MWC2024とは？

MWCとはMobile World Congressといい、毎年2月末頃スペインのバルセロナで開催されている、世界最大のモバイル通信関係の展示会になります。 いわゆるMNO（Mobile Network Operator）国内だと、SoftBank、Docomo、KDDI、Rakutenだけではなく、Mobile Network向けのソリューションや周辺ビジネスを提供している企業さんも数多く出展されていて、その広さは日本最大の東京ビッグサイトの展示面積の2倍の20万㎡にも及びます。

総出展者数は、2700社以上、参加者は200カ国以上から10万人以上にも及び、コロナ禍で一時期参加者が落ち込る以前と比較しても多くなっています。

MWC2024全体の展示状況

MWCはその年によってIoTとか5Gとか大きなテーマがあり今回はAI一色になるかなと思っていたのですが、見本市ということもありそんなこともなかったです。 モバイル通信を含む周辺のビジネス全般を展示しているような企業が多く、例えばAIを使って障害のサポートをしてくれるとか、AIを使ってRU(無線ユニット)の設置場所や処理を行う基地局を適切に選定し続けてくれるというような、AIを活用した製品というようなものがちらほらとあるような感じで、あまり最新のという印象はうけませんでした。

中国企業の露出は相変わらずすごい！でも・・・

MWCに行かれたことのある方はご存知かもしれないですが、MWC会場は大きな8つのHallに分かれているのですが、その一つであるHall1の80％〜90％がHuawei社が占めています。1社で10,000㎡程度は占めていて、中国メーカーはいくつかの国では苦境に立たされているとされていますが会場ではまだまだ大きなプレゼンスはあった印象でした。 2018年のファーウェイさんのブースですが、どうでしょう？変わっていますか？変わってないですか？

ちなみに・・・

MWCというか、海外の展示会は出展されているそのものを見るというよりも、あらかじめアポイントを取った企業の意思決定権のある人や、次に繋げるためのミーティングがメインになっているという側面があります。そのため展示スペースの大部分がミーティングスペースだったり、そもそも展示しておらずミーティングスペースをメインにしている企業さんも多いです。会場のうちHall7の1/3程度がミーティングエリアになっているというと、どれくらいの企業がミーティングを重視しているかわかりますでしょうか？

個人的に面白いなと思ったもの

会社としてはモバイルコア関係のものや、モバイル通信関係の企業をみてまわったので、そのあたりは他のかたがきっちり書くと思うので、ここでは個人的に面白かったものをいくつかご紹介します。

通常のサーバーを液浸する溶液と専用のケース

通常のサーバーを漬け込んで液冷にしてしまう機材 基本的にはどんなサーバー（メーカーが認めていなくても）も液冷に出来るという説明がされていました。 H100等を搭載したサーバーも稼働実績があるとのことなので、電力は潤沢にあるけど、新しく発熱量の多いサーバー機器を入れたい場合にはサーバールームやデータセンターの冷却機の更新が必要などというような状況であれば、利用もあるのかなと思いました。 ただ、データセンターの運用オペレーションが大きく変わってしまうので、なかなか難しくはありそうです。

IOWNに利用される（であろう）サーバー

富士通さんのブースに設置されていた、IOWNに利用されているサーバーとのことでした。 高性能で、消費電力に強みがあるとのことだったのですが、展示されている方的にはイチオシは写真の中央部に乗せてあるクーラーボックスだそう。 これは通常のクーラーボックスと入れ替えるだけで液冷にすることができるということを仰っていました。

NECさんのブース

□　動画送信をスムースにするための仕組み

NECさんのブースでは、モバイル通信を使った場合に必要なエリアのみのデータを送信することによって、動画全体がカクつくのを抑えるような仕組みや通信が遅くなるエリアでは接続先を切り替えて通信をすることによって、動画送信をスムースにする仕組みが展示されていました。 これは自動走行車（レベル3＜異常時には人がリモート等で介在する＞）などを利用する際に効果的で実用的なものであるなと思いました。

□　NECの生成AI

NECの生成AIは動画を読み込ませるとどのような状況であったのかを日本語の説明文を作成出来るというものでした。 実際の動画でも交通事故の動画を読み込ませて、何が起こったかを生成していました。読み込まれた動画はオートバイと自動車の接触事故で生成された文章は、自動車がオートバイの動きをよく確認しなかったため事故が発生したと思われるというようなものでした。 しかし、私が感じたのはオートバイが車線変更を実施した際に、車の確認をしていないために発生したのではないかと感じたので、かなりの乖離があり、利用方法としては、事故発生時の動画を読み込ませて事故の当事者が納得したのなら、そのまま保険等の負担割合を決めて、納得できなければこれまでどおり保険調査員が介在するような形で省力化を計っていくというような使い方でできそうでした。

