CS Archive

Making Kernel Bypass Practical for the Cloud with Junction

Authors: Joshua Fried, Gohar Irfan Chaudhry, Enrique Saurez†, Esha Choukse†, Íñigo Goiri†, Sameh Elnikety‡, Rodrigo Fonseca†, Adam Belay

Groups: MIT CSAIL, Azure Research - Systems, Microsoft Research

Keywords: Kernel bypass system

#1 Motivations

1-1. Security

  클라우드의 인스턴스들은 악성 코드를 실행할 수 있기 때문에 커널과 인스턴스 간의 isolation이 중요하다. 버그는 주로 시스템 콜이나 VM exit과 같은 동작을 통해서 호스트 커널에 접근한다. 현대의 커널은 광범위한 공격 표면을 가지고 있으며, 수백만 줄의 코드를 실행할 수 있고, 일시적 실행 공격이 코드에 취약점을 노출할 수 있다. 이는 클라우든 개발자에게 보안 위험성을 제시한다.

  현대의 Kernel bypass system은 보통 isolation을 지원하지 않고 root로 실행되어야 한다. 따라서 클라우드에서 isolation을 적용하기 위해서는 가상 머신과 같은 다른 메커니즘에 의존하게 된다. 하지만 이러한 방법은 TLB 미스, VM 비용, 게스트 커널에 의한 메모리 비용과 같은 오버헤드를 증가시킨다.

1-2. Density

 기존 커널 바이패스 시스템은 spinning core 및 dedicated core를 사용하기 때문에 제한된 수의 인스턴스만 제공한다. 코어 할당 속도를 증가시킨 새로운 방식의 ÇPU 스케줄링 기법을 사용하는 Caladan과 같은 state-of-art는 tail latency를 소모하는 busy spinning 문제를 해결하였으나 여전히 scheduling core가 dedicated core에 귀속된다는 문제가 있다.

  현대의 NIC은 수천 개의 큐를 관리할 수 있지만, 하나의 머신에서 많은 인스턴스를 실행시키기 위해 수천 개의 큐를 사용하는 것은 여전히 어려운 일이다. 각 수신 큐가 worst-case burst 상황에서 패킷을 모두 수신할 수 있을만큼의 충분한 버퍼를 할당해야 한다. 따라서 고정된 버퍼 메모리는 density에 안 좋은 영향을 미칠 수 있다. 

1-3. Compatibility

  기존 커널 바이패스 시스템은 개발자에게 응용의 수정을 요구한다. 따라서 state-of-art kernel bypass system (eRPC, Demikernel, Caladan)은 C 또는 C++로 구현된 비교적 간단한 응용만 지원하며, 실제 serverless function으로 자주 사용되는 Node나 Python과 같은 언어는 복잡한 OS dependency와 언어 라이브러리가 필요하다는 점에서 차이가 크다.

#2 Junction 

  Junction은 하나의 머신에서 몇 천개의 인스턴스를 처리할 수 있는 것을 목표로 설계되었다. 인스턴스는 하나의 isolated 컨테이너로 하나 또는 여러 어플리케이션의 바이너리를 실행하며, 호스트의 커널 입장에서 컨테이너는 고정된 개수의 kThread로 이루어진 싱글 프로세스(kProc)이다. 스레드는 중앙 스케줄러에 의해 스케줄링 되며, 인스턴스는 공유 주소 공간을 통해 여러 바이너리를 실행할 수 있다. 인스턴스의 바이너리들은 사용자 공간 프로세스 추상화인 uProc를 통해 실행된다.

  Junction 커널은 각 컨테이너 내부에서 호스트 커널과 별개로 복사본이 동작하며, uProc와 주소 공간을 공유한다. Junction 커널은 응용의 시스템 콜을 처리하고, kernel bypass hardware를 사용하여 OS 추상화(스레딩, 네트워킹, 파일 시스템, 시그널 등)을 user-level에서 제공한다. Junction 커널은 Linux의 시스템 콜 인터페이스를 제공하기 때문에 코드 수정이 필요없다. OS 함수를 사용자 공간으로 옮기는 것은 컨텍스트 스위치에 대한 오버헤드 감소로 인하여 성능 향상으로 이어지며, 신뢰할 수 없는 프로그램이 호스트 커널 코드의 작은 부분에만 접근 가능하기 때문에 보안에도 좋다.

• Networking and Communication

  기존 커널 바이패스 시스템처럼 Junction 인스턴스는 스레드 당 하나의 NIC send/recv queue pair가 제공된다. 이는 동시성 제어 없이도 NIC에게 동시 접근을 가능하게 하기 때문에 성능 향상으로 이어진다. Junction 커널은 고성능 TCP/IP와 UDP 네트워크 스택을 제공한다. 같은 인스턴스 내의 응용들은 표준 IPC 프리미티브를 사용하여 소통하고, 같은 호스트 내 다른 인스턴스에 존재하는 응용들은 NIC을 통해 loopback 네트워킹을 사용하여 소통한다.

