程束中的线程分配独立的寄存器。所以SM的配置会影响其所支持的线程块和线程束并发数量。由于SM的基本执行单元是包含32个线程的线程束，所以block大小一般要设置为32的倍数。(16, 16)的二维Block是一个常用的配置，共256个线程。之前也曾提到过，每个Block的Thread个数最好是128、256或512，这与GPU的硬件架构高度相关。

// Kernel定义
__global__ void MatAdd(float A[N][N], float B[N][N], float C[N][N]) 
{ 
    int i = blockIdx.x * blockDim.x + threadIdx.x; 
    int j = blockIdx.y * blockDim.y + threadIdx.y; 
    if (i < N && j < N) 
        C[i][j] = A[i][j] + B[i][j]; 
}
int main() 
{ 
    ...
    // Kernel 线程配置
    dim3 threadsPerBlock(16, 16); 
    dim3 numBlocks(N / threadsPerBlock.x, N / threadsPerBlock.y);
    // kernel调用
    MatAdd<<>>(A, B, C); 
    ...
}

线程块中的线程数是有限制的，现代GPUs的线程块可支持的线程数可达1024个。有时候，我们要知道一个线程在 blcok 中的全局ID，此时就必须还要知道 block 的组织结构，这是通过线程的内置变量 blockDim来获得。它获取线程块各个维度的大小。

对于一个 2-dim 的block $ (D_x, D_y) $ ，线程 $ (x, y) $ 的ID值为 $ (x + y * D_x) $
对于一个3-dim 的block $ (D_x, D_y, D_z) $，线程 $(x, y, z)$ 的ID值为 $ (x + y D_z + z D_z * D_y) $

另外线程还有内置变量 gridDim，用于获得网格块各个维度的大小。

内存模型与管理

此外这里简单介绍一下CUDA的内存模型，如下图所示。可以看到，

每个 Thread 有自己的私有本地内存（Local Memory）
每个 Block 有包含共享内存（Shared Memory），可以被线程块中所有线程共享，其生命周期与线程块一致
所有的 Thread 都可以访问全局内存（Global Memory）
访问一些只读内存块：常量内存（Constant Memory）和纹理内存（Texture Memory）
L1 Cache，L2 Cache

下面简单介绍一下CUDA编程中内存管理常用的API。首先是在 Device 上分配内存的 cudaMalloc 、cudaFree 和 cudaMemcpy函数，分别对应C语言中的 malloc、free和 memcpy函数：

// 在 Device 上申请一定字节大小的显存，其中 `devPtr` 是指向所分配内存的指针
cudaError_t cudaMalloc(void** devPtr, size_t size);

// 在 Device 上释放一定大小的现存， `devPtr` 是指向所释放内存的指针
cudaError_t cudaFree(void* devPtr);

// 负责 Host 和 Device 之间数据通信，src指向数据源，dst是目标区域，count是复制的字节数，kind控制复制的方向
// 这里的 kind 有四种类型：
// - cudaMemcpyHostToHost
// - cudaMemcpyHostToDevice
// - cudaMemcpyDeviceToHost
// - cudaMemcpyDeviceToDevice
cudaError_t cudaMemcpy(void* dst, const void* src, size_t count, cudaMemcpyKind kind)

CUDA 编程实战

知道了CUDA编程基础，接下来我们以两个向量的加法为例，介绍如何利用CUDA编程来实现GPU加速计算。

CPU 向量加法：传统计算方法

我们首先来看利用 CPU 来计算向量加法该如何编程：

#include 
#include 
#include 
#include 

#define N 10000000
#define MAX_ERR 1e-6

void vector_add(float *out, float *a, float *b, int n) {
    for(int i = 0; i < n; i++){
        out[i] = a[i] + b[i];
    }
}

int main(){
    float *a, *b, *out; 

    // Allocate memory
    a   = (float*)malloc(sizeof(float) * N);
    b   = (float*)malloc(sizeof(float) * N);
    out = (float*)malloc(sizeof(float) * N);

    // Initialize array
    for(int i = 0; i < N; i++){
        a[i] = 1.0f;
        b[i] = 2.0f;
    }

    // Main function
    vector_add(out, a, b, N);

    // Verification
    for(int i = 0; i < N; i++){
        assert(fabs(out[i] - a[i] - b[i]) < MAX_ERR);
    }

    printf("out[0] = %f\n", out[0]);
    printf("PASSED\n");
}

GPU 向量加法：一个Block一个Thread

我们将 CPU 的向量加法转换成 CUDA 程序，使用 GPU 来计算，下面这段代码演示了如何使用 CUDA 编程规范来编写程序。实际上仍然只是使用一个 core 来进行计算，不仅没有提高并行度，反而还增加了数据拷贝的成本，显然相比原来的计算是会更慢的，这里主要作为演示。

#include 
#include 
#include 
#include 
#include 
#include 

#define N 10000000
#define MAX_ERR 1e-6

__global__ void vector_add(float *out, float *a, float *b, int n) {
    for(int i = 0; i < n; i ++){
        out[i] = a[i] + b[i];
    }
}

int main(){
    float *a, *b, *out;
    float *d_a, *d_b, *d_out; 

    // Allocate host memory
    a   = (float*)malloc(sizeof(float) * N);
    b   = (float*)malloc(sizeof(float) * N);
    out = (float*)malloc(sizeof(float) * N);

    // Initialize host arrays
    for(int i = 0; i < N; i++){
        a[i] = 1.0f;
        b[i] = 2.0f;
    }

    // Allocate device memory
    cudaMalloc((void**)&d_a, sizeof(float) * N);
    cudaMalloc((void**)&d_b, sizeof(float) * N);
    cudaMalloc((void**)&d_out, sizeof(float) * N);

    // Transfer data from host to device memory
    cudaMemcpy(d_a, a, sizeof(float) * N, cudaMemcpyHostToDevice);
    cudaMemcpy(d_b, b, sizeof(float) * N, cudaMemcpyHostToDevice);

    // Executing kernel 
    vector_add<<<1,1>>>(d_out, d_a, d_b, N);
    
    // Transfer data back to host memory
    cudaMemcpy(out, d_out, sizeof(float) * N, cudaMemcpyDeviceToHost);

    // Verification
    for(int i = 0; i < N; i++){
        assert(fabs(out[i] - a[i] - b[i]) < MAX_ERR);
    }

    printf("PASSED\n");

    // Deallocate device memory
    cudaFree(d_a);
    cudaFree(d_b);
    cudaFree(d_out);

    // Deallocate host memory
    free(a); 
    free(b); 
    free(out);
}

GPU 向量加法：一个Block多个Thread

为了提高并行度，我们设置一个 Block 多个 Thread 同时进行计算，如下图所示总共有256个Thread，每个 Thread 负责处理 Vector 中的一部分。每一次迭代中，256个Thread分别计算 Vector 的这256个数，然后在下一次迭代中每个Thread往后推进256个数，继续计算。

#include 
#include 
#include 
#include 
#include 
#include 

#define N 10000000
#define MAX_ERR 1e-6

__global__ void vector_add(float *out, float *a, float *b, int n) {
    int index = threadIdx.x;
    int stride = blockDim.x;

    for(int i = index; i < n; i += stride){
        out[i] = a[i] + b[i];
    }
}

int main(){
    float *a, *b, *out;
    float *d_a, *d_b, *d_out; 

    // Allocate host memory
    a   = (float*)malloc(sizeof(float) * N);
    b   = (float*)malloc(sizeof(float) * N);
    out = (float*)malloc(sizeof(float) * N);

    // Initialize host arrays
    for(int i = 0; i < N; i++){
        a[i] = 1.0f;
        b[i] = 2.0f;
    }

    // Allocate device memory 
    cudaMalloc((void**)&d_a, sizeof(float) * N);
    cudaMalloc((void**)&d_b, sizeof(float) * N);
    cudaMalloc((void**)&d_out, sizeof(float) * N);

    // Transfer data from host to device memory
    cudaMemcpy(d_a, a, sizeof(float) * N, cudaMemcpyHostToDevice);
    cudaMemcpy(d_b, b, sizeof(float) * N, cudaMemcpyHostToDevice);

    // Executing kernel 
    vector_add<<<1,256>>>(d_out, d_a, d_b, N);
    
    // Transfer data back to host memory
    cudaMemcpy(out, d_out, sizeof(float) * N, cudaMemcpyDeviceToHost);

    // Verification
    for(int i = 0; i < N; i++){
        assert(fabs(out[i] - a[i] - b[i]) < MAX_ERR);
    }

    printf("PASSED\n");

    // Deallocate device memory
    cudaFree(d_a);
    cudaFree(d_b);
    cudaFree(d_out);

    // Deallocate host memory
    free(a); 
    free(b); 
    free(out);
}

相比 CPU 程序，这里的并行度显著提高，GPU 计算的时间也大大减小。

GPU 向量加法：多个Block多个Thread

在上一个方案中，我们的256个Thread仍然需要计算多个数字，如果我们将并行度继续扩大，让每个Thread只需要计算Vector中的一个数，那么计算消耗时间将会更短。如下图所示，我们使用多个Block多个Thread，其中每个Block还是256个Thread，但是我们现在的Grid有多个Block，Block数字由Vector的长度除以BlockSize得到。

#include 
#include 
#include 
#include 
#include 
#include 

#define N 10000000
#define MAX_ERR 1e-6

__global__ void vector_add(float *out, float *a, float *b, int n) {
    int tid = blockIdx.x * blockDim.x + threadIdx.x;
    
    // Handling arbitrary vector size
    if (tid < n){
        out[tid] = a[tid] + b[tid];
    }
}

int main(){
    float *a, *b, *out;
    float *d_a, *d_b, *d_out; 

    // Allocate host memory
    a   = (float*)malloc(sizeof(float) * N);
    b   = (float*)malloc(sizeof(float) * N);
    out = (float*)malloc(sizeof(float) * N);

    // Initialize host arrays
    for(int i = 0; i < N; i++){
        a[i] = 1.0f;
        b[i] = 2.0f;
    }

    // Allocate device memory 
    cudaMalloc((void**)&d_a, sizeof(float) * N);
    cudaMalloc((void**)&d_b, sizeof(float) * N);
    cudaMalloc((void**)&d_out, sizeof(float) * N);

    // Transfer data from host to device memory
    cudaMemcpy(d_a, a, sizeof(float) * N, cudaMemcpyHostToDevice);
    cudaMemcpy(d_b, b, sizeof(float) * N, cudaMemcpyHostToDevice);


    // Executing kernel 
    int block_size = 256;
    int grid_size = ((N + block_size - 1) / block_size);
    vector_add<<>>(d_out, d_a, d_b, N);
    
    // Transfer data back to host memory
    cudaMemcpy(out, d_out, sizeof(float) * N, cudaMemcpyDeviceToHost);

    // Verification
    for(int i = 0; i < N; i++){
        assert(fabs(out[i] - a[i] - b[i]) < MAX_ERR);
    }

    printf("PASSED\n");

    // Deallocate device memory
    cudaFree(d_a);
    cudaFree(d_b);
    cudaFree(d_out);

    // Deallocate host memory
    free(a); 
    free(b); 
    free(out);
}

GPU 向量加法：Unified Memory

在上面的实现中，我们需要单独在 Host 和 Device 上进行内存分配，并且要进行数据拷贝，这是很容易出错的。好在CUDA 6.0引入统一内存（Unified Memory）来避免这种麻烦，简单来说就是统一内存使用一个托管内存来共同管理 Host 和 Device 中的内存，并且自动在 Host 和 Device 中进行数据传输。CUDA中使用cudaMallocManaged函数分配托管内存：

1	cudaError_t cudaMallocManaged(void **devPtr, size_t size, unsigned int flag=0);

利用统一内存，可以将上面的程序简化如下：

#include 
#include 
#include 
#include 
#include 
#include 

#define N 10000000
#define MAX_ERR 1e-6

__global__ void vector_add(float *out, float *a, float *b, int n) {
    int tid = blockIdx.x * blockDim.x + threadIdx.x;
    
    // Handling arbitrary vector size
    if (tid < n){
        out[tid] = a[tid] + b[tid];
    }
}

int main(){
    // Allocate managed memory
    float *x, *y, *z;
    cudaMallocManaged((void**)&x, sizeof(float) * N);
    cudaMallocManaged((void**)&y, sizeof(float) * N);
    cudaMallocManaged((void**)&z, sizeof(float) * N);

    // Initialize host arrays
    for(int i = 0; i < N; i++){
        x[i] = 1.0f;
        y[i] = 2.0f;
    }

    // Executing kernel 
    int block_size = 256;
    int grid_size = ((N + block_size - 1) / block_size);
    vector_add<<>>(z, x, y, N);
    
    // 同步 Device 保证结果能正确访问
    cudaDeviceSynchronize();
  
    // Verification
    for(int i = 0; i < N; i++){
        assert(fabs(out[i] - a[i] - b[i]) < MAX_ERR);
    }

    printf("PASSED\n");

    // Deallocate managed memory
    cudaFree(x);
    cudaFree(y);
    cudaFree(z);
}

相比之前的代码，使用统一内存更简洁了，值得注意的是 kernel 执行是与 Host 异步的，由于托管内存自动进行数据传输，这里要用cudaDeviceSynchronize() 函数保证 Device 和 Host 同步，这样后面才可以正确访问 kernel 计算的结果。

参考资料

政治坐标系

2020-04-09T09:16:26.000Z

「政治坐标系」的概念来源于著名的political compass，用于表明一个人的政治倾向。这里是我的政治坐标测试，其中「中国政治坐标测试」最早是 2007 年北大未名 BBS 的同学们讨论制作的，并在后期根据中国实际情况进行了订正和修改，在这里可以看到目前的版本。令我感到惊讶的是，居然在这个帖子下面看到了木遥的踪迹，世界真小。

需要强调说明的是，这个测试初始并且唯一的目标在于给使用者提供一个自我思考和认同的提示器。
「公共政治议题讨论的阙失和长期的无限夸大式的政治宣传方式，使得很多人几乎是凭着脑海中浮现的口号来作出自己的选择，而完全不曾在理性上真正确认过自己的立场。」这是我对现实的悲观理解。这个问卷如此流行，足以反过来说明政治观点的分歧和相关观点在意识层面上（而非政策层面上）的讨论和争锋如何构成了公众生活的禁忌。网上关于这个测试的很多评论都反映出很多人并不习惯于拥有自己的观点，更不用说是在如此广泛的层面上。我相信这并非出自天性，而只是长期的怠惰使然。

与此同时，我也附上了来自英文「政治指南针」网站的西方政治坐标测试，这份测试系统建立于西方政治价值体系基础之上，某些问题强烈的依赖于具体的西方社会环境，未必能够充分反映中国国情。 不管怎样，倒也可以提供一个自我思考的提示器。