いずれも実用が近そうで面白かったです。

日本ブース！

海外の展示会には各国が国として展示をして、各国のソリューションのアピールをしているものがあります。 日本もMWCの展示で力を入れており、Hall6総務省がすでに製品化されているようなものを持っている企業と、4YFNでJETEROがスタートアップでこれからソリューションが出来るような企業とそれぞれ展示しておられました。

BBSの継続的な海外展示会参加に向けて

個人的には、特定の人だけが行き続けるというよりはなるべく多くのワカモノに行ってほしいという希望があります。

MWC開催タイミングのホテルや飛行機はめちゃ高です。 普通のホテルでも1泊5万円とかザラで、飛行機も高くなる傾向があります。

なので、普通のやり方ではコスト的に多くのワカモノには行ってもらえないので、下記のようにやっていくのはどうかな？

当たり前ですが、楽しいから行くというような理由は企業では通用しません、きちんと目的とどのような成果が得られるかの説明ができる状態にしておくことは必要です。

そのうえで

　行くこと自体はとにかく早く決めておく

　決めることによって、ホテルその他の予約が非常に安価にできます。宿泊場所も都合の良いところが安く、キャンセルポリシーも有利な場合が多いです。 　航空券も早めに抑えることによって、相当コストが抑えられます。たくさんのワカモノに行ってもらおうとすると、こういうのって重要です。

　ちなみに、今回当社の若者たちは、MWC会場から地下鉄で1本、ドア2ドアで20分くらいのところに、Airbnbで一軒家を丸ごと借りて、６日間ほど過ごしていました。最大９名まで泊まれて、６日間で60万円ちょっとなので、なかなかリーズナブルであったのかなと思います。

　こういうイベントごとは、決まった人が常に行くというよりは、新しいことに敏感で挑戦をしようとするワカモノにこそ多く行ってほしいと思っていてできれば次のワカモノに同じように紡いで行ってほしいなと思います。

最後に

実は、バルセロナの最終日に会食に行った先でスリにあいました。 スリが多いのは以前行ったときから認識していたのですが、以前よりも会場の治安が良くなっていた気がしており、気が緩んでいたのかもしれないですね。

本当に体の正面に掛けていた、ボディーバックから引っこ抜いていったと推測しています。 正面からチラシのようなものを持って近づいてきて、眼の前でゆらゆらさせて気を引き、その隙に引っこ抜かれた（と思う）のですが、その時には全く気が付きませんでした。

幸い盗られたのはiPhoneだけで、保険が利用できて金銭的な被害は最少で済んだのですがみなさんも行かれるときには気をつけて下さい。

ちなみに、盗られたiPhoneを「探す」でしばらく見ていたのですが、バルセロナ市内をウロウロした後、バルセロナから車で1時間程度の場所に行って消息を絶ちました、たぶんバラされて売られていったのでしょう。

さて、こんな感じでMWC参加してきましたが、もちろん当社もしっかりと他社さんと面談しモバイルやOCX方面のビジネス面でもいろいろ進めさせていただいております。当社にご興味がありましたら、ぜひカジュアル面談しましょう！ www.bbsakura.net

おまけ。MWCで見た、（本当に）変わったもの

　ひとのみみ型マイクがついたマネキン

　これは、スマホが人の耳にどのように聞こえているのかを測定する計測器です。 　ものすごくニッチですが、こういうものもありました。

　脳卒中かどうかを調べるための装置

　展示していた企業によると脳卒中なのに病院に連れて行くなど適切な処置をしないことによって、死亡する例があるらしく、このヘッドギアをつけて計測すれば病院に行かなくてはならないかどうかがわかるというものだそうで、医療へのアクセスのしやすさが異なる国ではこういった需要もあるのかもしれませんね。

Japanese follows English.

和訳は英語の次に記載されています。

Hello, I'm Atreya, a full-stack engineer at BBSakura Networks where I lead the UI team and oversee our identity provider's development and maintenance. I also collaborate closely with our API team, lending a hand in backend tasks if required, since I was involved in backend development as well during the early phases of the project.