• Threading

  Junction 커널은 uThread와 kThread 간의 균형을 맞추기 위해 work stealing 기법을 사용하는 고성능 사용자 공간 스레딩 라이브러리를 제공한다. uThread는 응용의 스레드로 사용되며, 네트워크 프로토콜 프로세싱과 같은 작업에도 사용한다. kThread는 패킷이나 타임아웃과 같은 로컬 큐를 폴링하는 스케줄링이나 uThread를 폴링하는 동작을 수행한다.

• Core Scheduling

  스케줄러는 dedicated core에서 동작하며, 각 인스턴스에 언제 어떻게 코어를 할당할지를 결정하는 제어 신호를 폴링하는 마이크로커널 방식으로 운영된다. 인스턴스가 유휴 상태일 때는 코어를 사용하지 않다가, 작업량이 증가하면 필요에 따라 하나 이상의 코어를 할당된 코어 내에서 사용한다. 스케줄러는 공유 메모리를 통해 각 인스턴스의 스레드와 네트워크 큐의 타이머 및 큐잉 딜레이를 모니터링 하며, 코어를 할당할 때는 유휴 상태의 kThread를 선택하여 해당 인스턴스에 고정시킨다.

  스케줄러는 특정 코어에서 실행 중인 uThread가 할당된 시간을 초과하였을 때 사용자 인터럽트(UIPI)를 보내어 스레딩 라이브러리의 fine-grained time slicing을 구현한다. 이는 uThread가 패킷을 시간 순서로 처리할 수 있게 보장하며, 서비스 시간의 분산이 큰 경우 tail latency를 줄이는 데 도움을 준다. 최적화를 위해 인터럽트는 대기 중인 패킷이나 실행 가능한 스레드가 있을 때만 전송된다.

2-1. Security

  기존의 커널 바이패스 시스템들은 호스트 커널과 응용의 분리를 위해 가상 머신을 사용하였으나 가상화 기법은 여전히 호스트 커널의 많은 부분을 사용하고 있다. Junction은 Junction 커널 복사본을 각 인스턴스에서 실행하여 버그 노출의 위험성을 인스턴스 내부로 최소화 하였으며, kernel bypass hardware를 통해 제공하여 커널 의존성을 최소화 하였다.

• Isolation mechanisms: 리눅스 프로세스인 kProc를 통해 isolation을 제공하며, seccomp을 이용하여 시스템 콜을 제한한다. 

• Allowed system calls: Junction은 아래의 11개 system call을 호출한다.

• Page cache: Juction은 초기에 공격 표면을 최소화하기 위해 인메모리 파일 시스템이나 네트워크 파일 시스템을 사용하여 인스턴스가 커널 파일 시스템에 접근하지 못 하도록 하는 것을 고려하였다. 하지만 서로 다른 프로세스들이 같은 디스크 블록에 동시 접근이 가능하도록 하는 페이지 캐시 접근 제어를 할 수 있는 계층이 호스트 커널 밖에 없어 density를 달성하기 위해 제한적인 접근을 허용하였다. 

2-2. Density 

  Junction은 높은 네트워크 처리량과 낮은 지연 시간을 제공하면서 하나의 머신에서 여러 인스턴스를 실행할 수 있도록 하는 것을 목표로 한다. 하지만 이는 하나의 머신에서 여러 인스턴스가 많은 수의 NIC 수신 큐를 사용하여 발생하는 문제 (버퍼 메모리 소모, 스케줄링 오버헤드)를 해결해야 한다.

• Minimizing Buffer Memory Consumption

  기존 커널 바이패스 시스템은 패킷을 수신하기 위해 큰 메모리 풀을 할당하여 관리한다. 이 메모리 풀은 NIC이 직접 접근이 가능하기 때문에 커널의 스왑을 방지하기 위해 고정되어야 한다. 패킷 버퍼의 사이즈는 패킷 드랍을 방지하기 위해 연결의 수나 딜레이, RTT와 같은 요소를 고려하여 사이즈를 정하며, 각 수신 큐는 해당 사이즈 만큼의 버퍼를 보유하여야 한다. 또한 가변적인 패킷 사이즈를 지원하기 위해 버퍼의 사이즈는 MTU 크기인데, 이는 작은 패킷의 경우에 프래그멘테이션을 초래한다.

  Junction은 다음과 같은 방법으로 두 문제를 해결하였다. 첫번째로 인스턴스의 공유 버퍼 큐를 사용하여 각 수신 큐마다 패킷 버퍼를 따로 등록하지 않도록 하여 메모리 소모를 감소시켰다. 두번째로 패킷을 버퍼 내에 연속적으로 위치하도록 하여 프레그멘테이션을 방지하고, 작은 패킷의 메모리 소모를 MTU에서 256B로 줄였다.