中国政治坐标

测试试题

整个测试有 50 道题，分别从政治、经济、文化三个方面界定。这里列出了我在今天的选择，具体打分可到原网页进行测试。

如果人民没有受过民主教育，他们是不应该拥有普选权的。
强烈反对
反对
同意
强烈同意
人权高于主权。
强烈反对
反对
同意
强烈同意
西方的多党制不适合中国国情。
强烈反对
反对
同意
强烈同意
由高校自主考试招生比全国统一考试招生更好。
强烈反对
反对
同意
强烈同意
在中国照搬西方式的言论自由会导致社会失序。
强烈反对
反对
同意
强烈同意
应该容许宗教人士在非宗教场所公开传教。
强烈反对
反对
同意
强烈同意
无论中小学生或大学生，都应参加由国家统一安排的军训。
强烈反对
反对
同意
强烈同意
国家的统一和领土完整是社会的最高利益。
强烈反对
反对
同意
强烈同意
国家没有义务进行对外援助。
强烈反对
反对
同意
强烈同意
哪怕经历了违反程序规定的审讯和取证过程，确实有罪的罪犯也应被处以死刑。
强烈反对
反对
同意
强烈同意
国家领导人及开国领袖的形象可以作为文艺作品的丑化对象。
强烈反对
反对
同意
强烈同意
当法律未能充分制止罪恶行为时，通过极端手段对犯罪进行制裁是可以容忍的。
强烈反对
反对
同意
强烈同意
应当允许媒体代表某一特定阶层或利益集团发言。
强烈反对
反对
同意
强烈同意
如果国家综合实力许可，那么中国有权为了维护自己的利益而采取任何行动。
强烈反对
反对
同意
强烈同意
条件允许的话应该武力统一台湾。
强烈反对
反对
同意
强烈同意
国家应当采取措施培养和支持体育健儿在各种国际比赛场合为国争光。
强烈反对
反对
同意
强烈同意
律师即使明知被辩护人的犯罪事实也应当尽力为其进行辩护。
强烈反对
反对
同意
强烈同意
以美国为首的西方国家不可能真正容许中国崛起成为一流强国。
强烈反对
反对
同意
强烈同意
两个成年人之间自愿的性行为是其自由，无论其婚姻关系为何。
强烈反对
反对
同意
强烈同意
不应当公开谈论自己的长辈的缺点。
强烈反对
反对
同意
强烈同意
现代中国社会需要儒家思想。
强烈反对
反对
同意
强烈同意
判断艺术作品的价值的根本标准是看是不是受到人民大众喜爱。
强烈反对
反对
同意
强烈同意
即使有人口压力，国家和社会也无权干涉个人要不要孩子，要几个孩子。
强烈反对
反对
同意
强烈同意
周易八卦能够有效的解释很多事情。
强烈反对
反对
同意
强烈同意
中国传统医学对人体健康的观念比现代主流医学更高明。
强烈反对
反对
同意
强烈同意
汉字无需人为推行简化。
强烈反对
反对
同意
强烈同意
应当将中国传统文化的经典作品作为儿童基础教育读物。
强烈反对
反对
同意
强烈同意
如果是出于自愿，我会认可我的孩子和同性结成伴侣关系。
强烈反对
反对
同意
强烈同意
最低工资应由国家规定。
强烈反对
反对
同意
强烈同意
中国改革开放以来经济发展的成果很多都被一小群人占有了，大多数人没得到什么好处。
强烈反对
反对
同意
强烈同意
在重大工程项目的决策中，个人利益应该为社会利益让路。
强烈反对
反对
同意
强烈同意
浪费粮食也是个人的自由。
强烈反对
反对
同意
强烈同意
如果猪肉价格过高，政府应当干预。
强烈反对
反对
同意
强烈同意
应当对国外同类产品征收高额关税来保护国内民族工业。
强烈反对
反对
同意
强烈同意
国有企业的利益属于国家利益。
强烈反对
反对
同意
强烈同意
试图控制房地产价格会破坏经济发展。
强烈反对
反对
同意
强烈同意
教育应当尽可能公立。
强烈反对
反对
同意
强烈同意
改善低收入者生活的首要手段是国家给予财政补贴和扶持。
强烈反对
反对
同意
强烈同意
有钱人理应获得更好的医疗服务。
强烈反对
反对
同意
强烈同意
高收入者应该公开自己的经济来源。
强烈反对
反对
同意
强烈同意
与其让国有企业亏损破产，不如转卖给资本家。
强烈反对
反对
同意
强烈同意
那些关系到国家安全、以及其他重要国计民生的领域，必须全部由国有企业掌控。
强烈反对
反对
同意
强烈同意
市场竞争中自然形成的垄断地位是无害的。
强烈反对
反对
同意
强烈同意
资本积累的过程总是伴随着对普通劳动人民利益的伤害。
强烈反对
反对
同意
强烈同意
应该允许中国公民同时具有外国国籍。
强烈反对
反对
同意
强烈同意
政府应当提高粮食收购价格以增加农民收入。
强烈反对
反对
同意
强烈同意
为保障社会公平，对富人征税应采用更高的税率。
强烈反对
反对
同意
强烈同意
在华外国资本应享受和民族资本同样的待遇。
强烈反对
反对
同意
强烈同意
私人应当可以拥有和买卖土地。
强烈反对
反对
同意
强烈同意
发生重大社会安全事件时，即使认为信息公开会导致骚乱的风险，政府仍应该开放信息传播。
强烈反对
反对
同意
强烈同意

政治观念坐标，负值为左，即威权主义 (Authoritarianism)，正值为右，即自由主义 (Libertarianism)。
社会文化观念坐标，负值为保守与复古派 (Conservatism)，正值为自由与激进派 (Liberalism)。
经济观念坐标，负值为左，即集体主义与福利主义 (Welfarism, Collectivism)，正值为右，即新自由主义(Neoliberalism)。

三个维度的最大区间均为 [-2,2]。

本测试系统建立于中国政治价值体系基础之上，试图充分反映中国的特殊国情与政治文化。请注意，很多问题反映的是中国现实语境中的「左与右」，而非严格意义上的西方政治语汇中的「左与右」。

测试反思

整个测试做完，我的得分如下：

1
2
3

政治立场坐标: 0.4
文化立场坐标: 0.6
经济立场坐标: -0.3

什么意思呢？也就是说，我政治观念偏自由主义，社会文化观念偏自由主义，经济观念偏集体主义。这个测试结果和我在 IDRlabs上面的政治观点测试大体类似，整体上政治文化偏自由，但是很明显经济方面自己的不确定性太大，整体上属于温和中间派。

倒也不是说通过这个测试就对我的左右进行了划分，把我划分成左派或右派。左右意识形态的纠葛在过去一百多年给人类社会带来撕扯与分裂，以至于对于左和右的定义国内国外都不太一样。一直以来，我的观点就是搁置意识形态上的争论，踏踏实实的讨论实际问题。但是搁置争论并不等于没有自己的观点，并不等于不去思考这些问题，而这个测试恰恰提供了这样的机会。

关于这五十个问题，做的时候有的并不是百分百的确定，很多问题涉及到经济问题。经济基础决定上层建筑，经济问题是可以用数学来解释的，过段时间等对于经济问题有了更多的理解后，再来做这个测试，或许答案又不一样了。

人权与主权。教科书告诉我们主权高于人权，真的是这样吗？
真的应该公开所有的信息吗？一直以来我认为公开信息是能够促进事情更加透明的，现在我有些犹豫。
关注自主招生，应该认识到，自主招生确实是招到优秀同学的一种重要方式。但是我们也会看到这里面有很多不公平的现象产生，我选择公平。
国家的统一和领土完整真的是社会的最高利益吗？人民的幸福不才应该是吗？犹豫。
国家真的没有义务对外援助吗？大国责任呢？犹豫。
有罪的罪犯，取证不规范，这是程序正义的问题。现在是坚决反对的，即使他确实有问题，我们取证不规范，那和他又有什么区别呢？
国家领导人和开国领袖可以作为丑化对象吗？不能，原因说不清楚，觉得这样不好。
媒体不应该是尽量公正客观的吗？所以直觉认为媒体当然不应该为某一特定利益集团发言，又一转念，这不正是当下的显示吗？哪家媒体不是代表的某些人的利益的呢？
国籍问题是知识盲区，这个不是很懂，到底双重国籍有什么具体的影响。
武统台湾，我们已经有条件了，但是这是我们最不愿意看到的，难道就没有别的办法吗，中国人这么聪明。
现代社会需要儒家思想，当然是需要，但是看是那部分，君君臣臣那套还是算了。
判断艺术作品的价值真的是是否受到人民大众喜欢吗？不一定吧。
关于最低工资，这点并不太懂其背后的经济学原理。
个人利益应当为社会利益让路吗？犹豫。
粮食浪费也是个人自由吗？自由应该如何界定？
猪肉价格过高，政府应该干预吗？经济学上怎么说？
应该试图控制房地产吗？经济学上怎么说？
教育应该完全公立吗？从我的角度来说，我是赞成的。
有钱人应该公开自己的收入来源吗？直观感受是应该的。
涉及到国计民生的领域，真的都应该由国企掌控吗？
资本积累的过程看起来确实都伴随着对普通劳动人民利益的伤害。
政府应该高价格收购粮食吗？
私人应该可以自由买卖土地吗？是否会再次出现土地兼并的问题？

西方政治坐标

测试试题

下面是我的测试结果，经济上偏自由，政治上偏自由。

第一部分：你如何看待国家与世界。

如果全球化无法避免，应该首先为人服务而不是跨国公司的利益。
强烈反对
反对
同意
强烈同意
我会一直支持我的国家，无论它是对是错。
强烈反对
反对
同意
强烈同意
没有人可以选择祖国，因此为祖国自豪很愚蠢。
强烈反对
反对
同意
强烈同意
我的种族和其他种族相比有很多出众的优点。
强烈反对
反对
同意
强烈同意
敌人的敌人是朋友。
强烈反对
反对
同意
强烈同意
违反国际法的军事行动有时候是正当的。
强烈反对
反对
同意
强烈同意
现在信息和娱乐已经令人忧虑的交融在一起。
强烈反对
反对
同意
强烈同意

第二部分：经济问题。

人民根本上说是通过阶级而不是国籍来区分的。
强烈反对
反对
同意
强烈同意
控制通货膨胀比控制失业要重要。
强烈反对
反对
同意
强烈同意
因为无法信任企业能够自觉保护环境，因此需要规章来规范它们。
强烈反对
反对
同意
强烈同意
“各尽所能，各取所需”从根本上说是个好的想法。
强烈反对
反对
同意
强烈同意
令人沮丧的是在我们的社会中一些最基本的事物比如饮用水现在都成为了瓶装、注明商标的商品。
强烈反对
反对
同意
强烈同意
土地不应当被作为商品买卖。
强烈反对
反对
同意
强烈同意
靠运作资金赚钱的人对社会的贡献比不上靠劳动赚钱的人。
强烈反对
反对
同意
强烈同意
保护主义对贸易来说有时候是必须的。
强烈反对
反对
同意
强烈同意
公司为它的股东赚取利润就是它仅有的社会职责。
强烈反对
反对
同意
强烈同意
对富人征的税太高了。
强烈反对
反对
同意
强烈同意
那些付得起钱的人应该有权获得更好的医疗服务。
强烈反对
反对
同意
强烈同意
政府应该惩罚误导公众的商业行为。
强烈反对
反对
同意
强烈同意
一个真正的自由市场需要对跨国大公司的垄断进行限制。
强烈反对
反对
同意
强烈同意
市场越自由，人民越自由。
强烈反对
反对
同意
强烈同意

第三部分：社会价值观。

除非妇女的生命受到危及，否则总应该禁止堕胎。
强烈反对
反对
同意
强烈同意
一切当权者都应该受到质询。
强烈反对
反对
同意
强烈同意
以眼还眼，以牙还牙。
强烈反对
反对
同意
强烈同意
税收不应该支持那些没法靠商业手段活下去的剧院和博物馆。
强烈反对
反对
同意
强烈同意
学校不应该强制学生签到。
强烈反对
反对
同意
强烈同意
所有人都有自己的权利，但让不同类型的人保持自己的个性对每个人来说都更好。
强烈反对
反对
同意
强烈同意
好父母有时候也不得不打孩子。
强烈反对
反对
同意
强烈同意
孩子对父母有秘密很正常。
强烈反对
反对
同意
强烈同意
大麻应该合法。
强烈反对
反对
同意
强烈同意
学校的首要职能是让下一代人能找到工作。
强烈反对
反对
同意
强烈同意
应当不允许有严重遗传疾病的残疾人生育。
强烈反对
反对
同意
强烈同意
孩子最重要的事是学会遵守纪律。
强烈反对
反对
同意
强烈同意
没有野蛮人和文明人，只有不同的文化。
强烈反对
反对
同意
强烈同意
那些有能力工作却拒绝工作机会的人，不应该接受社会的资助。
强烈反对
反对
同意
强烈同意
当你遇到困难时，最好不要去想它，而是不断地做令人高兴的事。
强烈反对
反对
同意
强烈同意
第一代移民永远无法完全融入他们的新国家。
强烈反对
反对
同意
强烈同意
有利于最成功的企业的事物，最终也总是有利于我们大家的。
强烈反对
反对
同意
强烈同意
任何广播电视机构，无论它的内容有多独立，都不应该接受公共资金的支持。
强烈反对
反对
同意
强烈同意

第四部分：你如何看待更广阔的社会。

在反恐的名义下，公民自由被过度限制了。
强烈反对
反对
同意
强烈同意
一党制国家的一个显著优点是它避免了在民主政体中耽误发展的所有那些争论。
强烈反对
反对
同意
强烈同意
尽管在电子时代官方的监听更容易了，但只有坏人才需要对此担忧。
强烈反对
反对
同意
强烈同意
对罪大恶极的犯罪分子，死刑不失为一种选项。
强烈反对
反对
同意
强烈同意
在一个文明社会，一个人必须遵从上级、命令下级。
强烈反对
反对
同意
强烈同意
那些什么也没有表达的抽象艺术根本就不应该被称为艺术。
强烈反对
反对
同意
强烈同意
在刑事审判中，惩罚比改造更重要。
强烈反对
反对
同意
强烈同意
改造有些犯罪分子就是浪费时间。
强烈反对
反对
同意
强烈同意
商人和制造业者比作家和艺术家更重要。
强烈反对
反对
同意
强烈同意
母亲们可以有职业，但她们的首要职责是家庭主妇。
强烈反对
反对
同意
强烈同意
跨国公司正在不道德地开发发展中国家的植物基因资源。
强烈反对
反对
同意
强烈同意
同现有体制和谐相处是成熟的重要一方面。
强烈反对
反对
同意
强烈同意

第五部分：关于宗教。

占星术精确地解释了很多东西。
强烈反对
反对
同意
强烈同意
你如果不信宗教就不可能道德。
强烈反对
反对
同意
强烈同意
慈善捐助在帮助真正的弱势群体时做得比社会保障要好。
强烈反对
反对
同意
强烈同意
有些人天生不走运。
强烈反对
反对
同意
强烈同意
我孩子的学校向他传授宗教价值观，这点非常重要。
强烈反对
反对
同意
强烈同意

第六部分：关于性。

婚姻之外的性是不道德的。
强烈反对
反对
同意
强烈同意
一对稳定、相爱的同性伴侣，应有收养孩子的权利。
强烈反对
反对
同意
强烈同意
由成年人自愿演出的色情影视应该对成人合法化。
强烈反对
反对
同意
强烈同意
在私人卧室里两个成年人只见不管做什么，只要是自愿的，国家就管不着。
强烈反对
反对
同意
强烈同意
没有人会天生同性恋。
强烈反对
反对
同意
强烈同意
社会对性开放并没错，但现在已经开放的过分了。
强烈反对
反对
同意
强烈同意