Identity management has always been an integral component of modern applications and for software engineers seeking to construct a bespoke identity provider system, understanding the underlying architecture is essential. In this article, I'll be sharing insights into how I built our in-house identity provider system using open-source solutions: Kratos and Hydra.

What is an Identity Provider?

At the core of any robust digital solution is an identity provider (IdP) system. An IdP system is essentially the backbone that supports user authentication (verifying who the user is) and authorization (determining what the user can do).

The Core Components of our IdP System

Our IdP system comprises the following critical components:

1. OCX Identity Provider: This server is at the heart of our system. Not only does it render the UI, but it also operates as a bridge between Hydra and Kratos. With Kratos already offering a configuration option to integrate Hydra, our Golang server focuses on rendering the UI, handling consent and logout requests, and forwarding the generated access token to our frontend console.

2. Hydra: An open-source OIDC-compliant OAuth2 Server, Hydra's primary responsibility in our setup is to issue access tokens once the user is authenticated through Kratos. This ensures that our backend only needs to validate the access token for each API request.

3. Kratos: A headless, open-source identity management system, Kratos provides the authentication mechanics. By being headless, it offers the flexibility to design a UI consistent with our system's overall design and functionality.

The following diagram illustrates how the three components talk to each other:

Why Kratos and Hydra?

Developing an identity provider from scratch is a daunting task. Instead of reinventing the wheel, we decided to stand on the shoulders of giants: Kratos and Hydra. Our choice was strategic. Both tools are open-source and built using Golang, a language we're familiar and comfortable with. This not only ensures a smooth integration with our backend service, but also makes it feasible for our team to contribute back, be it bug fixes or feature enhancements. I've personally fixed a bug (https://github.com/ory/kratos/pull/2507) and proposed a new feature (https://github.com/ory/kratos/issues/3037) to Kratos which I am currently developing.

On the frontend, we are using Next.js along with NextAuth.js. NextAuth.js simplifies the task of setting up custom OIDC-compliant OAuth2 servers with Next.js. All that needs to be done is register an OAuth client ID and client secret in Hydra and setting up the client ID and secret from Hydra into the NextAuth configuration. The result is a seamless bridge between our frontend console with our identity provider system.

It's worth noting that while Kratos is our choice for storing fundamental authentication details, the majority of business-centric data, including user roles, preferences, and more, is safely housed in our backend database. This clear demarcation ensures system clarity and efficiency.

Why not use services like Auth0 or Okta?

You might wonder, why not adopt mainstream services like Auth0 or Okta? Here's why:

1. Control Over User Data: With our chosen setup, we have complete control over user data.

2. Transparency: As Kratos is open-source, we're privy to how the data is saved. This transparency is paramount from a security perspective. Being open-source, Kratos affords us a detailed look into its workings. To illustrate, here's the schema of the tables that store user data.

Final Thoughts

Incorporating existing, robust solutions like Kratos and Hydra allowed us to focus on optimizing our business logic rather than grappling with the foundational challenges of developing an identity provider from scratch. The synergy between these tools and our custom Golang server resulted in an IdP system that is not only efficient but also scalable and maintainable.

For those interested in diving deeper, Kratos and Hydra both boast excellent documentation ( https://www.ory.sh/docs/ecosystem/projects ) . While we chose the self-hosted open-source versions of Kratos and Hydra, it's worth noting that Ory, the company steering the development of these tools, offers a managed cloud service. This might appeal to those who prefer a managed service over the responsibility of hosting by themselves.

Additionally, an open-source example of Kratos-Hydra integration using Golang can be explored here ( https://github.com/atreya2011/go-kratos-test/tree/hydra-consent ). Building on top of proven platforms accelerates development and ensures that we're working with industry-tested security and performance standards. In essence, it's about smart engineering.

Happy coding!

Disclaimer: This article is not an endorsement of Kratos and Hydra.

