如何在 Linux 下使用 TC 优雅的实现网络限流

1. Linux 下的流量控制道理

经过对包的排队，我们可以控制数据包的发送方式。这类控制，称之为数据整形，shape the data，包括对数据的以下操纵:

• 增加延时
• 丢包
• 重新排列
• 反复、损坏
• 速度控制

在qdisc-class-filter结构下，对流量停止控制需要停止三个步调:

• 建立 qdisc 行列

上面提到 Linux 是经过包的排队停止流量的控制，那末首先得有一个行列。

• 建立 class 分类

class 现实上，就是分别流量战略分类。比如分别两档流量限速 10MBps、20MBbs。

• 建立 filter 过滤

虽然建立了 class 分类，可是并没有将任何的 IP、Port 绑定到 class 上，此时并不会有控建造用。还需要建立 filter 将指定的 IP、Port 绑定到 class 上，才能使流量控制 class 生效于资本。

TC 是 Linux 下供给的流量控制工具，也是 Cilium/eBPF 等收集组件的焦点根本设备之一。

2. 限制指定 IP、Port 对本机的拜候速度

2.1 检察网卡

ifconfig eth0:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500 inet1.1.1.1netmask255.255.254.0broadcast1.1.1.1 inet61::1:1:1:1prefixlen64scopeid0x20<link> ether1:1:1:1:1:1txqueuelen1000(Ethernet) RXpackets2980910bytes2662352343(2.4GiB) RXerrors0dropped0overruns0frame0 TXpackets1475969bytes122254809(116.5MiB) TXerrors0dropped0overruns0carrier0collisions0

2.2 设置qdisc-class-filter

• 建立 qdisc 根行列

tcqdiscadddeveth0roothandle1:htbdefault1

• 建立第一级 class 绑定一切带宽资本

留意这里的单元是6 MBps，也就是48 Mbps。

tcclassadddeveth0parent1:0classid1:1htbrate6MBpsburst15k

• 建立子分类 class

可以建立多个子分类，对资本的流量停止邃密化治理。

tcclassadddeveth0parent1:1classid1:10htbrate6MBpsceil10MBpsburst15k

这里 ceil 设备的是上限，一般情况下限速为 6MBps，但收集余暇时，可以到达 10 MBps。

• 建立过滤器 filter，限制 IP

tcfilteradddeveth0protocolipparent1:0prio1u32matchipdst1.2.3.3flowid1:10

这里对1.2.3.4停止限制带宽为1:10，也就是 6MBps。固然，你也可以间接给网段1.2.0.0/16加 class 战略。

2.3 检察并清算设置

• 检察 class 设置

tcclassshowdeveth0 classhtb1:10parent1:1leaf10:prio0rate48Mbitceil80Mbitburst15Kbcburst1600b classhtb1:1rootrate48Mbitceil48Mbitburst15Kbcburst1590b

• 检察 filter 设置

tcfiltershowdeveth0 filterparent1:protocolippref1u32chain0 filterparent1:protocolippref1u32chain0fh800:htdivisor1 filterparent1:protocolippref1u32chain0fh800::800order2048keyht800bkt0flowid1:10not_in_hw match01020303/ffffffffat16

• 清算全数设置

tcqdiscdeldeveth0root

3. 限制本机对指定 IP、Port 的拜候速度

由于排队法则主如果基于出口偏向，不能对进口偏向的流量（Ingress）停止限制。是以，我们需要将流量重定向到 ifb 装备上，再对 ifb 的出口流量（Egress）停止限制，以终极到达控制的目标。

3.1 启用虚拟网卡

• 将在 ifb 装备

modprobeifbnumifbs=1

• 启用 ifb0 虚拟装备

iplinksetdevifb0up

3.2 设置qdisc-class-filter

• 增加 qdisc

tcqdiscadddeveth0handleffff:ingress

• 重定向网卡流量到 ifb0

tcfilteradddeveth0parentffff:protocolipu32matchu3200actionmirredegressredirectdevifb0

• 增加 class 和 filter

tcqdiscadddevifb0roothandle1:htbdefault10 tcclassadddevifb0parent1:0classid1:1htbrate6Mbps tcclassadddevifb0parent1:1classid1:10htbrate6Mbps tcfilteradddevifb0parent1:0protocolipprio16u32matchipdst1.2.3.4flowid1:10

3.3 检察并清算设置

• 下面是限速本机对指定 IP 拜候的监控图

进入的流量被限制在 6 MBps 以下，而进来的流量不被限制。

• 检察 class 设置

tcclassshowdevifb0 classhtb1:10parent1:1prio0rate48Mbitceil48Mbitburst1590bcburst1590b classhtb1:1rootrate48Mbitceil48Mbitburst1590bcburst1590b

• 检察 filter 设置

tcfiltershowdevifb0 filterparent1:protocolippref16u32chain0 filterparent1:protocolippref16u32chain0fh800:htdivisor1 filterparent1:protocolippref16u32chain0fh800::800order2048keyht800bkt0flowid1:10not_in_hw match01020304/ffffffffat16

• 清算全数设置

tcqdiscdeldeveth0ingress tcqdiscdeldevifb0root modprobe-rifb

4. 参考

• https://arthurchiao.art/blog/lartc-qdisc-zh/
• https://serverfault.com/questions/350023/tc-ingress-policing-and-ifb-mirroring

（版权归原作者一切，侵删）

免责声明：本文内容来历于收集，所载内容仅供参考。转载仅为进修和交换之目标，如无意中加害您的正当权益，请实时联系Docker中文社区！