政治立场坐标（左翼<->右翼）-3.87，经济立场坐标（左翼<->右翼）-2.42

横坐标反映经济观念，负值为左（Communism, Collectivism），正值为右（Neo-Liberalism, Libertaranism）。纵坐标反映政治社会观念，负值为自由（Anarchism, Libertarian），正值为专制或保守（Facism, Authoritarian）。

本测试系统建立于西方政治价值体系基础之上，某些问题强烈的依赖于具体的西方社会环境，未必能够充分反映中国国情。根据周围人群的实验结果，中国人的测试结果普遍位于第三象限（即两坐标均为负值），平均值位于(-2,-2)附近。为了区分中国人习惯意义上的「左与右」，可以以(-2,-2)为坐标原点重新划分坐标平面，即经济坐标小于-2为左，反之为右。政治坐标小于-2为自由，反之为保守或专制。

下面是著名政治人物的坐标位置以供参考：

第一象限（经济右，政治保守）：希特勒，撒切尔夫人，布什，布莱尔，希拉克。
第二象限（经济左，政治保守）：斯大林，萨达姆，教皇本笃十四世。
第三象限（经济左，政治自由）：甘地，达赖喇嘛，曼德拉。
第四象限（经济右，政治自由）：弗里德曼，哈耶克。

测试反思

我的种族和其他种族相比有很多出众的优点？我下意识想选择同意。但是真的是这样吗？
各尽所能，各取所需？人类的惰性
土地应该自由买卖吗？
以眼还眼以牙还牙，对吗？主观上会这么做。理性上为了更好的共处，应该放下。
学校应当强制学生签到吗？对于大学生，学不学是你的主观意愿。但是如果是义务教育，需要。
堕胎应当被允许吗？这应该是个人选择吧。
大麻应该合法吗？介于毒品和香烟之间，但是更偏毒品，偏向于禁止大麻。
应当允许有严重遗传疾病的残疾人生育吗？不应该，遗传疾病生下来对于孩子也是痛苦，领养不好吗？
对于电子监听，我们需要担忧吗？对于绝大多数普通人，这应该不是问题。

写在最后

还是原来的观点，这个测试结果并不一定代表什么，但是可以作为参考。最重要的是，给自己提供了一个思考的机会。很多问题选择不够坚决，说明很多时候对这方面的思考欠缺。这个测试不应该是一次性的测试，随着人的动态变化，观点也在发生改变。在以后的时间，可以回头再看这些问题。

虚拟化技术概览

2020-04-07T01:04:08.000Z

虚拟化的本质是抽象，虚拟化技术本质就是资源管理与优化技术。通过将计算机的各种物理资源，比如 CPU、内存以及磁盘空间、网络适配器等其他 I/O 设备，进行抽象转换，呈现出一个可供分割并且可以任意组合的多个计算机的配置环境。通过虚拟化技术，计算、网络、存储等计算机硬件资源得到更好的利用，而这些资源的虚拟形式将不受现有架设方式、地域或物理配置所限制。

计算虚拟化

理想数学模型 Turing Machine

在计算机领域，研究的一切问题都是 可计算问题（Computational Problem）。

A computational problem is collection of questions that computers might be able to solve.

通过对问题可计算的判定，我们知道不管计算机的存储和计算能力有多强，有些问题总是不能够被解决的。对于那些可计算的问题，怎么解决呢？1936年，图灵在现代计算领域奠基性论文「论可计算数及其在判定性问题上的应用」On Computable Numbers, with an Application to the Entscheidungsproblem 中提出图灵机这一纸带和读写头表示的数学模型，并且证明了假设上述模型里所说的功能都能被以某种形式物理实现，那么 任意可计算问题都可以被解决。

二战产物 ENIAC

二战极大促进了电子计算机的诞生，为了帮助美国陆军的弹道研究实验室（BRL）计算火炮的火力表， ENIAC 在 1946 年被设计了出来。ENIAC 并不是二战中第一个被设计出来的计算机，机械和电子计算机器从19世纪就开始出现了，但是20世纪40年代被看作是现代计算机时代的开端。

德国Z3&action=edit&redlink=1)计算机于1941年5月公布，这是第一台通用的数字计算机
- 使用继电器，机电计算机，不是电子计算机
- 使用二进制进行逻辑计算
- 可用打孔纸带编程，但是没有逻辑分支
美国ABC，1941年夏天公布，是第一台电子计算设备
- 使用电子管，电子计算机
- 使用二进制进行逻辑计算
- 不是通用的，仅用于求解线性方程组
- 没有利用电子计算的速度优势，旋转电容鼓存储器，输入输出系统要把中间结果写出到纸片
- 手动控制的，不可编程
英国的巨人计算机 Colossus computer，1943年用于密码分析
- 使用电子管，电子计算机
- 可用插板和开关编程
- 不是通用的，仅用于密码破译

对比这些几乎同时期独立的计算机，ENIAC有以下特点：

使用电子管，电子计算机
采用十进制计算
计算速度高，具备逻辑分支能力
符合图灵完全性，能够重新编程，解决各种计算问题
缺乏存储程序能力，冯诺依曼结构在下一代计算机EDVAC上实现

多道程序设计 Multiprogramming

最初的计算机都是串行运行的，一次只能录入并执行一个程序，当程序进行缓慢的 IO 操作时，CPU 只好空转等待。这不仅造成了 CPU 的浪费，也造成了其他计算机硬件资源的浪费。那时的计算机科学家们都在思考着要如何能够提高 CPU 的利用率，直到有人提出了多道程序设计（Multiprogramming，多任务处理的前身）。

在整个上世纪 50-60 年代，多道程序设计的讨论非常流行。它令 CPU 一次性读取多个程序到内存，先运行第一个程序直到它出现了 IO 操作，此时 CPU 切换到运行第二个程序。

即，第 n+1 个程序得以执行的条件是第 n 个程序进行 IO 操作或已经运行完毕。

多道程序设计的特征就是：多道程序、宏观上并行、微观上串行。有效的提高了 CPU 的利用率，也充分发挥着其他计算机系统部件的并行性。

但多道程序设计存在一个问题，就是它并不会去考虑分配给各个程序的时间是否均等，很可能第一个程序运行了几个小时而不出现 IO 操作，故第二个程序没有运行。最初，这个问题是令人接受的，那时的必须多个程序之间的执行顺序更加关心程序的执行结果。直到有人提出了新的需求：多用户同时使用计算机。应需而生的正是时间共享，或者称之为 “分时” 的概念（Time Sharing）。

所谓 “分时” 的含义是将 CPU 占用切分为多个极短（1/100sec）的时间片，每个时间片都执行着不同的任务。分时系统中允许几个、几十个甚至几百个用户通过终端机连接到同一台主机，将处理机时间与内存空间按一定的时间间隔，轮流地切换给各终端用户的程序使用。由于时间间隔很短，每个用户感觉就像他独占了计算机一样。分时系统达到了多个程序分时共享计算机硬件和软件资源的效果，本质就是一个多用户交互式操作系统。

分时系统与多道程序设计虽然类似，却也有着底层实现细节的不同

分时系统是为了给不同用户提供程序的使用，而多道程序则是为了不同程序间的穿插运行

1959 年，牛津大学的计算机教授，Christopher Strachey 发表了一篇名为 Time sharing in large fast computers 的学术报告，他在文中首次提出了 “虚拟化” 的基本概念，还论述了什么是虚拟化技术。

Time sharing, in the sense of causing the main computer to interrupt its program to perform the arithmetic and control operations required by external or peripheral equipment, has been used on a limited scale for a long time. this paper explores the possibility of applying time sharing to a large fast computer on a very extensive scale.

本质上，Strachey 是在讨论如何将分时的概念融入到多道程序设计当中，从而实现一个可多用户操作（CPU 执行时间切片），又具有多程序设计效益（CPU 主动让出）的虚拟化系统。可见，虚拟化概念最初的提出就是为了满足多用户同时操作大型计算机，并充分利用大型计算机各部件资源的现实需求。而对这一需求的实现与演进，贯穿了整个大型机与小型机虚拟化技术的发展历程。

1961年 MIT 在 IBM7094 型机器上实现了首个分时系统CTSS（Compatible Time-Sharing System，相容分时系统）

超级计算机 Altas

1962 年 12 月 7 日，第一台 Atlas 超级计算机在英国诞生，Atlas 是第二代晶体管计算机，被认为是当时世界上最强大的计算机。Atlas 开创了许多沿用至今的软件概念：

第一次实现名为 Atlas Supervisor 的底层资源管理组件，Supervisor 通过特殊的指令或代码来管理主机的硬件资源
第一次实现分页技术（Paging Techniques）
第一次实现虚拟内存（Virtual Memory），当时被称为一级存储（One-Level Store）

第一个支持虚拟化 IBM M44/44X

1964 年的 IBM M44/44X 被认为是世界上第一个支持虚拟化的系统。它采用专门的硬件和软件，能够在一台物理机器上虚拟多个当时流行的 IBM 7044 大型机。它使用的虚拟化方法是非常原始的：像分时系统一样，在每个时间片，一个 IBM 7044 大型机独占所有硬件资源来运行。

值得一提的是，这个研究用的原型系统不仅开启了虚拟化技术的时代，M44/44X 实现了多个具有突破性的虚拟化概念，包括部分硬件共享（Partial Hardware Sharing）、分时（Time Sharing）、内存分页（Memory Paging）以及虚拟内存（Virtual Memory）。M44/44X 项目首次使用了 “Virtual Machine” 这一术语，所以被认为是世界上第一个支持虚拟机的计算机系统。虽然 M44/44X 只实现了部分的虚拟化功能，但其最大的成功在于证明了虚拟机的运行效率并不一定比传统的方式更低

在那个 “进程” 概念尚未被发明的年代，多任务操作系统和虚拟化技术事实上是难以分开的，因为 “虚拟机” 就是一个任务，而且当时还没有 Intel x86 这种霸主地位的体系结构，各家的大型机各自为政，也谈不上兼容别家的体系结构。这种 “任务级” 或者说 “进程级” 虚拟化，从概念上延续到今天，就是以 LXC 和 OpenVZ 为代表的操作系统级虚拟化。

IBM的豪赌 System/360

1964 年，IBM推出了著名的 System/360 大型计算机系统，整个研发过程投资巨大，其出货时间也不断延迟。但最终，取得了巨大的商业成功。当时的项目经理 Frederick P. Brooks事后根据这项计划的开发经验写出了同样著名的《人月神话：软件项目管理之道》（“The Mythical Man-Month: Essays on Software Engineering”），记述了人类工程史上一项里程碑式的大型复杂软件系统的开发经验。

System/360 实现了基于全硬件的虚拟化解决方案（Full Hardware Virtualization）
System/360 实现了 TSS（Time Sharing System）分时系统，TSS 被认为是最原始的 CPU 虚拟化技术，它可以让低端电脑连接大型主机，上传和下载程序或资料，将电子数据处理的 “松散终端” 连接起来。

虚拟化技术的应用和发展源于大型机对分时系统的需求。这种通过硬件的方式来生成多个可以运行独立操作系统软件的虚拟机实例，解决了早期大型计算机只能单任务处理而不能分时多任务处理的问题。由于这种虚拟化技术是基于硬件设备来实现的，故被称为硬件虚拟化（Hardware virtualization）。但需要注意的是，这一定义在后来被进一步细分为了狭义的硬件虚拟化技术，现今更加被公认的硬件虚拟化定义是：一种对计算机或操作系统的虚拟化，能够对用户隐藏真实的计算机硬件，表现出另一个抽象的计算平台。

伟大实验 MULTICS

MULTICS，全名 MULTiplexed Information and Computing System，是1964年由贝尔实验室、麻省理工学院及美国通用电气公司所共同参与研发的，是一套安装在大型主机上多人多任务的操作系统，是连接1000部终端机，支持300的用户同时上线。

MULTICS 是一个伟大的实验，得意于第一代分时系统 CTSS 的成功，它在开发之初就提出了很高的要求：

首次在大型软件中采用结构化的程序设计方法，使得开发周期大大缩短
首次采用高级语言编写操作系统，使得系统程序在功能上独立于机器
首次采用成熟软件作为工具，MULTICS中的很大一部分程序是用CTSS来编写
首次引入动态链接和分层文件系统的概念

然而，由于当时编写 MULTICS 的 PL/I 语言并没有很成熟，无力肩负编写操作系统这样的重担。而且整个开发过程中求大求全，多个单位参与，进展过慢，贝尔实验室退出此计划。

玩具而已 UNIX

1969年，在 AT&T 的Bell Labs，Ken Thompson为了一项名为Space Travel的游戏，需要一个操作系统。他找了一台闲置的PDP-7 小型机，独自经过 4 个星期的奋斗，以汇编语言写出了一组内核程序，同时包括一些内核工具程序，以及一个小的文件系统，这就是伟大的 UNIX 操作系统的原型。

UNIX 系统本质上是对 MULTICS 系统的简化，当时开发者 Brian Kernighann 开玩笑地戏称这个不完善系统MULTICS其实是 UNiplexed Information and Computing System，缩写为UNICS。后来，大家取其谐音这个名字被改为UNIX。

1973 年，贝尔实验室的Dennis Ritchie 以 B 语言为基础开发了一种称为 C 的编程语言。C 语言的设计原则就是好用，非常自由、弹性很大。Ken Thompson和Dennis Ritchie使用 C 语言完全重写了 UNIX，此后 UNIX 就真正成为了可移植的操作系统，那时已是 1977 年。

1979 年，Unix 的第 7 个版本引入了 chroot 机制，意味着第一个操作系统虚拟化（OS-level virtualization）诞生了。chroot 是直到现在我们依然在使用的一个系统调用，这个系统调用会让一个进程把指定的目录作为根目录，它的所有文件系统操作都只能在这个指定目录中进行，本质是一种文件系统层的隔离。

虚拟化准则 VMM

1974 年，Gerald J. Popek 和 Robert P. Goldberg在合作论文《可虚拟第三代架构的规范化条件》（“Formal Requirements for Virtualizable Third Generation Architectures”）中提出了一组称为虚拟化准则的充分条件，又称波佩克与戈德堡虚拟化需求（Popek and Goldberg virtualization requirements），即：虚拟化系统结构的三个基本条件。满足这些条件的控制程序才可以被称为虚拟机监控器（Virtual Machine Monitor，简称 VMM）：

资源控制（Resource Control），控制程序必须能够管理所有的系统资源。
等价性（Equivalence），在控制程序管理下运行的程序（包括操作系统），除时序和资源可用性之外的行为应该与没有控制程序时的完全一致，且预先编写的特权指令可以自由地执行。
效率性（Efficiency），绝大多数的客户机指令应该由主机硬件直接执行而无需控制程序的参与。

该论文尽管基于简化的假设，但上述条件仍为评判一个计算机体系结构是否能够有效支持虚拟化提供了一个便利方法，也为设计可虚拟化的计算机架构给出了指导原则。同时，Gerald J. Popek 和 Robert P. Goldberg 还在论文中介绍了两种 Hypervisor 类型。

类型 I (Bare-metal Hypervisors)
- 这些虚拟机管理程序直接运行在宿主机（Host）的硬件上来控制硬件和管理虚拟机。
- 需要硬件支持
- VMM 作为宿主机操作系统（Host OS）
- 运行效率高