日本語訳

こんにちは、BBSakura Networksのフルスタックエンジニア、アトレヤです。UIチームをリードしており、認証認可基盤の開発とメンテナンスも行っています。また、プロジェクトの初期段階ではバックエンド開発にも携わっていたため、必要に応じてAPIチームと密接に協力し、バックエンドのタスクにも手を貸しています。

「アイデンティティ管理」はモダンなアプリケーションに不可欠な要素であり、専用の認証認可基盤を構築しようとするソフトウェアエンジニアにとって、基盤となるアーキテクチャを理解することは極めて重要です。この記事では、オープンソースのソリューション、Kratos と Hydra を使用して認証認可基盤を構築した方法についての知見を共有します。

Identity Provider とは何か？

全ての堅牢なデジタル・ソリューションのコアには、認証認可基盤があります。認証認可基盤は基本的に、ユーザー認証（ユーザーが誰であるかを確認すること）と認可（ユーザーが何をできるかを決定すること）をサポートするバックボーンです。

OCXの認証認可基盤のコアコンポーネント

OCXの認証認可基盤は、以下の重要なコンポーネントで構成されています。

1. OCX Identity Provider: このサーバーはOCXのシステムの中心にあります。UIをレンダリングするだけでなく、HydraとKratos間のブリッジとしても動作します。Kratosは元々Hydraを統合する設定オプションを提供しており、"OCX Identity Provider" はUIのレンダリング、コンセントとログアウト・リクエストの処理、生成されたアクセストークンをフロントエンドに転送することにフォーカスしています。
2. Hydra: OIDC準拠のオープンソースOAuth2サーバであるHydraの主な役割は、ユーザがKratosを通して認証された後にアクセストークンを発行することです。これにより、OCXのバックエンドはAPIリクエスト毎にアクセストークンを検証するだけでよくなります。
3. Kratos: オープンソースのヘッドレスなアイデンティティ管理システムであるKratosは認証の仕組みを提供します。ヘッドレスであることで、OCXのシステム全体のデザインと機能性に合致したUIを設計する柔軟性を提供します。

実際の処理の流れは、以下のシーケンス図を参考にしてください。

なぜKratosとHydraなのか？

認証認可基盤をゼロから開発するのは大変な作業です。車輪を再発明するのではなく、我々開発陣は巨人（HydraとKratos）の肩の上に立つことに決めました。この選択は戦略的でした。KratosもHydraもオープンソースで、開発陣が慣れ親しんでいるGolang言語を使って開発されています。これは、OCXのバックエンドとのスムーズな統合を保証するだけでなく、バグ修正や機能拡張などにOCXのチームメンバーが貢献することを可能にします。私自身、バグ ( https://github.com/ory/kratos/pull/2507 ) を修正し、現在開発中の新機能 ( https://github.com/ory/kratos/issues/3037 ) をKratosをメンテしているOry社に提案しました。

フロントエンドでは、Next.jsとNextAuth.jsを使用しています。NextAuth.jsでNext.jsにカスタムのOIDC準拠のOAuth2サーバをセットアップする作業が簡単になります。HydraにOAuthのクライアントIDとシークレットを登録し、NextAuth.jsのコンフイグにこのクライアントIDとシークレットを設定するだけです。その結果、OCXフロントエンドのコンソールと認証認可基盤をシームレスにつなぐことが可能になります。

Kratosは基本的な認証情報を保存するために使用されており、ユーザのロールなどを含むビジネス中心のデータの大部分は、違うバックエンドデータベースに安全に格納されています。この明確な区分により、システムの明瞭性と効率性が保証されます。

なぜAuth0やOktaのようなサービスを使わないのか？

Auth0やOktaのような主流のサービスを採用していない理由は以下の通りとなります。

1. ユーザデータの管理: ユーザデータを独自に管理することができます。

2. 透明性: Kratosはオープンソースであるため、データがどのように保存されるかを知ることができます。この透明性はセキュリティの観点から最も重要なことです。オープンソースであるため、その仕組みを見ることもできます。例として、ユーザデータを格納するテーブルのスキーマは以下の通りとなります。

最後に

KratosやHydraのような既存の堅牢なソリューションを組み込むことで、認証認可基盤をゼロから開発する基礎的な課題に取り組むよりも、ビジネスロジックの最適化に集中することができました。これらのツールとカスタムGolangサーバであるOCX Identity Providerとの相乗効果により、効率的であるだけでなく、スケーラブルでメンテナブルな認証認可基盤を構築することができました。

KratosとHydraはどちらも優れたドキュメントがあるのでぜひ読んでみてください ( https://www.ory.sh/docs/ecosystem/projects ) 。OCXではKratosとHydraのセルフホスト型のオープンソース版を選びましたが、これらのツールの開発を主導しているOry社がマネージドクラウドサービスも提供しています。これは、自分でホスティングして責任を負うよりも、マネージドサービスが良いというチームには合っていると思います。

