https://wiki.entcor.ru/api.php?action=feedcontributions&feedformat=atom&user=192.168.2.140EWiki - Вклад [ru]2026-06-12T16:51:09ZВкладMediaWiki 1.45.3https://wiki.entcor.ru/index.php?title=%D0%97%D0%B0%D0%B4%D0%B0%D1%87%D0%B8_(%D0%BD%D0%B0_%D0%BF%D1%80%D0%BE%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D1%83)&diff=319Задачи (на проработку)2024-09-18T02:45:25Z<p>192.168.2.140: </p>
<hr />
<div>'''Производительность:''' <br />
<br />
- Алгоритм классификации пакетов (перебор правил) <br />
<br />
- Для хранения правил использовать структуры, как в ipset <br />
<br />
- Cache вердиктов fw (conntrack) <br />
<br />
- Вердикт на обратный трафик на основе conntrack (сейчас требуется обратное правило) <br />
<br />
- Часть правил хранить в userspace и подгружать только по необходимости в BPF. Отдельно заполнять таблицу с описанимем пакетов, не попадающих под правила, чтобы постоянно не лезть в userspace <br />
<br />
- Ограничение по количеству правил (не хватает стека?) <br />
<br />
- Переход на ringbuffer (kernel >= 5.8) или BPF_MAP_TYPE_LRU_HASH (https://github.com/cloudflare/ebpf_exporter) или BPF_MAP_TYPE_PERCPU_HASH (https://justin.azoff.dev/blog/bpf_map_get_next_key-pitfalls/) <br />
<br />
- Подписка вместо опроса (docker, devices, info) <br />
<br />
- ip адреса передавать как числа (можно ли тип number в JS?) <br />
<br />
- Формат передачи статистики (не HTTP?) (перехода на Push режим в части данных) <br />
<br />
- Передавать статистику не как JSON или сокращаеть его максимально. Сейчас очень большие объемы лишних данных (ключей) передаем <br />
<br />
- Нужно автоматическое нагрузочное тестирование <br />
<br />
- Удалить отладочную информацию (stripped) <br />
<br />
https://www.codingexplorations.com/blog/reducing-binary-size-in-go-strip-unnecessary-data-with-ldflags-w-s <br />
<br />
https://words.filippo.io/shrink-your-go-binaries-with-this-one-weird-trick/<br />
<br />
<br />
'''Распределенная система / надежность:'''<br />
<br />
- Обрабатывать потерю связи HA с внешними сервисами (сейчас возможно зависание всего цикла отправки из-за недоступности http) <br />
<br />
- Агент в оффлайне <br />
<br />
- Формирование отказоустойчивый модели зукипепов - возможно распределенной <br />
<br />
- Запуск на старом ядре с контролем его версии. При стром ядре запускаем анент, но кернел спейс запуститься не моожет. Пусть юзер часть запустится и отрапартнует пакетом на сервер о старом ядре <br />
<br />
- деградация функций <br />
<br />
- сохранение в файл конфигурации и правил <br />
<br />
- после пересоздания контейнера с zookeeper, работающие HA не могут соединиться с ним. Помогает только перезагрузка HA <br />
<br />
'''Качество кода и сборки:''' <br />
<br />
- Один репозиторий на ha, blocker и winHA<br />
<br />
- Использовать макросы для разбора сетевых заголовков (https://github.com/cloudflare/ebpf_exporter/blob/master/examples/xdp.bpf.c)<br />
<br />
- Авто тесты (модульные и функциональные)<br />
<br />
- be типы для bigendian<br />
<br />
- использовать go context для завершения программы (пример https://github.com/pouriyajamshidi/flat)<br />
<br />
<br />
'''Администрирование (наблюдаемость, управляемость):'''<br />
<br />
- Логирование сервисов под linux и windows (отдельный лог файл, текст сообщений хранить в отдельном файле, логировать коды https://learn.microsoft.com/en-us/windows/win32/eventlog/message-files, так же использовать категории, изучить best practice) , syslog<br />
<br />
- контроль агентом утилизации ресурсов<br />
<br />
- доставка конфигурации до host agenta<br />
<br />
- изменить формат правил как в cilium и k8s (port - portEnd, CIDR, to/from)<br />
<br />
<br />
<br />
'''Безопасность:'''<br />
<br />
- Размер IP, TCP, UDP(?) заголовков не фиксирован. Возможны опциональные поля. Это надо учитывать. Особенно для firewall и bloccker.<br />
<br />
- Защищенный Канал до агента<br />
<br />
- Валидация агента плюс его этп<br />
<br />
- CAP_BPF<br />
<br />
<br />
<br />
'''Поддержка сетевых технологий:'''<br />
<br />
- Добавлять неизвестные(неразобранные) пакеты в статистику (есть потеря части информации) <br />
<br />
- Поддержка VLAN <br />
<br />
- Поддержка IPv6 <br />
<br />
- Использование совместно с QoS и агригированными интерфейсами <br />
<br />
<br />
'''Баги:'''<br />
<br />
- возможно переполнение счетчика с количеством байт, надо использовать структуру с двумя счетчиками (https://elixir.bootlin.com/linux/v5.17.6/source/samples/bpf/sockex2_kern.c#L213) <br />
<br />
- многопоточность не обрабатывается (для правил, опции и статистики), может приводить к редким невоспроизоводимым проблемам<br />
<br />
- bpf_skb_pull_data (загрузка всего пакета) Проверить, что skb->len равно размеру всего пакета <br />
<br />
- перехватывать панику во всех горутинах, иначе программа падает и не отписывается <br />
<br />
- Корректное завершение при сбоях (освобождение ресурсов) <br />
<br />
- Обрабатывать превышение размеров eBPF HASH_MAP <br />
<br />
- Валидация входных данных <br />
<br />
- Обработка ошибок, логирование <br />
<br />
== '''Сырое (не разобранное):''' ==<br />
----<br />
<br />
<br />
SD-WAN: <br />
<br />
- Редирект пакетов, VPN<br />
<br />
- Корректное переключение на другой канал (разрыв соединений по старому каналу?)</div>192.168.2.140