类型 II（Hosted Hypervisorsr）
- VMM 运行在传统的宿主机操作系统（Host OS）上，就像其他应用程序那样运行。
- VMM 作为应用程序运行在宿主机操作系统之上
- 运行效率一般较类型 I 低

由于技术的原因，早期的 VMM 产品大多实现的是寄居式，例如：VMware 5.5 以前的版本、Xen 3.0 以前的版本。随着技术的成熟，主要是硬件虚拟化技术的诞生，几乎所有的 VMM 产品都转向了裸金属 Hypervisor 实现。例如：VMware 5.5 及以后版本、Xen 3.0 及以后版本以及 KVM。

接棒开源 GNU/Linux

软件辅助虚拟化 QEMU

2001，Fabrice Bellard 发布了目前最流行的、采用了动态二进制翻译（Binary Translation）技术的开源虚拟化软件 QEMU（Quick EMUlator）。QEMU 可以模拟 x86、x86_64、ARM、MIPS、SPARC、PowerPC 等多种处理器架构，无修改地运行这些架构上的操作系统。

软件辅助虚拟化 是通过 优先级压缩（Ring Compression）和 二进制代码翻译（Binary Translation）这两个技术来完成的。RC 基于 CPU 特权级的原理。也就是 guest、VMM 和 host 分别处于不同的特权级上，guest 要访问 host 就属于越级访问，会抛异常，这时 VMM 会截获这个异常，并模拟出其可能的行为，从而进行相应处理。

以我们最熟悉的 Intel x86 架构为例，分为四个特权级 0~3。一般情况下，操作系统内核（特权代码）运行在 ring 0（最高特权级），而用户进程（非特权代码）运行在 ring 3（最低特权级）。

使用了虚拟机之后，Guest OS 运行在 ring 1，VMM 运行在 ring 0。比如在 Windows 上装个 Linux 虚拟机，Windows 内核运行在 ring 0，而被虚拟的 Linux 内核运行在 ring 1，Linux 系统里的应用程序则运行在 ring 3。当虚拟机系统需要执行特权指令时，VMM 就会立即捕获它（谁让 ring 0 比 ring 1 的特权级高呢！）并模拟执行这条特权指令，再返回到虚拟机系统。

为了提高系统调用、中断处理的性能，有时会利用动态二进制翻译的技术，在运行前把这些特权指令替换成调用虚拟机管理器 API 的指令。如果所有特权指令都模拟得天衣无缝，虚拟机系统就像运行在物理机器上一样，完全不能发现自己运行在虚拟机里。

半虚拟化 Xen

2003 年，英国剑桥大学的一位讲师发布了开源虚拟化项目 Xen 1.0，通过半虚拟化技术为 x86-64 提供虚拟化支持。

既然动态二进制翻译的难点和性能瓶颈在于模拟执行那些杂七杂八的特权指令，我们能不能修改虚拟机系统的内核，把那些特权指令改得好看些？毕竟在多数情况下，我们并不需要对虚拟机刻意 “隐瞒” 虚拟化层的存在，而是要在虚拟机之间提供必要的隔离，同时又不造成太多性能开销。

Paravirtualization 这个单词的前缀是 para-，即 “with” “alongside” 之意。也就是虚拟机系统与虚拟化层（主机系统）不再是严格的上下级关系，而是互信合作的关系，虚拟化层要在一定程度上信任虚拟机系统。在 x86 架构中，虚拟化层（Virtualization Layer）和虚拟机系统的内核（Guest OS）都运行在 ring 0。

虚拟机系统的内核需要经过特殊修改，把特权指令改成对虚拟化层 API 的调用。在现代操作系统中，由于这些体系结构相关的特权操作都被封装起来了（例如 Linux 内核源码中的 arch/ 目录），比起二进制翻译需要考虑各种边角情况，这种对虚拟机内核源码的修改就简单一些了。

相比使用二进制翻译的全虚拟化（full virtualization），半虚拟化是牺牲了通用性来换取性能，因为任何操作系统都可以无修改地运行在全虚拟化平台上，而每个半虚拟化的操作系统内核都要经过人肉修改。

硬件辅助虚拟化 Intel VT-x

2006 年，Intel 和 AMD 等厂商相继将对虚拟化技术的支持加入到 x86 体系结构的CPU中（AMD-V，Intel VT-x/d），使原来纯软件实现的各项功能可以用借助硬件的力量实现提速，此即 硬件辅助的虚拟化。

Xen这种将 Guest OS 中的特权指令改成对虚拟化层 API 的调用方式并不通用，要去改 Guest OS 的代码，只能看作是一种定制。为了能够通用，又能够提高性能，就只能从硬件上去做文章了。通过对硬件本身加入更多的虚拟化功能，就可以截获更多的敏感指令，填补上漏洞。所以后来，以 Intel 的 VT-x 和 AMD 的 AMD-V 为主的硬件辅助的 CPU 虚拟化就被提出来（Intel VT 包括 VT-x （支持 CPU 虚拟化）、EPT（支持内存虚拟化）和 VT-d（支持 I/O 虚拟化））。

CPU 硬件辅助虚拟化在 Ring 模式的基础上引入了一种新的模式，叫 VMX 模式。它包括根操作模式（VMX Root Operation）和非根操作模式（VMX Non-Root Operation）。

引入这种模式的好处就在于，Guest OS 运行在 Ring 0 上，就意味着它的核心指令可以直接下达到硬件层去执行，而特权指令等敏感指令的执行则是由硬件辅助，直接切换到 VMM 执行，这是自动执行的，应用程序是感知不到的，性能自然就提高了。

这种切换 VT-x 定义了一套机制，称为 VM-entry 和 VM-exit。从非根模式切换到根模式，也就是从 Guest 切换到 Host VMM，称为 VM-exit，反之称为 VM-entry。

VM-exit ：如果 Guest OS 运行过程中遇到需要 VMM 处理的事件，比如中断或缺页异常，或者主动调用 VMCAL指令调用 VMM 服务的时候（类似于系统调用），硬件自动挂起 Guest OS，切换到根模式，VMM 开始执行。
VM-entry： VMM 通过显示调用 VMLAUNCH 或 VMRESUME 指令切换到非根模式，硬件自动加载 Guest OS 的上下文，Guest OS 开始执行。

基于内核的虚拟化 KVM

2007 年 2 月，Linux Kernel 2.6.20 合入了 KVM 内核模块，使用 KVM 的前提是 CPU 必须要支持虚拟化技术。

一般 KVM 只负责 CPU 和内存的虚拟化，I/O 的虚拟化则由另外一个技术来完成，即 QEMU。

KVM 是一种硬件辅助的虚拟化技术，支持 Intel VT-x 和 AMD-v 技术，怎么知道 CPU 是否支持 KVM 虚拟化呢？可以通过如下命令查看：

1	# grep -E '(vmx\|svm)' /proc/cpuinfo

如果输出是 vmx 或 svm，则表明当前 CPU 支持 KVM，Intel 是 vmx，AMD 是svm。

从本质上看，一个 KVM 虚拟机对应 Host 上的一个 qemu-kvm 进程，它和其他 Linux 进程一样被调度，而 qemu-kvm 进程中的一个线程就对应虚拟机的虚拟 CPU （vCPU），虚拟机中的任务线程就被 vCPU 所调度。

比如下面这个例子，Host 机有两个物理 CPU，上面起了两个虚拟机 VM1 和 VM2，VM1 有两个 vCPU，VM2 有 3 个 vCPU，VM1 和 VM2 分别有 2 个和 3 个线程在 2 个物理 CPU 上调度。VM1 和 VM2 中又分别有 3 个任务线程在被 vCPU 调度。

所以，这里有两级的 CPU 调度，Guest OS 中的 vCPU 负责一级调度，Host VMM 负责另一级调度，即 vCPU 在物理 CPU 上的调度。

我们也可以看到，vCPU 的个数，可以超过物理 CPU 的个数，这个叫 CPU 「超配」，这正是 CPU 虚拟化的优势所在，这表明了虚拟机能够充分利用 Host 的 CPU 资源，进行相应的业务处理，运维人员也可以据此控制 CPU 资源使用，达到灵活调度。

大数据时代 GFS/MapReduce/BigTable

2003 年，Google 发布 The Google File System，讲述了一种可扩展的分布式文件系统
2004 年，Google 发布 MapReduce: Simplified Data Processing on Large Clusters，讲述了大数据的分布式计算方式，即将任务分解然后在多台处理能力较弱的计算节点中同时处理，然后将结果合并从而完成大数据处理。
2006 年，Google 发布 Bigtable: A Distributed Storage System for Structured Data，讲述了用于存储和管理结构化数据的分布式存储系统，其建立在 GFS、MapReduce 等基础之上。该论文启发了后期的很多的 NoSQL 数据库，包括 Cassandra、HBase 等。

在 Google 的三篇论文发布之后，大数据时代宣告到来，于此同时，Hadoop 生态开始建立。

云计算吃螃蟹的人 AWS

2006 年，Amazon Web Services 开始以 Web 服务的形式向企业提供 IT 基础设施服务，包括弹性计算网云（EC2）、简单储存服务（S3）、简单数据库（SimpleDB）等，现在通常称为云计算。尽管云计算最早是由谷歌CEO Eric Schmidt，真正第一个吃螃蟹的人却是 Amazon。

操作系统级虚拟化 LXC

2008 年 6 月，Linux Container（LXC）发布 0.1.0 版本，其可以提供轻量级的虚拟化，用来隔离进程和资源，是 Docker 最初使用的容器技术支撑。

很多时候，我们并不是想在虚拟机里运行任意的操作系统，而是希望在不同的任务间实现一定程度的隔离。前面提到的虚拟化技术，每个虚拟机都是一个独立的操作系统，有自己的任务调度、内存管理、文件系统、设备驱动程序等，还会运行一定数量的系统服务（如刷新磁盘缓冲区、日志记录器、定时任务、ssh 服务器、时间同步服务），这些东西都会消耗系统资源（主要是内存），而且虚拟机和虚拟机管理器的两层任务调度、设备驱动等也会增加时间开销。能不能让虚拟机共享操作系统内核，又保持一定的隔离性呢？

chroot 的文件系统隔离给我们带来部分的思路，但是要成为一个真正的虚拟化解决方案，只有文件系统隔离是不够的。另外两个重要的方面是：

进程、网络、IPC（进程间通信）、用户等命名空间的隔离。使得虚拟机内部只能看到自己的进程，只能使用自己的虚拟网卡，进程间通信时不会干扰到虚拟机外面，虚拟机内的 UID/GID 与外面的独立。
资源的限制和审计。不能因为虚拟机内的程序 “跑飞了”，就占掉物理机器的所有 CPU、内存、硬盘等资源。必须要能统计虚拟机占了多少资源，并能够对资源进行限制。

上述两件事情就是 BSD 和 Linux 社区在进入 21 世纪以来逐步在做的。在 Linux 中，命名空间的隔离叫做用户命名空间，在创建进程时，通过指定 clone 系统调用的参数来创建新的命名空间；资源的限制和审计是 cgroups 做的，它的 API 位于 proc 虚拟文件系统中。

这种虚拟机里运行一个或多个进程、虚拟机与主机共享一个内核的虚拟化方案，被称为 操作系统级虚拟化 或 任务级虚拟化。由于 Linux Containers（LXC）从 Linux 3.8 版本开始被纳入内核主线，操作系统级虚拟化又被称为 “容器”（container）。为了与虚拟机是一个完整的操作系统的虚拟化方案相区分，被隔离执行的进程（进程组）往往不称为 “虚拟机”，而称为 “容器”。由于没有多余的一层操作系统内核，容器比虚拟机更加轻量，启动更快，内存开销、调度开销也更小，更重要的是访问磁盘等 I/O 设备不需要经过虚拟化层，没有性能损失。

云计算操作系统 OpenStack

2010 年 7 月，NASA 和 Rackspace 联合发起了 OpenStack 云操作系统开源项目。

OpenStack 要对云上的各种资源进行虚拟化：

计算：OpenStack 可以使用多种多样的虚拟化解决方案，如 Xen、KVM、QEMU、Docker。管理组件 Nova 根据各物理节点的负载决定把虚拟机调度到哪台物理机，再调用这些虚拟化解决方案的 API 来创建、删除、开机、关机等。
存储：虚拟机镜像如果只能存储在计算节点本地，那么不仅不利于数据的冗余，也不利于虚拟机的迁移。因此在云中，一般采用逻辑上集中、物理上分布式的存储系统，独立于计算节点，也就是计算节点对数据磁盘的访问一般是通过网络访问。
网络：每个客户要有自己的虚拟网络，如何让不同客户的虚拟网络在物理网络上互不干扰，就是网络虚拟化的事情。

除了最核心的虚拟化管理器 Nova，OpenStack 还有虚拟机镜像管理器 Glance、对象存储 Swift、块存储 Cinder、虚拟网络 Neutron、身份认证服务 Keystone、控制面板 Horizon 等众多组件。

容器的好管家 Docker

2014 年 6 月，Docker 基于 LXC 发布了第一个正式版本 v1.0。

Docker 是为系统运维而生，它大大降低了软件安装、部署的成本。软件的安装之所以是个麻烦事，是因为

软件之间存在依赖关系。比如，Linux 上依赖标准 C 库 glibc，依赖密码学库 OpenSSL，依赖 Java 运行环境；Windows 上依赖 .NET Framework，依赖 Flash 播放器。如果每个软件都带上它所有的依赖，那就太臃肿了，如何找到并安装软件的依赖，是一门大学问，也是各个 Linux 发行版的特色所在。
软件之间存在冲突。比如，程序 A 依赖 glibc 2.13，而程序 B 依赖 glibc 2.14；甲脚本需要 Python 3，乙脚本需要 Python 2；Apache 和 Nginx 两个 Web 服务器都想要监听 80 端口。互相冲突的软件安装在同一个系统里，总是容易带来一些混乱，比如 Windows 早期的 DLL Hell。解决软件冲突之道就是隔离，让多个版本在系统里共存，并提供方法来找到匹配的版本。

我们看看 Docker 如何解决这两个问题：

把软件的所有依赖关系和运行环境打包在一个镜像里，而不是使用复杂的脚本来在未知的环境里 “安装” 软件；
这个包含了所有依赖的包一定很大，因此 Docker 的镜像是层次化的，即应用程序的镜像一般是基于基本系统镜像，只需要传输和存储增量部分就行了，这依赖于Linux 的 AUFS（Another Union File System）。
Docker 使用基于容器的虚拟化，把每个软件运行在独立的容器里，避免了不同软件的文件系统路径冲突和运行时的资源冲突。

Docker 最开始基于 LXC 实现，后来则是基于 libcontainer。libcontainer 和 LXC 事实上都是基于 Linux 内核提供的 cgroups 资源审计、chroot 文件系统隔离、命名空间隔离等机制。

云原生时代 Kubernetes

2015 年 7 月 21 日：Kubernetes v1.0 发布！进入云原生时代。

实际上，上述从二十世纪四十年代以来的发展历程，主要说的是计算虚拟化的事情，也就是 CPU 虚拟化。CPU 虚拟化固然是核心中的核心，但是计算机其他组件的虚拟化也不容忽视，比如内存的虚拟化，包括存储、网络等在内的 I/O 虚拟化。