さらに、Golangを使用したKratosとHydraのブリッジ実装のオープンソース例をこのレポ ( https://github.com/atreya2011/go-kratos-test/tree/hydra-consent ) で見ることができます。実績のあるプラットフォームの上に認証認可基盤を構築することで、開発を加速し、業界でテストされたセキュリティとパフォーマンスの標準を確実に使用することができます。要するに、スマートエンジニアリングということです。

ハッピー・コーディング！

www.DeepL.com/Translator （無料版）で翻訳し、修正したものです。

この記事は BBSakura Networks Advent Calendar 2023 の 25 日目の記事です。

こんにちは。BBSakura でソフトウェアエンジニアをしています早坂(@takemioIO|@gtpv2) と申します。

普段はモバイル開発グループという組織でモバイルコアの開発・運用をしていますが、その傍ら技術広報活動もしています。

技術広報に関しては 1日目の記事 で弊社のみずきさん(@n0mzk|@n0mzk.bsky.social)が書いていますのでぜひご覧ください。

そして自分はこのアドベントカレンダーの主宰もやっております。

今年で（学生時代のアルバイトから数えて）3 回目の主宰ですが、なんと今回は誰かが記事を無理やり 2,3 本書かずとも無事達成しました。

今年もBBSでアドカレやります。
アドカレの主催も3回目にもなると人を集めるのにも慣れたもので、（？）
遂に今年は一人二つ以上の記事をを書かずに済むようになりました。いやー労力が減って嬉しい。
無事完走出来るようにみんなで頑張ります。
ぜひ12月からの投稿をお楽しみに！ https://t.co/RkFuA896KE pic.twitter.com/qQESgRGSzR

— Takeru Hayasaka (@gtpv2) 2023年11月30日

いやー人が集まらず毎年 2 本は書いていたので嬉しいですね。3 年目にしてやっと達成です。なので今年は頑張ったし 25 日の大トリをもらってもよいだろうということで最終日をもらうこととしました。来年も 25 日を取りたいですね。そして 1 本の記事にちゃんと労力を掛けられることって最高なんだなと思いましたね。

無事最終日を迎えられてホッとしております。

さて、雑談は程々にしておくとして、この記事は最近の MPTCP に関してのあれこれと、マルチパス技術の肝であるスケジューラーを eBPF で書けるようになったんだぜ？みたいな話をする記事です。しばらくお付き合いください。

MPTCPとは

MPTCP(Multipath TCP) とは TCP のマルチパス化技術のことです。MPTCP は任意のインターフェースに紐づく複数の TCP コネクション（以降 subflow と呼ぶ）をバンドルして、通信の帯域を拡張したり、適切なパスを使ったりすることで、通信を最適化する技術です。例えば任意のパスの通信品質が悪くなった時に流す流量を減らして制御したり・違うパスにフォールバックするなど Active Active, Active Standby なパスの使い方が可能です。

MPTCP という技術はちょうど 10 年前(2013 年)に RFC6824 MPTCPv0 として RFC 化されました。現在では RFC8684 MPTCPv1 と呼ばれるものが現行の最新です。Linuxカーネルのサポート も 5.6 から v1 のサポートに切り替わりました。

MPTCPスケジューラーとは

MPTCPスケジューラーとは、利用している subflow に対してどれくらいパケットを投げるかを決定するために使われます。

例えば A の subflow（A の Interface を持つパスと言い換えても良い）の調子が悪くなったので B の subflow に流量を増やしたりするのはこのスケジューラーのアルゴリズムで決定されます。

このスケジューラーには BLEST¹というアルゴリズムをベースにしたのが現在の Linux のデフォルトで使われていたり、他にも Round-Robin や Lowest-RTT-First²など利用するアプリケーションの最適化戦略によって様々なアルゴリズムに変更可能なことが知られています。

最近の MPTCP を取り巻く環境の話

前述した通り MPTCP 自体は RFC 化から約 10 年の歴史があるのですが、現在ではどれくらい使われているのでしょうか。

Multipath TCP Measurement Service³という論文を眺めてみると、数年で 20 倍に増加したという話が書かれています。

この論文を書いた人たちは ZMap を利用して IPv4 の空間全体と IPv6 Hitlist⁴を使って IPv6 の一部を現在も計測していて、その計測データを mptcp.io というサイトで可視化しています。

IPv4 を見ると現在では MPTCPv0 を 80 番 ポートで動かしているのは 400k Addresses を超える程に達しました。

MPTCP を取り扱うための整備も進み、Linux では MPTCPv1 を前提にした mptcpd というデーモンも実装されています。

これを利用することで path management を行うことができます。更に付随している mptcpize コマンドラインツールを使うと TCP を利用したアプリケーションを書き換えやリビルド等の変更を実施せずに MPTCP を活用できます。 実際に TCP に対応した iperf3 で使うと以下のようになります。

mptcpize run iperf3 -s

これは 、LD_PRELOAD 環境変数を使い glibc をオーバーライドすることで実現しています。そのためアプリケーションの更新は不要になります。Go 言語では glibc に依存させずにビルドが可能です。このケースでは当然ですが環境に依存しない故に動かすことができません。

最近では Go言語v1.21のパッケージの中でMPTCPサポート が入るようになりました。以下のように書くだけで MPTCP 対応が完了するようになりました。これによって Go でも（リビルドは必要ですがほぼ）TCP と同じ利用方法で使えるので簡単に MPTCP が使えて便利だなと思いました。

lc := &net.ListenConfig{}
lc.SetMultipathTCP(true)
ln, err := lc.Listen(context.Background(), "tcp", *addr)

利用用途としても最近では非常に発達しています。よく知られてる Appleの利用例 以外にも OpenMPTCProuter というプロジェクトでは複数の回線を束ねて帯域を広げるのに MPTCP を利用したルーターを作ったりしています。

また、同じような発想の話で 5G のコンテキストでは ATSSS(Access Traffic Steering, Switching and Splitting)⁵と呼ばれる仕組みがあります。

3GPP 環境 (e.g. モバイル通信)と Non-3GPP 環境（e.g. Wi-Fi）の終端装置を UPF に直接入れることで、適切なリンクに合わせて処理を行います。

この話については むねあきさんが書かれた記事 が詳しいのでオススメします。

それにしても PMF みたいなやつは、MPTCP なんで適切なスケジューラーを利用すれば問題ないのではないだろうか？みたいな気持ちがありますが、L3 の知見を L4 にフィードバックしたいということ何でしょうね。確かに L4 のレイヤで言われるより長い時間の統計を取って利用することで嬉しくなったりするかもなーとかは思うので気になるところです。

eBPFとは

eBPF（extended Berkeley Packet Filter） は、Linux カーネル内で実行されるプログラムを実行するための拡張可能な仕組みです。元々はネットワークパケットのフィルタリングに使用されていた Berkeley Packet Filter（BPF）を拡張したもので、現在ではさまざまな用途に広がっています。

eBPF は、プログラムを動的に挿入し、実行できる柔軟な仕組みです。これにより、カーネルの様々な部分で動作する小さなプログラムを実行できます。

struct_opsについて

BPF_STRUCT_OPS と呼ばれる特定のカーネル内関数ポインタを実装する仕組みがあります。これは、 Linux v5.3から入りました。 現在は TCP の輻輳制御(tcp_congestion_ops)を eBPF で記述する為に使われていることが知られています。 例えば Cubic と呼ばれる有名な輻輳制御アルゴリズムは現在は eBPF で記述されており、その例がkernelのリポジトリツリーに含まれています。

このようにカーネルを弄らなくても輻輳制御アルゴリズムの実装をプラグインのように適用できるので、今日ではお手軽にアプリケーションの特性に合わせた通信環境を実装することが可能になりました。

そして、これを応用して今日では MPTCP のスケジューラーが eBPF で書けるようになりました。最初のサポートは Linux v5.19 から入りました（なお完全なサポートや最適化はまだ取り込まれてない）

つまり任意の評価アルゴリズムを書いて任意のサブフローに好きなようにパケットを流し込むといったことが簡単にできるようになったわけですね。

オレオレMPTCPスケジューラーをちょっと作ってみた

ではこのおもしろ技術に触れてみたいと考えるのが今日の本題です。少し触ってみた経験と実装に簡単な解説をつけつつ話して行きます。

今回は Lowest-RTT-First になるバージョンを実装してみました。ここで指す Lowest-RTT-First というのは SRTT が最小の subflow を選択するアルゴリズムとします。また今回は Upstream に入ってない mptcp_net-next の v6.6.0 を対象に説明していきます。

最小構成の例

ひとまず実装物の説明の前に mptcp_net-next という Upstream に入る前のカーネルに置かれている最小構成のスケジューラー実装である mptcp_bpf_first.c を利用して構造と利用法を説明します。