内存虚拟化

Virtual Memory

前面讲虚拟化的鼻祖 IBM M44/44X 的时候，提到它提出了 “分页” 的概念。也就是每个任务（虚拟机）似乎独占所有内存空间，分页机制负责把不同任务的内存地址映射到物理内存。如果物理内存不够了，操作系统就会把不常用的任务的内存交换到磁盘之类的外部存储，等那个不常用任务需要执行时再加载回来（当然，这种机制是后来才发明的）。这样，程序的开发者就不需要考虑物理内存空间有多大，也不需要考虑不同任务的内存地址是否会冲突。

现在我们用的计算机都有分页机制，应用程序（用户态进程）看到的是一片广阔无涯的虚拟内存（Virtual Memory），似乎整台机器都被自己独占；操作系统负责设置用户态进程的虚拟内存到物理内存的映射关系；CPU 中的 MMU（Memory Management Unit）负责在用户态程序运行时，通过查询映射关系（所谓的页表），把指令中的虚拟地址翻译成物理地址。

这里要说的不是这种虚拟内存，而是基于虚拟机的内存虚拟化，它们本质上是一样的，通过对虚拟内存的理解，再去理解内存虚拟化就比较容易了。

内存虚拟化也分为基于软件的内存虚拟化和硬件辅助的内存虚拟化，其中，常用的基于软件的内存虚拟化技术为「影子页表」技术，硬件辅助内存虚拟化技术为 Intel 的 EPT（Extended Page Table，扩展页表）技术。

Shadow Page Table

内存软件虚拟化的目标就是要将虚拟机的虚拟地址（Guest Virtual Address, GVA）转化为 Host 的物理地址（Host Physical Address, HPA），中间要经过虚拟机的物理地址（Guest Physical Address, GPA）和 Host 虚拟地址（Host Virtual Address）的转化，即：

其中前两步由虚拟机的系统页表完成，中间两步由 VMM 定义的映射表（由数据结构 kvm_memory_slot 记录）完成，它可以将连续的虚拟机物理地址映射成非连续的 Host 机虚拟地址，后面两步则由 Host 机的系统页表完成。如下图所示。

这样做得目的有两个：

提供给虚拟机一个从零开始的连续的物理内存空间。
在各虚拟机之间有效隔离、调度以及共享内存资源。

我们可以看到，传统的内存虚拟化方式，虚拟机的每次内存访问都需要 VMM 介入，并由软件进行多次地址转换，其效率是非常低的。因此才有了影子页表技术和 EPT 技术。

影子页表简化了地址转换的过程，实现了 Guest 虚拟地址空间到 Host 物理地址空间的直接映射。

要实现这样的映射，必须为 Guest 的系统页表设计一套对应的影子页表，然后将影子页表装入 Host 的 MMU 中，这样当 Guest 访问 Host 内存时，就可以根据 MMU 中的影子页表映射关系，完成 GVA 到 HPA 的直接映射。而维护这套影子页表的工作则由 VMM 来完成。

由于 Guest 中的每个进程都有自己的虚拟地址空间，这就意味着 VMM 要为 Guest 中的每个进程页表都维护一套对应的影子页表，当 Guest 进程访问内存时，才将该进程的影子页表装入 Host 的 MMU 中，完成地址转换。

我们也看到，这种方式虽然减少了地址转换的次数，但本质上还是纯软件实现的，效率还是不高，而且 VMM 承担了太多影子页表的维护工作，设计不好。

为了改善这个问题，就提出了基于硬件的内存虚拟化方式，将这些繁琐的工作都交给硬件来完成，从而大大提高了效率。

Extended Page Table

下图是 EPT 的基本原理图示，EPT 在原有 CR3 页表地址映射的基础上，引入了 EPT 页表来实现另一层映射，这样，GVA->GPA->HPA 的两次地址转换都由硬件来完成。

这里举一个小例子来说明整个地址转换的过程。假设现在 Guest 中某个进程需要访问内存，CPU 首先会访问 Guest 中的 CR3 页表来完成 GVA 到 GPA 的转换，如果 GPA 不为空，则 CPU 接着通过 EPT 页表来实现 GPA 到 HPA 的转换（实际上，CPU 会首先查看硬件 EPT TLB 或者缓存，如果没有对应的转换，才会进一步查看 EPT 页表），如果 HPA 为空呢，则 CPU 会抛出 EPT Violation 异常由 VMM 来处理。

如果 GPA 地址为空，即缺页，则 CPU 产生缺页异常，注意，这里，如果是软件实现的方式，则会产生 VM-exit，但是硬件实现方式，并不会发生 VM-exit，而是按照一般的缺页中断处理，这种情况下，也就是交给 Guest 内核的中断处理程序处理。

在中断处理程序中会产生 EXIT_REASON_EPT_VIOLATION，Guest 退出，VMM 截获到该异常后，分配物理地址并建立 GVA 到 HPA 的映射，并保存到 EPT 中，这样在下次访问的时候就可以完成从 GVA 到 HPA 的转换了。

有人也许会担心增加的一级映射关系会减慢内存访问速度，事实上不论是否启用二级内存翻译（SLAT），页表高速缓存（Translation Lookaside Buffer，TLB）都会存储虚拟地址（VA）到机器地址（MA）的映射。如果 TLB 的命中率较高，则增加的一级内存翻译不会显著影响内存访问性能。

EPT转换跟SPT相比有两点优化：

客户机内部的Page Fault等不会引起VM-Exit，因此大大减少了VM-Exit的数量，从而提高了性能
EPT只需要维护一张EPT页表，而不需要像“影子页表”那样为每个客户机进程的页表维护一张影子页表，从而也减少了内存的开销

I/O虚拟化

首先我们来回顾一下 I/O 模型：

全虚拟化 QEMU

下图是 QEMU 以纯软件方式模拟 I/O 设备的示意图：

当 Guest 中的设备驱动程序发起 I/O 操作请求时，KVM 模块中的 I/O Trap Code 会拦截这次 I/O 请求，经过处理后将本次 I/O 请求的信息存放到 I/O sharing page 中，并通知用户空间的 QEMU
QEMU 从 I/O sharing page 中获得 I/O 操作的具体信息后，交由硬件模拟代码（QEMU I/O Emulation Code）来模拟本次 I/O 操作
模拟代码负责和实际的设备驱动进行交互，模拟此次 I/O 操作，获取返回结果并将其放回 I/O Sharing Page 中
最后，KVM 中的 I/O Trap Code 负责读取 I/O Sharing Page 中的操作结果，并将结果返回到客户机中

需要注意的是：

客户机作为一个QEMU 进程，在等待 I/O 时也可能被阻塞
当客户机通过 DMA 方式访问大块 I/O 时，QEMU 不会把 I/O 操作结果放到 I/O 共享页中，而是通过内存映射的方式将结果直接写进客户机的内存中，然后通过 KVM 模块告诉客户机 DMA 操作已经完成

优缺点

优点：可以通过软件模拟出各类硬件设备，而无需修改客户机操作系统
缺点：每次 I/O 操作的路径较长，有较多的VM-Entry、VM-Exit发生，需要多次上下文切换，也需要多次数据复制，因此性能较差

半虚拟化 VirtIO

半虚拟化方式需要借助 virtio 实现，在 GuestOS 中需要安装前端驱动（块设备驱动、网络设备驱动、PCI设备驱动等），QEMU中集中调用后端驱动，两者之间通信通过 virtio-ring 实现。这种方案无需频繁切换上下文，减少了内存拷贝次数，I/O效率较高，目前是公有云虚拟机选择的主流方案。

Virtio 分为了前端驱动和后端驱动：

前端驱动：Frontend Driver，是位于客户机内核中的驱动程序模块，如virtio_blk、virtio_net等
后端驱动：Backend Driver，在宿主机用户空间的 QEMU 中实现

在前后端驱动之间，还定义了两层来支持客户机和 QEMU 之间的通信：

virtio 层：虚拟队列接口，它在概念上将前端驱动程序附加到后端处理程序。一个前端驱动程序可以使用 0 个或多个队列，具体数量取决于需求

例如：virtio_net网络驱动程序使用两个虚拟队列（接收/发送），而virtio_blk驱动仅使用一个虚拟队列。
虚拟队列实际上被实现为客户机操作系统和 Hypervisor 之间的衔接点，但它可以通过任意方式实现，前提是客户机操作系统和 virtio 后端程序都遵循一定的标准，以相互匹配的方式实现它。

virtio-ring 层：实现了环形缓冲区（ring buffer），用于保存前端驱动和后端处理程序执行的信息，并且它可以一次性保存前端驱动的多次 I/O 请求，再交由后端驱动批量处理，最后实际调用宿主机中的设备驱动来完成物理层面上的 I/O 操作。

这样做就可以根据约定实现批量处理而不是客户机中每次 I/O 请求都需要处理一次，从而提高了客户机与 Hypervisor 之间信息交换的效率

优缺点

优点：可获得很好的 I/O 性能，接近 Native。所以在使用 KVM 时，如果宿主机和客户机都支持 Virtio，一般都推荐使用 Virtio 以达到更高的 I/O 性能
缺点：必须在客户机中安装前端驱动，且按照 Virtio 的规定格式进行数据传输

以virtio为标准的半虚拟化在其追寻性能的道路上也历经了三个演进方案：virtio-net、vhost-net和vhost-user。

virtio-net

如下图所示，KVM负责为程序提供虚拟化硬件的内核模块，QEMU利用KVM模拟VM运行环境，包括处理器和外设等；Tap是内核中的虚拟以太网设备，可以理解为内核bridge。

当客户机发送报文时，它会利用消息通知机制通知KVM，并退出到用户空间的QEMU进程，然后由QEMU对Tap设备进行读写（需要说明的是，QEMU是VM运行的主进程，因此才有退出这一说）。在该模型中，宿主机、客户机和QEMU存在大量的上下文切换，以及频繁的数据拷贝、CPU特权级切换，因此性能差强人意。其函数调用路径如下：

两次报文拷贝导致性能瓶颈，另外消息机制处理过程太长：报文到达Tap时内核通知QEMU，QEMU利用IOCTL向KVM请求中断，KVM发送中断到客户机。

vhost-net

针对virtio-net的优化是把QEMU从消息队列的处理中解放出来，直接在宿主机实现了一个vhost-net内核模块，专门做virtio的后端，以此减少上下文切换和数据包拷贝。其结构如下图所示，以报文接收过程为例。数据通路直接从Tap设备接收数据报文，通过vhost-net内核模块把报文拷贝到虚拟队列中的数据区，从而使客户机接收报文。消息通路是当报文从Tap设备到达vhost-net时，通过KVM向客户机发送中断，通知客户机接收报文。

在数据通路层面，vhost-net减少了内存拷贝，但是由于其后端运行在内核态，仍然存在性能瓶颈。

vhost-user

vhost-user是采用DPDK用户态后端实现的高性能半虚拟化网络I/O。其实现机理与vhost-net类似，但是整个后端包括ovs（openvswitch） datapath全部置于用户空间，更好的利用DPDK加速。然而由于OVS进程是用户态进程，无权限访问客户机内存，因此需要使用共享内存技术，提前通过socket通信在客户机启动时，告知OVS自己的内存布局和virtio中虚拟队列信息等。这样OVS建立起对每个VM的共享内存，便可以在用户态实现上述vhost-net内核模块的功能。

vDPA加速的vhost-user

在DPDK加速的vhost-user方案中，还有一次内存拷贝。半虚拟化中仅剩的性能瓶颈也就在这一次拷贝中，intel推出了一款硬件解决方案，直接让网卡与客户机内的virtio虚拟队列交互，把数据包DMA到客户机buffer内，在支持了virtio标准的基础上实现了真正意义上的零拷贝。

在18.05以后的DPDK版本中，已经有支持vDPA的feature供选择了。

PCI Pass-through

除了全虚拟化和准虚拟化，还有一种直接操作硬件的方式，无需KVM参与，如 Intel 的 VT-d，AMD 的 AMD-V。运行在 VT-d 平台上的 QEMU/KVM，可以分配网卡、磁盘控制器、USB控制器、VGA 显卡等设备供客户机直接使用。

优势：执行 I/O 操作时大量减少甚至避免 VM-Exit 陷入到 Hypervisor 中，极大地提高了性能
劣势：主板上的空间有限，允许添加的 PCI 和 PCIe 设备是有限的，随着硬件增加，成本也会加大

对于性能的追求是永无止境的，除了上述全虚拟化、半虚拟化两种I/O虚拟化以外，还有一种非常极端的做法。让物理设备穿过宿主机、虚拟化层，直接被客户机使用，这种方式通常可以获取近乎native的性能。

这种方式主要缺点是： 1.硬件资源昂贵且有限。 2.动态迁移问题，宿主机并不知道设备的运行的内部状态，状态无法迁移或恢复。

DPDK针对这两点问题都做了一定程度的解决。另外还提供了一种基于硬件的PF（物理功能）转VF（虚拟功能），这相当于在网卡层面上就已经有了虚拟化的概念，把一个网卡的PF虚拟成几十上百个VF，这样可以把不同的VF透传给不同的虚拟机，这就是我们最熟悉的SR-IOV。

对于I/O透传在虚拟化环境中最严重的问题不是性能了，而是灵活性。客户机和网卡之间没有任何软件中间层过度，也就意味着不存在负责交换转发功能的I/O栈，也就不会有软件交换机。那么如果要想有一台server内部的软件交换功能如何实现呢。业界的主要做法是把交换功能完全下沉到网卡，直接在智能网卡上实现虚拟交换功能。这又带来了另一个问题，成本和性能的权衡。

而DPDK 18.05以后的版本似乎也解决了这一灵活性问题，为了充分发掘标准网卡（区别于智能网卡）在flow（流）层面上的功能，推出了VF representer。可以直接将OVS上的流表规则下发到网卡上，实现网卡在VF之间的交换功能，这样就实现了高效灵活的虚拟化网络配置。

写在最后

本文是对虚拟化概览，也是作为虚拟化技术系列的第一篇。开篇概览对整体有了基本的认识，毋庸置疑，里面涉及到的技术细节凡凡总总。掌握了大的方向，后续本系列可以继续扩展，拓展到网络虚拟化、存储虚拟化、GPU 虚拟化等等。不管细节如何，我们做的都是抽象。

纵观虚拟化技术的发展历史，可以看到它始终如一的目标就是实现对 IT 资源的充分利用。虚拟化本质是对 IT 资源的抽象，沿着虚拟化的道路继续发展，我们看到了云计算的开花结果，实现了更上层的对企业业务能力的抽象。抽象之外，我们也可以在这个过程中不断的看到软硬件结合与替代的思路，做一件事软件与硬件只是不同的路径，到底路该怎么走，就得看我们想到哪了。