以下が最小構成であるスケジューラーのコードです。これは、ある subflow 1 つに対してのみパケットを投げ続けることができるスケジューラーです。

末尾に書いてある struct mptcp_sched_ops に関数ポインタを登録することで、実際にスケジューラーとして利用できます。

登録が必要なものは次の４つです

• init: スケジューラーをロードした時にコールされる関数
• release: スケジューラーをアンロードした時にコールされる関数
• get_subflow: MPTCP のパケットを投げるのに呼ばれる関数（スケジューラー機能の main 関数部分に当たるようなところ）
• name: sysctl を利用して利用するスケジューラーを決定するのでその時に渡す名前

// SPDX-License-Identifier: GPL-2.0
/* Copyright (c) 2022, SUSE. */

#include <linux/bpf.h>
#include "bpf_tcp_helpers.h"

char _license[] SEC("license") = "GPL";

SEC("struct_ops/mptcp_sched_first_init")
void BPF_PROG(mptcp_sched_first_init, struct mptcp_sock *msk)
{
}

SEC("struct_ops/mptcp_sched_first_release")
void BPF_PROG(mptcp_sched_first_release, struct mptcp_sock *msk)
{
}

int BPF_STRUCT_OPS(bpf_first_get_subflow, struct mptcp_sock *msk,
           struct mptcp_sched_data *data)
{
    mptcp_subflow_set_scheduled(bpf_mptcp_subflow_ctx_by_pos(data, 0), true);
    return 0;
}

SEC(".struct_ops")
struct mptcp_sched_ops first = {
    .init       = (void *)mptcp_sched_first_init,
    .release    = (void *)mptcp_sched_first_release,
    .get_subflow    = (void *)bpf_first_get_subflow,
    .name       = "bpf_first",
};

実際にこれを使う場合はどのようにするかというと、このようにして実行します。

# ebpfのプログラムロード
sudo bpftool struct_ops register mptcp_bpf_first.o
# sudo bpftool prog list とやると確認ができる

# mptcpのスケジューラーのロード
sudo sysctl -w net.mptcp.scheduler=bpf_first

これである任意の subflow 1 つのみにパケットを流すような実装ができました。

この仕組みは現在デフォルト機能になってるスケジューラーでも同様に mptcp_sched_ops に詰めてあげています。

該当箇所は この部分 です。

static int mptcp_sched_default_get_subflow(struct mptcp_sock *msk,
                       struct mptcp_sched_data *data)
{
    struct sock *ssk;

    ssk = data->reinject ? mptcp_subflow_get_retrans(msk) :
                   mptcp_subflow_get_send(msk);
    if (!ssk)
        return -EINVAL;

    mptcp_subflow_set_scheduled(mptcp_subflow_ctx(ssk), true);
    return 0;
}

これは、解説されてると有用なので、ざっくりデフォルトスケジューラーのプログラムの解説をします。

• data->reinject: ここには今投げようとしてるデータが再送されるデータなのかどうかのフラグが含まれています。
• mptcp_subflow_get_retrans: 再送の場合に使われる関数
  • アクティブなサブフローの中でTCP 送信待ちのデータがない場合を利用する
  • 利用できなければ、backup flag がついているエンドポイントを選ぶ
• mptcp_subflow_get_send: 初めて投げられる時に使われる関数
  • linger time(キューがはけるまでの時間)が一番短いsubflowを使います。
    • sk_wmem_queued とソケットに書き込むバッファメモリが queue を示しています
    • このアルゴリズムは blest アルゴリズムを参考にして作られてるらしいです。
    • ペーサー（送信データのレートみたいなものです）なども含まれているので、ここが MPTCP の輻輳制御部分もやってそうです。
      • 有名なのだと リーキーバケットアルゴリズム とかそういうのが思い出すやつですね。

細かいことを知りたい場合は ここで呼ばれる mptcp_subflow_get_send 関数 に書いてあるので、MPTCP のスケジューラーを実装したい人は参考になりますので、一度読んでおくと良いです。

Lowest-RTT-First 対応スケジューラー

Smoothed RTT (SRTT)を利用して最小の RTT を見て動く簡単なやつを改造して作ってみました。SRTT というのはローパスフィルタが入った RTT みたいなものです。これの Linux 上での測定アルゴリズムについては このブログ が割とよくまとまっていますので気になる方はどうぞ。

で今回のコードのあるリポジトリは こちら です。これは、mptcp net-next の開発リポジトリに含まれてる mptcp_bpf_burst.c を改造したものです。

ざっくり説明すると、全ての subflow を探索して、利用可能な subflow の中で、なおかつ RTT の最小値を持つ subflow を優先して投げつけるということをしています。これにより RTT が良い subflow を貪欲に選択し続けるみたいな実装が書けました。

(実際には前述したデフォルトのスケジューラーのように、RTTベースだけではなく、ペーシングやqueueの容量などの複合要因を考えるのが良いというのが正解な気もしますが...w)

static int bpf_minrtt_get_send(struct mptcp_sock *msk,
                  struct mptcp_sched_data *data)
{
    struct mptcp_subflow_context *subflow;
    struct sock *sk = (struct sock *)msk;
    __u32 selected_minrtt = 0;
    __u32 selected_subflow_id = 0;
    __u32 minrtt = 0;
    struct sock *ssk;
    int i;

    for (i = 0; i < data->subflows && i < MPTCP_SUBFLOWS_MAX; i++) {
        subflow = bpf_mptcp_subflow_ctx_by_pos(data, i);
        if (!subflow)
            break;

        ssk = mptcp_subflow_tcp_sock(subflow);
        if (!mptcp_subflow_active(subflow))
            continue;

        const struct tcp_sock *tp = bpf_skc_to_tcp_sock(ssk);
        if (!tp){
            continue;
        }
        
        minrtt = tp->srtt_us;
        if (minrtt < selected_minrtt || (selected_minrtt == 0 && selected_subflow_id == 0)){
            selected_minrtt = tp->srtt_us;
            selected_subflow_id = i;
        }
    }
    mptcp_set_timeout(sk);

    subflow = bpf_mptcp_subflow_ctx_by_pos(data, selected_subflow_id);
    if (!subflow){
        return -1;
    }

out:
    mptcp_subflow_set_scheduled(subflow, true);
    return 0;
}

ということで、eBPF を利用して任意のアルゴリズムのスケジューラーを簡単に実装できました。

カーネルのドキュメントを眺めてみると bpf_prog_run に関して BPF_PROG_TYPE_STRUCT_OPS があるので、Unittest とかもしっかり書けそうだなぁというのも嬉しいポイントだと思いました。

引っかかったポイントは、既存実装に含まれていた bpf_tcp_helpers.h の struct tcp_sock のメンバがカーネル本体に含まれる tcp_sock と全然数が違ったことでした。それにより利用できるメンバが制限されていると思って途方に暮れていました。ですが実際に git bleam などで状況確認をしていくと、どうやら構造体の順番や数は関係なく、メンバのフィールド名が勝手に mapping されていたので、普通に利用したいフィールド名を tcp_sock に追加すれば良いとわかりました。この点でしばらくハマってしまっていました。（正直いまだによく分かってない）

それと普段 cilium/ebpf を利用して go で書いて開発してるのですが、その pure go な実装のローダーの上で BPF_PROG_TYPE_STRUCT_OPS が使えず普段使ってるもので動かず悲しい気持ちになりました。maptype はあるんですけどね...誰もやらなかったら試しに改造してパッチを出そうかなと思います。

終わりに

なぜ MPTCP の話をしたのかというと、SFC のとある博士課程の学生と一緒に研究開発をやっていて(thanks @yas-nyan)、その中で MPTCP に関する知見を得たりしたので論文に書かなかったこと含めてちょっと供養をしようと思ったからでした。

僕も博士受けたいと思っていますが、ネタを思いつけず困ってるので迷走してる感じではあります...:innocent:

個人的には次にちゃんと来る技術はマルチパス技術だろうなと思っており、ここ数年で MPTCP 技術の自由度と実装されてる品質が高くなったなと思っています。なので例えばポリシー投入が可能な SDN などの実装で今までにない世界を掘り下げられるのではないかと感じるようになりました。

例えば L3 の知見をもとに L4 を制御するとか、逆に L7 のセマンティクスを L4 にフィードバックするとか。eBPF でスケジューラ実装が書けるので eBPF Map を通じてならアプリケーションとの連携が比較的簡単です。今後こういうのを応用すると、DHCP や BGP 拡張との合わせ技でマルチパススケジューラーのアルゴリズムやトランスポート層の輻輳制御アルゴリズムをサーバーにフェッチさせて、アプリケーションやDCなどのネットワーク特性に合わせてアルゴリズム選択するなど、プロビジョニングの点でも面白いことが出来そうでワクワクしますよね（妄想）

皆さんも eBPF を使っておもしろスケジューラーを書いたりして楽しみましょう:)

参考文献