参考资料

Key Numbers Every Programmer Should Know

2020-03-10T07:36:30.000Z

本文整理了作为程序员应该知道的关键数字，封面图源自伯克利每年更新的动态图表，可视化的展示了每年各种操作的耗时变化，非常形象。

数据变化

这里是 2020 年的具体数据：

           1   ns - CPU L1 CACHE reference
           1   ns - speed-of-light (a photon) travel a 1 ft (30.5cm) distance
           3   ns - CPU L1 CACHE Branch mispredict
           4   ns - CPU L2 CACHE reference
          17   ns - MUTEX lock/unlock
          44   ns - Send 2K bytes over Commodity NETWORK
          71   ns - CPU cross-QPI/NUMA best  case on XEON E5-46*
         100   ns - own DDR MEMORY reference
         135   ns - CPU cross-QPI/NUMA best  case on XEON E7-*
         202   ns - CPU cross-QPI/NUMA worst case on XEON E7-*
         325   ns - CPU cross-QPI/NUMA worst case on XEON E5-46*
       2,000   ns - Compress 1K bytes with Zippy PROCESS
       3,000   ns - Read 1 MB sequentially from MEMORY
      49,000   ns - Read 1 MB sequentially from SSD
     825,000   ns - Read 1 MB sequentially from DISK
     500,000   ns - Round trip within a same DataCenter
   2,000,000   ns - DISK seek
 150,000,000   ns - Send a NETWORK packet CA -> Netherlands
|   |   |   |
|   |   | ns|
|   | us|
| ms|

根据伯克利每年的数据，可以总结出：

从 2005 年后数据有所减少，但是基本稳定的有
- L1 和 L2 的缓存访问稳定在 ns 量级
- 互斥锁的代价稳定在 17 ns 量级（关于互斥锁的代价，以后可以专门讨论
- 访问本地内存的代价基本稳定在 100 ns
- 同一个数据中心的 RTT 稳定在 500 us
- 从加州到荷兰的 RTT 稳定在 150 ms

    1 ns        L1 cache
    3 ns        Branch mispredict
    4 ns        L2 cache
   17 ns        Mutex lock/unlock
  100 ns        Main memory (RAM)
2 000 ns (2µs)  1KB Zippy-compress

还有很多性能现在获得巨大的改善
- 通过网络发送 2KB 数据损耗的时间，从 05 年的 8000ns 改善到现在的 44ns
- 从内存顺序读出 1MB 数据损耗的时间，从 05 年的 95,000 ns 改善到现在 3,000 ns
- 从 SSD 顺序读出 1MB 数据损耗的时间，从 05 年的 2,000,000 ns 改善到现在 49,000 ns，也就是从 2ms 优化到 50us 量级
- 从磁盘顺序读出 1MB 数据损耗的时间，从 05 年的 7,000,000 ns 改善到现在 825,000 ns，也就是从 7ms 优化到 800us 量级

数据理解

下面从定性角度来理解这些数据。

内存、SSD、磁盘、网络之间速度的巨大差别了，粗略地讲：

SSD比内存慢 10 倍
磁盘比内存慢 300 倍，比 SSD 慢 30 倍
网络比内存慢 10 万倍，比硬盘慢 200 倍

Clock

最开始为了提高计算机速度，选择将 CPU 的频率提高，后来计算机的频率到达 3GHz 之后，很难再提高了，所以访问 Cache 和内存的速度也基本不再变化了。

Core i7 Xeon 5500 Series Data Source Latency (approximate)               [Pg. 22]

local  L1 CACHE hit,                              ~4 cycles (   2.1 -  1.2 ns )
local  L2 CACHE hit,                             ~10 cycles (   5.3 -  3.0 ns )
local  L3 CACHE hit, line unshared               ~40 cycles (  21.4 - 12.0 ns )
local  L3 CACHE hit, shared line in another core ~65 cycles (  34.8 - 19.5 ns )
local  L3 CACHE hit, modified in another core    ~75 cycles (  40.2 - 22.5 ns )

remote L3 CACHE (Ref: Fig.1 [Pg. 5])        ~100-300 cycles ( 160.7 - 30.0 ns )

local  DRAM                                                   ~60 ns
remote DRAM                                                  ~100 ns

NIC

网卡的速度越来越快，从最早的万兆网卡，到现在100Gb的网卡。

网络带宽越大，传输延时越小。

RTT

roundtrip in same datacenter 和 packet roundtrip CA to Netherlands 耗时没有任何变化，一致保持 500us 和 150ms，原因很好理解，毕竟信号在光纤中以近似光速传播，该时间由物理规律决定，这里说的是传播延时。

SSD

SSD 的随机读取速度从 1990 年到 2019 年变化不同，不过从 19us 提升到 16us，但顺序读取速度却从 50ms 提升到 49us，提升巨大。

DISK

从 2006 年开始，前两列操作的数值不再变化，只有后两列在变化，说明近十年来存储介质的速度有较大提升。

Mutex

Mutex的lock或unlock操作代价是17 ns。（所以加锁解锁的操作不耗费时间，锁的大量竞争才耗费，思路降低锁粒度，每个锁对象只保护一小部分数据）

写的代价是很昂贵的

数据存储是事务型的：写需要磁盘访问
磁盘访问意味着磁盘寻道
拇指法则（经验规则）：一次磁盘寻道就往往浪费了10 ms（毫秒）
简单的计算一下： 1s / 10ms = 100 seeks / sec, 也就是1秒磁盘最大寻道次数在100次

所以，根据以上法则，要时刻考虑你的数据大小和数据结构，并且要以批量的思想来做，批量写和批量读。

Reference

The Big Short

2020-02-20T09:28:22.000Z

没错，这里是最近新开的另一个专栏「资本不眠」，这个专栏会总结股票市场的交易笔记，比如第一期聊到的 MACD；也会聊在资本世界里面各种有意思的事情，比如这一期就是通过 The Big Short这部电影对 2007 年到 2008 年那次由 次贷危机引发的全球经济危机进行的梳理复盘。如果以后有机会的话，我会专门在这个专栏复盘自己在股市中的每日操作（当然，我是十分期待自己能够开这个坑的，如果我对自己每次操作都能够知其所以然的话）。

哦对了，最近 A 股的半导体和新能源等科技股都炒疯了。呵，愚蠢的人类。

大崩盘

让我们再回顾一下那一年的大崩盘

这是一场席卷全球的金融风暴，它承接过去一百年内发生的种种，在 2008 年达到了高潮，彻底改变了全世界成千上万人们的生命轨迹。尽管已经过去了十二年，我们还是能够感受这场风暴的余波：英国脱欧、特朗普当选莫不如是，甚至你都能从最近奥斯卡最佳电影 寄生虫感受到那场危机带来的影响。

那么今天，我会从头梳理，在那场危机中到底发生了什么？是什么导致了这场危机？它对我们到底造成了那些影响？

主角

在 2000 年代，经过多轮的兼并重组，美国的金融行业被几家巨型公司所主宰，下面是我梳理的这场金融风暴中的主要玩家：

总的来说，主要分为以下几个部分，他们是管理着数万亿美元资产的美国五大投资银行和四大商业银行，影响着上亿人养老金和保险的三大保险公司，为这场游戏制定规则的美联储、财政部以及美国证券交易委员会，作为第三方应该独立的评级机构。

剧本

在这场危机中，他们粉墨登场，表现各异，最后的结局也大相径庭：

2007 年 4 月，开始有从事次级抵押贷款的公司申请破产
2007 年 10 月 9 日，道琼斯指数达到最高收盘 14164点
2008 年 3 月 17 日，美国第五大投资银行Bear Stearns现金流耗尽，美联储帮助其被 JPMorgan Chase收购
2008 年 9 月 7 日，美国最大两家房地产公司 房地美 和 房利美 被美国联邦政府接管
2008 年 9 月 15 日
- 在美联储拒绝担保其贷款后，美国第三大投资银行 雷曼兄弟 破产，导致道琼斯指数下跌 504 点，为七年来最大跌幅。
- 美国第四大投资银行 Merrill Lynch 被美国银行收购。
2008 年 9 月 16 日，美国最大的保险公司 AIG 资不抵债，美联储宣布提供 850亿美元短期紧急贷款，接管 AIG。
2008 年 9 月 19 日，美国财政部长 Paulson 和美联储主席 Ben Bernanke 提出不良资产解决方案(Troubled Assets Relief Program, TARP)要求国会授权支出7000 亿美元以允许美国财政部从金融机构中购买不良资产。此救市方案获得投资者积极反应，但是其注资计划仍需众议院落实。
2008 年 9 月 21 日，幸存的两家投资银行 高盛 和 摩根士坦利申请从 投资银行 转变为 银行控股公司以更多的获得来自美联储的救助。
2008 年 9 月 29 日，美国国会否决了包含了 7000 亿美元 TARP 计划的经济稳定紧急法案，造成道琼斯指数指数当日下跌 700 点，创历史以来单日最大跌幅。
2008 年 10 月 3 日，国会通过经济稳定紧急法案，该方案同意美国财政部从九大银行购买优先股以为其纾困：
- 花旗集团：450 亿美元
- 美国银行：450 亿美元
- AIG：400 亿美元
- 摩根大通：250 亿美元
- 富国银行：250 亿美元
- 高盛：100 亿美元
- 摩根士坦利：100 亿美元
- 纽约梅隆银行：30 亿美元
- 道富银行：20 亿美元
2008 年 12 月 16 日，美联储降低基金利率至 0。
2009 年 1 月，美国三大汽车制造商 通用电气、克莱斯特和 福特汽车申请 TARP计划的纾困。
2009 年 3 月 6 日，道琼斯指数触及最低 6443 点。

当我一个字一个字敲下这场危机时间线的时候，我的脑海里只有一个词：一地鸡毛。可以看到，危机早在2007年已经发出了信号，可是绝大部分人都选择忽略它，股市继续狂热火爆并一度达到巅峰。直到最后，灰犀牛如期而至，整个市场一地鸡毛。

专业术语

众所周知，次贷危机源自于房地产泡沫。可是，什么是次贷? 为什么房地产的泡沫会导致全球的金融海啸呢？有人说这归咎于华尔街精英们发明的各种神奇的金融衍生品，扔出了一堆的专有名词。绝大部分人看到这里就开始晕了，WTF，什么是 MBS，什么是 CDO，什么是 CDS。别怕，所有的这些就是华尔街故意发明出来的看起来高大上的一些词。相信我，所有接受过基本数学教育的人都能够弄懂他们到底在玩些什么花样。接下来，让我们来学一些术语：）

MBS

Mortgage Backed Securities，也即房贷抵押证券

首先忽略这个看起来不明所以的名词，我们知道它和房贷有关。房贷我们很清楚，你为了买房向银行申请贷款，银行对你进行信贷审核，符合条件的人可以获得贷款。

在这种模型下，住房贷款需要花费几十年的时间才能偿还，如果借贷者信用不够，银行面临着违约风险，所以银行在发放住房贷款的时候都十分谨慎。所以，当时的银行业完全是垃圾：

In the late 70s, banking wasn’t a job you went into to make large sums of money. It was a fucking snooze. Filled with losers, like selling insurance or accounting. And if the banking was boring, then the bond department at the bank was straight-up comatose.

然而当时的现状是，由于婴儿潮（1946-1964年）带来的人口膨胀，导致了住房短缺。房贷需求始终存在，有需求就有供给，Leiws Ranieri在 1977 年发明了MBS。

MBS是什么？一句话说，就是银行或者房产中介把不同的房贷抵押卖给投资银行，投行将这些房贷抵押打包起来，发起 房贷抵押债券 来融资，把借款人偿还的分期本金和利息传递给投资者（债券持有人）。

这种方式对银行来说当然是一笔好生意了，不仅仅把风险都转嫁给投资者，自己还回笼了资金赚了息差和服务费。

问题是，投资者真的这么傻吗？前面说的银行面临的风险此时依然存在，而且这些证券是 non-agency的，没有国家担保，完全不值得信赖。

问题就两个，一是谁担风险，二是谁来担保。

第一个问题：谁来担风险？

投行把从商业银行、贷款公司、中介公司收集来的房贷抵押，形成一个资产池。然后找来评级机构，将这个资产池里面的每一份 MBS 做一个评级。

在这个资产池里，按照信用评分高低，将MBS分为Prime, Alt-A, Subprime三档。这里的 Subprime，说的就是次一级别的贷款，也即次级贷，我们说的次贷危机(Subprime Crisis)就是来源于此。

由于 Prime 和 Alt-A 的评级高，很快就被抢光了，问题是怎么对 Subprime 这档好好设计，让它能够更好的卖出去。这里就是对 Sumprime 这一档进行分层(tranching)，然后在对这些层次进行评级：AAA, AA, A, BBB, BB,B…，形成优先级、夹层、劣后级不同风险和收益率的结构化份额。

评级越高的风险越低，期望回报也越低。反之评级越低的风险越高，期望回报也就越高（因为风险越高，银行的贷款利率也就越高，相应的期望回报也就越高）

当这一步没有任何问题，只是将不同的房贷抵押进行风险评级，以满足不同风险偏好的投资者。

第二个问题：谁来担保？

这就引入了 CDO。

CDO

collateralized debt obligation，担保债务凭证

话说回来，评级好的 MBS ，比如 Prime 和 Alt-A 的 MBS 都很快被卖出去了，毕竟风险低和收益可观。那么 Subprime 的 MBS 怎么办呢？于是华尔街投行的精英们发明了 CDO。

CDO 是什么？它是一种带有担保性质的抵押债券，这里的担保方可以是第三方，比如AIG, Ambac, MBIA这些大型保险公司。

那么问题来了，这么高风险的tranche（贷款中的一部分，华尔街发明的晦涩难懂的词，具体就是 MBS 中的B级部分），保险公司为什么要给他们担保啊？

投行说，数学证明了这样的资产配置风险极低，更何况现在房价蹭蹭往上涨，即便是有人违约断供了，我们还是可以收回房产来拍卖，全国的房子集体断供这是不可能。
这时候评级机构又跳出来了，“咳咳，经过我们的评估，这些整合的MBS风险极低，我们给评个 double-A, 不给trible-A的原因是怕他们骄傲。” 事实上，大部分BB/BBB级的tranches被直接提升为AAA。

对于保险公司来说，这个数学模型看起来好像很厉害，而且房价也一直在涨，即使收不回贷款拿房产抵押投行也可以盈利。再加上评级机构都这么捧场，自己还能拿保费，不干白不干。

So mortgage bonds are dogshits, CDOs are dogshit wrapped in catshit.

正如剧中人所说，CDO就像一个垃圾场，把各种垃圾倒进去，重新回收、打包、分类。经过这么一折腾，B 级评级直接被提升为 AAA 级。

厉害的是，CDO A可以包含CDO B，CDO B也可以包含CDO A，他们又可以组合成CDO C（包含CDO的CDO，CDO的平方…… $CDO^2$）。在实际的金融市场中，不仅有$CDO^2$，甚至还有$CDO^3$（包含$CDO^2$的CDO）、$CDO^4$（包含$CDO^3$的CDO）。

在那几年，华尔街精英们不断的用 CDO 打包再打包将其作为证券买到市场上，因为一堆风险高的资产组合收益率普遍大于一堆风险低的资产组合的收益率，房地产继续繁荣，CDO 得到了市场的广泛追捧。

CDS

Credit Default Swap，信用违约互换

我们继续聊，刚才我们提到了投行让保险公司给他们担保，这实际上就是一种保险。

保险是什么？投保人给保险公司保费，如果出现了意外事故，保险公司则需要给投保人赔偿。对应到上面的 CDO 产品，投资银行为上面的 MBS 投保，如果标的资产（这里的标的资产就是住房贷款抵押）没有违约，投保人（也就是投资银行，Protection Buyer）需要按季度给被投保人（也就是保险公司，Protection Seller）支付保费。这对保险公司来说听起来是一件很棒的事情，毕竟房地产行情持续火热，住房贷款在同一时间集体违约的概率也那么小，CDO 怎么会违约呢？这种保费不赚白不赚。

到现在为止，我们还只是在谈保险，如果仅仅是这样，房地产的次贷危机还不至于引发整个金融海啸。

对，CDS！

对于持有 CDO 的投资者来说，CDS 相当于保险机制。购买了 CDS 的投资者，按季度向保险公司支付保费。如果 CDO发生违约，保险公司承诺会补偿投资者的损失。是的，这个和保险听起来没有什么区别。

但是问题在于，CDS 不是简单的保险。在保险领域，你只能对拥有的东西投保，比如我拥有一处房地产，我只能对它投保一次。但是对于 CDS，它可以允许任何人对这个房子进行投保，换句话说，可能有上百个人对同一个标的资产投保。

那么，如果这个房子烧毁了呢，那么保险公司（比如这里的 AIG）除了要向作为房地产拥有者的我赔偿损失，还要向成千上万购买了 CDS 的投机者赔偿。这样一来，在系统的损失就会成比例的扩大，Boom！

再来回顾下 CDS 的特点：

CDS 所投保的资产可以跟投资者没有任何关系，这是区别于保险的最大特点
CDS 可以面向各类投资者，个人、银行、对冲基金、社保、养老金、保险公司等等
CDS 和 CDO 一样，也可以在一级、二级市场交易，可以使投行转移风险。

到这一步，CDS 已经变成了双方对违约事件的对赌，承保方相当于博彩行业里对某事件发生概率而自行计算并开出赔率的庄家。买家交付一定比例的保费，产品违约即由承保方赔付，不一定是保险公司，也可以是金融机构，例如高盛。华尔街的人，把 CDS 叫做 Synthetic CDO。利用CDS灵活性，可以制造出无数个赌场。我们可以赌MBS，可以赌cash CDO，也可以赌某一层tranche，还可以赌价格的跌幅。

关于这里的 CDS 交易，还要在仔细说一说。对于一般的投资者，他们可以作为 CDS 的卖方（Protection Seller），来获取固定收益，是卖出看跌期权（Sell CDS），认为后市看涨。而对于 Michael Burry来说，他是 CDS 的买方（Protection Buyer），定期支付保费，是买入看跌期权 （Buy CDS），赌房地产市场下跌，博高杠杆的违约保金收益。原来这个买方角色一直是由发行bonds的投行担任，是为了卖产品。

对应到 2008 年次贷危机，我们来看一看各个玩家到底都做了些什么事情：

AIG销售了价值至少 5000 亿美元的 CDS。当房地产泡沫破裂时，账上资金耗尽，不得不被财政部接管，用纳税人的钱为他们买单。
高盛从 AIG 购买了价值至少 200 亿美元的CDS，数额大到连高盛也担心 AIG 会破产。与此同时，高盛还在大量售卖了 CDO，所以他们的客户损失的越多，他们也就赚的越多。
不光是高盛，摩根士坦利、摩根大通、美林、雷曼兄弟也买入了数十亿美元的 CDS。
那么，为什么这些 CDO 能够被大众投资者买入呢？评级机构，他们的 AAA 评级。在整个房地产泡沫期间，评级机构们发放了大量的 AAA 评级，并从中获利众多。
救市计划开始实行，拯救 AIG 花费了纳税人1500 亿美元，其中 610 亿美元被支付给高盛。与此同时，美国财政部长 Paulson 要求 AIG 放弃起诉高盛和其他银行的权利。

大而不倒

在回顾这场金融危机的时候，脑海中一直有个问题。

为什么政府一定要出手呢？为什么要用纳税人的钱来给他们收拾烂摊子呢？就让他们倒闭不行吗？

是的，政府担保了贝尔斯登使其被摩根大通收购，政府接管了房利美和房地美，但是政府不想传递出一种信息说自己会收拾所有华尔街的烂摊子，于是没有帮助雷曼兄弟，但是后面事态的发展让财政部和美联储无法再旁观下去。

整个市场失去了信心，银行挤兑，市场失去了流动性，就连仅存的两家投行高盛和摩根士坦利都面临着巨大的撤资和空头压力。与此同时，AIG 深陷困境，作为全美最大的保险公司，影响着成千上万人的退休金。市场的恐慌让信贷停滞，就连像通用电气和克莱斯勒这种汽车制造业公司也出现了财务危机。危机持续扩散，世界上成千上万的公司出现衰退，消费者收紧钱包，成千上万的人失去了他们的工作、住房，整个金融系统停摆，濒临崩溃。

如果 AIG 倒下，一切不堪设想，政府必须出手。之后呢？

In the years of followed, hundreds of bankers and rating-agency’s executives went to jail. The SEC was completely overhauled and congress have no choice but to break up the big banks and regulate the mortgage and derivative industries.
Just kidding!
Banks took the money the American people gave them and used it to pay themselves huge bonuses and lobby the congress to kill the reform, and then they blame immigrants and poor people. And this time, even teachers.

历史循环

Break up the big banks

这件事情我们不是没有做过。你不觉得在看前面主角的时候，Morgan Stanley 和 JPMorgan Chase两家听起来好像有点关联吗？是的，在那次著名的大萧条发生之前，他们俩是一家公司。（大萧条也是一个很值得研究的问题，这里先挖个坑）

当时美国政府认为是超级银行（Universal bank）是造成大萧条的原因，于是出台法案禁止商业银行同时从事投资银行业务。在此背景下，摩根银行一分为三，JP摩根成为纯商业银行，摩根士丹利成为投资银行，还有一个摩根负责海外业务，于1990年被德国银行收购。当时的JP摩根，就是摩根大通的前身，2000年并入摩根大通，不再独立存在。

然而，正如中国上千年农业社会的治乱历史循环一样：王朝建立土地重新分配 -> 小农经济土地兼并 -> 农民失地矛盾加重 -> 天灾触发造成叛乱 -> 新的王朝建立开始下一轮循环。看这次金融危机的历史，突然也有了这种感觉。拆分大银行，我们历史上并不是没有做过，但是资本的惯性就是倾向于兼并垄断，拆分之后小公司还是会不停的并购，再一次变成更大的公司，就像这一次发生的一样。

我们这一次没有拆分大的公司，只是因为矛盾还没有那么尖锐而已，真正的矛盾还在酝酿。有人说，科学技术的快速发展使得我们可以脱离这种历史循环。真的是这样吗？我持悲观态度，下一次大萧条并不是没有可能。

写在最后

这一篇「资本不眠」是我在看了 The Big Short这部电影的时候一时兴起，尝试去理解那次金融海啸到底发生了什么。在这个过程中，我去搜索那些名词到底意味着什么，这场海啸中到底是谁在参与这次游戏，为什么它会造成那么大的后果，它对于我们又意味着什么。为此，我又看了 Inside Job 和 Too Big To Fail两部纪录片，分别从不同的角度去看这场危机。

看的越多，我越来越意识到，这次 房地产泡沫 绝不是偶然。它和 2000 年的那场 互联网泡沫密切相关，它和 90 年代冷战后美国霸主地位的建立密切相关，它和 80 年代的里根大循环密切相关，它和 70 年代布雷顿森林体系的解散密切相关，它和那两次世界大战密切相关……

到这里就结束了吗？哦不，上面这么多的坑都还没有填呢，还有 Margin Call 和 Panic: The Untold Story of the 2008 Financial Crisis还没有看呢。资本永不眠，这里只是一个程序猿尝试用自己的方式去理解这个世界，下次再见：）

P.S. 本来想把所有的这些内容做成一个视频传到 B 站上的，但是发现视频剪辑真的是一个深坑，下次一定？

参考资料

【计算机体系结构】NUMA架构详解

2020-01-08T09:07:40.000Z

本博文是我对计算机系统中的NUMA 架构做的备忘笔记，参考资料来自于互联网。

基本概念

SMP VS. AMP

SMP(Symmetric Multiprocessing)，即对称多处理器架构，是目前最常见的多处理器计算机架构。
AMP(Asymmetric Multiprocessing)，即非对称多处理器架构，则是与SMP相对的概念。

那么两者之间的主要区别是什么呢？总结下来有这么几点，

SMP的多个处理器都是同构的，使用相同架构的CPU；而AMP的多个处理器则可能是异构的。
SMP的多个处理器共享同一内存地址空间；而AMP的每个处理器则拥有自己独立的地址空间。
SMP的多个处理器操通常共享一个操作系统的实例；而AMP的每个处理器可以有或者没有运行操作系统，运行操作系统的CPU也是在运行多个独立的实例。
SMP的多处理器之间可以通过共享内存来协同通信；而AMP则需要提供一种处理器间的通信机制。

SMP和AMP的深入介绍很多经典文章书籍可参考，此处不再赘述。现今主流的x86多处理器服务器都是SMP架构的，而很多嵌入式系统则是AMP架构的。

NUMA VS. UMA

NUMA(Non-Uniform Memory Access) 非均匀内存访问架构是指多处理器系统中，内存的访问时间是依赖于处理器和内存之间的相对位置的。这种设计里存在和处理器相对近的内存，通常被称作本地内存；还有和处理器相对远的内存，通常被称为非本地内存。

UMA(Uniform Memory Access) 均匀内存访问架构则是与NUMA相反，所以处理器对共享内存的访问距离和时间是相同的。

由此可知，不论是NUMA还是UMA都是SMP架构的一种设计和实现上的选择。

阅读文档时，也常常能看到ccNUMA(Cache Coherent NUMA)，即缓存一致性NUMA架构。这种架构主要是在NUMA架构之上保证了多处理器之间的缓存一致性。降低了系统程序的编写难度。

x86多处理器发展历史上，早期的多核和多处理器系统都是UMA架构的。这种架构下，多个CPU通过同一个北桥(North Bridge)芯片与内存链接。北桥芯片里集成了内存控制器(Memory Controller)，

下图是一个典型的早期 x86 UMA 系统，四路处理器通过 FSB (前端系统总线, Front Side Bus) 和主板上的内存控制器芯片 (MCH, Memory Controller Hub) 相连，DRAM 是以 UMA 方式组织的，延迟并无访问差异。

注：
PCH(Platform Controller Hub)，Intel 于 2008 年起退出的一系列晶片组，用于取代以往的 I/O Controller Hub（ICH)

在 UMA 架构下，CPU 和内存控制器之间的前端总线 (FSB) 在系统 CPU 数量不断增加的前提下，成为了系统性能的瓶颈。因此，AMD 在引入 64 位 x86 架构时，实现了 NUMA 架构。之后， Intel 也推出了 x64 的 Nehalem 架构，x86 终于全面进入到 NUMA 时代。x86 NUMA 目前的实现属于 ccNUMA。

从 Nehalem 架构开始，x86 开始转向 NUMA 架构，内存控制器芯片被集成到处理器内部，多个处理器通过 QPI 链路相连，从此 DRAM 有了远近之分。而 Sandybridge 架构则更近一步，将片外的 IOH 芯片也集成到了处理器内部，至此，内存控制器和 PCIe Root Complex 全部在处理器内部了。下图就是一个典型的 x86 的 NUMA 架构：

NUMA Hierarchy

NUMA Node 内部

一个NUMA Node内部是由一个物理CPU和它所有的本地内存(Local Memory)组成的。广义得讲，一个NUMA Node内部还包含本地IO资源，对大多数Intel x86 NUMA平台来说，主要是PCIe总线资源。 ACPI规范就是这么抽象一个NUMA Node的。

物理 CPU

一个CPU Socket里可以由多个CPU Core和一个Uncore部分组成。每个CPU Core内部又可以由两个CPU Thread组成。每个CPU thread都是一个操作系统可见的逻辑CPU。对大多数操作系统来说，一个八核HT打开的CPU会被识别为16个CPU。下面就说一说这里面相关的概念，

Socket
一个Socket对应一个物理CPU。这个词大概是从CPU在主板上的物理连接方式上来的，可以理解为 Socket 就是主板上的 CPU 插槽。处理器通过主板的Socket来插到主板上。尤其是有了多核(Multi-core)系统以后，Multi-socket系统被用来指明系统到底存在多少个物理CPU。
Node
NUMA体系结构中多了Node的概念，这个概念其实是用来解决core的分组的问题。每个node有自己的内部CPU，总线和内存，同时还可以访问其他node内的内存，NUMA的最大的优势就是可以方便的增加CPU的数量。通常一个 Socket 有一个 Node，也有可能一个 Socket 有多个 Node。
Core
CPU的运算核心。 x86的核包含了CPU运算的基本部件，如逻辑运算单元(ALU), 浮点运算单元(FPU), L1和L2缓存。一个Socket里可以有多个Core。如今的多核时代，即使是Single Socket的系统，也是逻辑上的SMP系统。但是，一个物理CPU的系统不存在非本地内存，因此相当于UMA系统。
Uncore
Intel x86物理CPU里没有放在Core里的部件都被叫做Uncore。Uncore里集成了过去x86 UMA架构时代北桥芯片的基本功能。在Nehalem时代，内存控制器被集成到CPU里，叫做iMC(Integrated Memory Controller)。而PCIe Root Complex还做为独立部件在IO Hub芯片里。到了SandyBridge时代，PCIe Root Complex也被集成到了CPU里。现今的Uncore部分，除了iMC，PCIe Root Complex，还有QPI(QuickPath Interconnect)控制器， L3缓存，CBox(负责缓存一致性)，及其它外设控制器。
Threads
这里特指CPU的多线程技术。在Intel x86架构下，CPU的多线程技术被称作超线程(Hyper-Threading)技术。 Intel的超线程技术在一个处理器Core内部引入了额外的硬件设计模拟了两个逻辑处理器(Logical Processor)，每个逻辑处理器都有独立的处理器状态，但共享Core内部的计算资源，如ALU，FPU，L1，L2缓存。这样在最小的硬件投入下提高了CPU在多线程软件工作负载下的性能，提高了硬件使用效率。 x86的超线程技术出现早于NUMA架构。

本地内存

在Intel x86平台上，所谓本地内存，就是CPU可以经过Uncore部件里的iMC访问到的内存。而那些非本地的，远程内存(Remote Memory)，则需要经过QPI的链路到该内存所在的本地CPU的iMC来访问。曾经在Intel IvyBridge的NUMA平台上做的内存访问性能测试显示，远程内存访问的延时时本地内存的一倍。

可以假设，操作系统应该尽量利用本地内存的低访问延迟特性来优化应用和系统的性能。

本地 IO 资源

如前所述，Intel自从SandyBridge处理器开始，已经把PCIe Root Complex集成到CPU里了。正因为如此，从CPU直接引出PCIe Root Port的PCIe 3.0的链路可以直接与PCIe Switch或者PCIe Endpoint相连。一个PCIe Endpoint就是一个PCIe外设。这就意味着，对某个PCIe外设来说，如果它直接于哪个CPU相连，它就属于哪个CPU所在的NUMA Node。

与本地内存一样，所谓本地IO资源，就是CPU可以经过Uncore部件里的PCIe Root Complex直接访问到的IO资源。如果是非本地IO资源，则需要经过QPI链路到该IO资源所属的CPU，再通过该CPU PCIe Root Complex访问。如果同一个NUMA Node内的CPU和内存和另外一个NUMA Node的IO资源发生互操作，因为要跨越QPI链路，会存在额外的访问延迟问题。

其它体系结构里，为降低外设访问延迟，也有将IB(Infiniband)总线集成到CPU里的。这样IB设备也属于NUMA Node的一部分了。

可以假设，操作系统如果是NUMA Aware的话，应该会尽量针对本地IO资源低延迟的优点进行优化。

NUMA Node 互联

在Intel x86上，NUMA Node之间的互联是通过 QPI((QuickPath Interconnect) Link的。 CPU的Uncore部分有QPI的控制器来控制CPU到QPI的数据访问。

下图就是一个利用 QPI Switch 互联的 8 NUMA Node 的 x86 系统，

NUMA Affinity

NUMA Affinity(亲和性)是和NUMA Hierarchy(层级结构)直接相关的。对系统软件来说，以下两个概念至关重要，

CPU NUMA Affinity
CPU NUMA的亲和性是指从CPU角度看，哪些内存访问更快，有更低的延迟。如前所述，和该CPU直接相连的本地内存是更快的。操作系统如果可以根据任务所在CPU去分配本地内存，就是基于CPU NUMA亲和性的考虑。因此，CPU NUMA亲和性就是要尽量让任务运行在本地的NUMA Node里。
Device NUMA Affinity
设备NUMA亲和性是指从PCIe外设的角度看，如果和CPU和内存相关的IO活动都发生在外设所属的NUMA Node，将会有更低延迟。这里有两种设备NUMA亲和性的问题，
1. DMA Buffer NUMA Affinity
  大部分PCIe设备支持DMA功能的。也就是说，设备可以直接把数据写入到位于内存中的DMA缓冲区。显然，如果DMA缓冲区在PCIe外设所属的NUMA Node里分配，那么将会有最低的延迟。否则，外设的DMA操作要跨越QPI链接去读写另外一个NUMA Node里的DMA缓冲区。因此，操作系统如果可以根据PCIe设备所属的NUMA node分配DMA缓冲区，将会有最好的DMA操作的性能。
2. Interrupt NUMA Affinity
  设备DMA操作完成后，需要在CPU上触发中断来通知驱动程序的中断处理例程(ISR)来读写DMA缓冲区。很多时候，ISR触发下半部机制(SoftIRQ)来进入到协议栈相关(Network，Storage)的代码路径来传送数据。对大部分操作系统来说，硬件中断(HardIRQ)和下半部机制的代码在同一个CPU上发生。因此，DMA缓冲区的读写操作发生的位置和设备硬件中断(HardIRQ)密切相关。假设操作系统可以把设备的硬件中断绑定到自己所属的NUMA node，那之后中断处理函数和协议栈代码对DMA缓冲区的读写将会有更低的延迟。

Firmware 接口

由于NUMA的亲和性对应用的性能非常重要，那么硬件平台就需要给操作系统提供接口机制来感知硬件的NUMA层级结构。在x86平台，ACPI规范提供了以下接口来让操作系统来检测系统的NUMA层级结构。

ACPI 5.0a规范的第17章是有关NUMA的章节。ACPI规范里，NUMA Node被第9章定义的Module Device所描述。 ACPI规范里用Proximity Domain对NUMA Node做了抽象，两者的概念大多时候等同。

SRAT(System Resource Affinity Table)
主要描述了系统boot时的CPU和内存都属于哪个Proximity Domain(NUMA Node)。这个表格里的信息时静态的，如果是启动后热插拔，需要用OSPM的_PXM方法去获得相关信息。
SLIT(System Locality Information Table)
提供CPU和内存之间的位置远近信息。在SRAT表格里，只能告诉给定的CPU和内存是否在一个NUMA Node。对某个CPU来说，不在本NUMA Node里的内存，即远程内存们是否都是一样的访问延迟取决于NUMA的拓扑有多复杂(QPI的跳数)。总之，对于不能简单用远近来描述的NUMA系统(QPI存在0，1，2等不同跳数)，需要SLIT表格给出进一步的说明。同样的，这个表格也是静态表格，热插拔需要使用OSPM的_SLI方法。
DSDT(Differentiated System Description Table)
从Device NUMA角度看，这个表格给出了系统boot时的外设都属于哪个Proximity Domain(NUMA Node)。

ACPI规范OSPM(Operating System-directed configuration and Power Management) 和OSPM各种方法就是操作系统里的ACPI驱动和ACPI firmware之间的一个互动的接口。 x86启动OS后，没有ACPI之前，firmware(BIOS)的代码是无法被执行了，除非通过SMI中断处理程序。但有了ACPI，BIOS提前把ACPI的一些静态表格和AML的bytecode代码装载到内存，然后ACPI驱动就会加载AML的解释器，这样OS就可以通过ACPI驱动调用预先装载的AML代码。 AML(ACPI Machine Language)是和Java类似的一种虚拟机解释型语言，所以不同操作系统的ACPI驱动，只要有相同的虚拟机解释器，就可以直接从操作系统调用ACPI写好的AML的代码了。所以，前文所述的所有热插拔的OSPM方法，其实就是对应ACPI firmware的AML的一段函数代码而已。 (关于ACPI的简单介绍，这里给出两篇延伸阅读：1 和2。)

NUMA Optimization

【计算机体系结构】Cache Memory

2020-01-06T09:05:27.000Z

本博文是我对计算机系统中的缓存做的备忘笔记，参考资料来自于互联网。

Background

Memory Hierarchy

众所周知，对于不同的存储设备，更高的性能意味着更高的成本和更小的容量。随着 CPU 越做越快，CPU 和主存之间的速度差距正在不断扩大。好在，软件的局部性原理 拯救了这一切，在现代计算机体系中通过 Memory Hierarchy 的设计，使得系统在性能、成本和制造工艺之间作出取舍，从而达到了一个平衡。

下图是现在可以看到的常见的存储器层次机构：

Principle of Locality

程序访问的局部性原理指的是，内存中某个地址被访问后，短时间内还有可能继续访问这块地址。内存中的某个地址被访问后，它相邻的内存单元被访问的概率也很大。

程序访问的局部性包含两种：

时间局部性：某个内存单元在较短时间内很可能被再次访问
空间局部性：某个内存单元被访问后相邻的内存单元较短时间内很可能被访问

出现这种情况的原因很简单，因为程序是指令和数据组成的，指令在内存中按顺序存放且地址连续，如果运行一段循环程序或调用一个方法，又或者再程序中遍历一个数组，都有可能符合上面提到的局部性原理。

那既然在执行程序时，内存的某些单元很可能会经常的访问或写入，那可否在CPU和内存之间，加一个缓存，CPU在访问数据时，先看一下缓存中是否存在，如果有直接就读取缓存中的数据即可。如果缓存中不存在，再从内存中读取数据。

事实证明利用这种方式，程序的运行效率会提高90%以上，这个缓存也叫做高速缓存Cache。

Big Picture

在深入了解 Cache 的技术细节之前，我们可以先看看关于 Cache 在现代计算机系统中的 big picture。如下图所示，ALU 不是直接和主存相连，所有的 load 和 store 通过 Cache 完成，Cache 是 CPU 芯片组成的一部分。

随着计算机系统的发展，Cache 不仅仅只有一层，可能被分为多层。于此同时，人们发现，将指令的 Cache 和数据的 Cache 分开可以获得更大的系统增益。而且，CPU也从单核单处理器逐渐发展到多核多处理器，所以一个现代的计算机系统中，Cache 的组成方式可能如下图所示：

在这个图中，只显示了一个处理器(Processor)，处理器中有四个核(Core)，每个 Core 会有自己的L1数据缓存和L1指令缓存，也有自己统一的 L2 缓存。四个核之间会共享 L3 缓存，L3 缓存和主存直接沟通。

General Cache Organization

Cache 是以 缓存行(Cache Line) 为基本组织单位的，下图是一个通用的缓存组织结构。

假设内容容量是 M，内存物理地址为 m 个bit。CPU 在访问缓存时，物理地址会被解析成如下的格式

这里，有如下的关系

$\begin{gather}S = 2^s \\B = 2^b \\m = t + s + b \\\end{gather}$

参数具体意义如下：一个 Cache 被分成 S 个 set，每个 set 有 E 路 Cache Line。在一个 Cache Line 中，有 B 个字节的存储单元。所以，在一个内存地址中，中间的 s 个 bit 决定了该寻址单元被映射到哪个 set，而最低的 b 个 bit 决定了该单元在一个缓存行中的偏移量。tag 是内存地址的高 t 个 bit，因为可能有多个内存地址映射到同一个 Cache Line 中，所以用 tag 来校验该 Cache Line 是否是 CPU 要访问的内存单元。

上面是从内存地址的角度看访问 Cache 时候的地址参数解析，对应到实际的 Cache Line 的组成，可以看第一张图。可以看到，对于每一个 Cache Line，除了 tag 用来校验是否是 CPU 要访问的内存单元，还有一个 valid bit 来确认该缓存行是否有效，然后就是一个含有 $B = 2^b$ 个字节的 Cache Block。在目前的 x86 CPU 的 Cache Line 中，一般都是 64 字节的。

当 tag 和 valid 校验成功时，我们称为 Cache Hit，这时就可以将cache中的单元取出，放入到 CPU 中的寄存器。

当 tag 或 valid 校验失败时，说明要访问的内存单元并不在cache中，需要去内存中或者下一级的 Cache 中取出，这就是 Cache Miss。当不命中的情况发生时，系统就会从内存中或者下一级缓存中取得该单元，将其装入cache中，与此同时也放入CPU寄存器中，等待下一步处理。

下图是一个典型的 Cache Read 的流程

Cache Implement Details

根据上面参数 E 的不同选择，可以把 Cache 到 Memory 的映射分为以下几种类型

全相联(Fully Associative)
- $s = 0$，每个内存块数据可以映射到任意缓存行中
直接映射(Direct Mapped)，也称单路组相连(Single Way Set Associative)
- $E = 1$，每个内存块数据只能映射到固定的缓存行中
多路组相联(N Way Set Associative)
- $E = N$, 每个内存块数据可以映射到固定 set 的任意缓存行中

Fully Associative Cache

全相联把内存方位两个字段，tag 和 offset，没有了 set index 的字段。

在访问数据时，直接根据内存地址中的 tag，去遍历对比每一个缓存行，直到找到 tag一致的缓存行，然后访问其中的数据。

如果遍历完所有的缓存行之后，没有找到一致的tag, 那么就会从内存中获取数据，然后找到空闲的缓存行，直接写入tag和数据即可。

全相联意味着主存中的数据块可以出现在任意一个缓存行中。这种方式下替换算法(Replacement Policy)有最大的灵活度，也意味着可以有最低的 Cache Miss Rate。但是因为没有索引可以使用，检查一个缓存行是否命中需要在整个 Cache 范围内搜索，这带来了查找电路的大量延时。因此只有在缓存极小的情况下才有可能使用这种映射方式。

Direct Mapped Cache

直接映射是一种多对一的映射关系。在这种映射下，主存中的每一个数据块只能有一个缓存行与之对应。可能有多个主存中的数据块被映射到统一个缓存行，但是每一个数据块只能被映射到确定的缓存行。

在 1990 年代初期，直接映射是当时最流行的机制。但是随着 CPU 主频的提高，直接映射机制正在逐渐退出舞台。

直接映射最大的问题在于，每个数据块在哪个缓存行是确定的，没有替换策略(Replacement Policy)。如果两个数据块被映射到同一个缓存行时，它们会不停的把对方替换出去。由于严重的冲突，频繁刷新 Cache 会造成大量的延时，而且未能有效利用程序运行期所具有的时间局部性。这样导致了缓存命中率(cache miss rate)明显提高。

下图是一个Memory 为 16Kbytes， Cache Line 为 4bytes 的直接映射缓存例子。

Set Associative Cache

组相联映射结合了以上两种映射方式的优点。具体的方法就是

首先通过 set index 来确认数据块应该放在哪一个 set 中
确认到 set 之后，通过 cache 替换策略(Replacement Policy)来确定到底放在组中的那个缓存行

Cache Replacement Policy

Cache容量比内存小，所以内存数据映射到Cache时，必然会导致Cache满的情况，那之后的内存映射要替Cache中的哪些行呢？这就需要制定一种策略。

常见的替换算法有如下几种：

先进先出算法（FIFO)：总是把最早装入Cache的行替换掉，这种算法实现简单，但不能正确反映程序的访问局部性，命中率不高
最近最少使用算法（LRU)：总是选择最近最少使用的Cache行替换，这种这种算法稍微复杂一些，但可以正确反映程序访问的局部性，命中率最高
最不经常使用算法（LFU）：总是替换掉Cache中引用次数最少的行，与LRU类似，但没有LRU替换方式更精准
随机替换算法（Random）：随机替换掉Cache中的行，与使用情况无关，命中率不高

现实使用最多的是最近最少使用算法（LRU)进行Cache行的替换方案，这种方案使得缓存的命中率最高。

Cache in Real World

可以通过如下的方式查看。

----- 如果启动时间比较短，可以通过如下方式查看
# dmesg | grep cache

----- 比较详细的硬件信息，包括了Cache的详细信息
# dmidecode

----- 查看硬件信息，例如CPU、内存等
# lshw

----- 查看CPU相关信息，两者比较类似
# lscpu
# cat /proc/cpuinfo

另外，由专门针对 x86 信息的程序，也就是 x86info ，可以直接安装对应的包。

注意，现在多数的 CPU 采用的是超线程，也就是说对于一个物理核来说，对于内核看到的是两个，而实际的物理核是一个。

另外，在 /sys/devices/system/cpu/ 中包含了一些相关的指标，例如。

----- 查看cpu0的一级缓存中的有多少组
# /sys/devices/system/cpu/cpu0/cache/index0/number_of_sets
64
----- 查看cpu0的一级缓存中一组中的行数
$ cat /sys/devices/system/cpu/cpu0/cache/index0/ways_of_associativity
8

通过类似 lscpu 查看到对应 CPU0 的一级缓存大小是 32K ，包含了 64 个组 (sets)，每组有 8 ways，则可以算出每一个 way (也就是 Cache Line) 的大小是 32*1024/(64*8)=64 。

可以通过如下方式查看。

1 2	# cat /sys/devices/system/cpu/cpu0/cache/index0/coherency_line_size 64

这里是 Intel Core i7 L1数据缓存的实际例子

Cache Write

试想，如果CPU想要修改某个内存的数据，这块内存的数据刚好在Cache中存在，那么是不是要同时更新Cache中的数据？对于写入的数据，如何保证Cache和内存数据的一致性？

Cache Write Hit

Write through
- 在写操作时，如果Cache命中，则同时写Cache和内存。
Write back
- 在写操作时，如果Cache命中，则只更新Cache而不更新内存。
- 所以每一个 Cache Line需要有一个 dirty bit

Cache Write Miss

Write Allocate
- 先更新内存数据，然后再写入空闲的Cache行中，保证Cache有数据，提高了缓存命中率，但增加了写入Cache的开销
No Write Allocate
- 只更新内存数据，不写入Cache，只有等访问不命中时，再进行缓存写入

关于缓存一致性的问题，可以参考我的另一篇博文 Cache Coherency，此处不再赘述。

Cache Friendly Code

针对缓存的这种特殊的结构，作为程序猿，如果一不小心，可能会带来重大的性能问题。

一些典型的案例可以参考我的另一篇博文 Cache Friendly Code，此处不再赘述。