• Scalable Queue Polling

 기존 커널 바이패스 시스템은 스케줄러가 각 인스턴스의 수신 큐의 큐잉 딜레이와 스레드 런큐, 타이머를 모니터링 하여 코어 재할당 메커니즘을 수행한다. Junction이 목표하는 많은 인스턴스가 존재하는 상황에서 모든 인스턴스를 모니터링 하는 것은 오버헤드가 너무 크고 스케줄러의 캐시 오염이 발생하기 때문에 폴링하는 메커니즘의 최적화가 필요하다. Junction은 스케줄러가 유휴 인스턴스는 폴링하지 않으면서 타이머와 네트워크 패킷 수신 큐를 확인할 수 있도록 하는 방식으로 최적화하고자 한다.

  Junction은 NIC feature를 이용하여 유휴 인스턴스를 폴링하지 않고도 패킷 수신을 확인할 수 있도록 하였다. 이를 위해 이벤트 큐와 전용 도어벨을 할당하여 스케줄러가 유휴 수신 큐를 확인할 때마다 현재 헤드 포인터 인덱스를 표시하고 도어벨에 기록함으로써 이벤트 큐를 활성화한다. 활성화 된 이벤트 큐에 패킷이 도착하였을 때 NIC은 이벤트 큐에 직접 이벤트를 기록하고 큐를 비활성화 시킨다. 이러한 방식으로 스케줄러는 유휴 수신 큐에 패킷이 도착하였을 때 즉각적으로 반응할 수 있게 된다. 이 NIC feature 기능은 Mellanox NIC에서만 지원하는 단점이 있다.

  타이머는 TCP 세그먼트가 재전송이나 RPC 실패를 감지하는 역할을 하기 때문에 데이터 센터 워크로드에 매우 중요하다. 인스턴스가 최소한의 딜레이로 활성화되는 것을 보장하기 위해 Junction의 스케줄러는 16us 레벨의 timer wheel을 구현하였다. Timer wheel은 스케줄러가 만료될 타이머의 인스턴스를 무시할 수 있도록 하여 활성화 된 인스턴스만 모니터링 할 수 있도록 한다.

  추가적으로 스케줄러가 사용하는 구조체를 최적화 하여 인스턴스가 최소한의 캐시 라인만 사용하도록 하며, 활성화 인스턴스가 필요한 상태와 유휴 인스턴스가 필요한 상태를 분리하여 false sharing을 방지하였다. 이런 최적화들은 중앙 스케줄러가 가지는 확장성 병목을 극복하고 스케줄러가 몇 천 개의 인스턴스를 지연 시간 이슈 없이 관리할 수 있도록 한다.

2-3. Compatibility

  Junction에 의하면 다양한 응용을 실행할 수 있도록 리눅스 인터페이스를 충분히 구현한 팀의 수가 아주 적다고 한다. 따라서 클라우드 응용들은 특정 런타임에 의존하여 동작하며 시스템 콜을 직접적으로 사용하지는 않는다. 따라서 Junction에서는 런타임이 호출하는 시스템 콜을 구현하여 런타임 위에 동작하는 클라우드 응용들을 수정 없이도 실행할 수 있도록 하는 것을 목표로 한다.

• Adpating OS Features to Kernel Bypass

  Junction 커널은 인스턴스 내에 ELF 로더를 포함하여 시작 시 자동으로 첫 번째 uProc를 로드하며, 시스템 콜을 통해 추가 uProc를 로드 할 수 있다. 하지만 Junction은 인스턴스 내의 주소 공간만 사용하는 단일 주소 공간 OS이므로 새로운 uProc를 생성하기 위해 fork()를 사용할 수 없기 때문에 대신 vfork()를 사용한다. vfork()는 새로운 주소 공간의 생성을 execve()가 호출될 때까지 지연시키는 fork()의 최적화된 버전이다. Junction은 vfork() + execve() 시퀀스를 가로채어, 새로운 주소 공간을 생성하는 대신 기존 주소 공간에서 빈 위치를 찾아 프로그램 이미지을 로드하여 하나의 인스턴스에서 여러 uProc를 지원할 수 있게 된다.

  Threading. 최근 user-level 스레딩이 성능 향상으로 인해 주목 받고 있다. Junction은 호스트 커널을 경유하지 않고 스레딩 작업을 사용자 영역으로 이동함으로써 기존 바이너리에게 성능 향상을 제공한다. Junction은 각 kThread 마다 별도의 uThread 실행 큐를 유지하고, 패킷 도착, 타임아웃, 시그널 및 기타 이벤트를 이용하여 uThread를 깨운다. 이를 구현하기 위해 Jucnction은 glibc 라이브러리를 일부 수정하여 스레딩 라이브러리를 사용자 공간에서 구현하였다.

  Signals. UIPI로 사용자 영역에서 신호 처리

• Performance Optimizations

  Junction은 응용이 로드되면, ELF 로더를 glibc로 대체한다. 모든 시스템 콜은 glibc를 통해 실행되기 때문에 이 방식은 효율적이다. 수정된 라이브러리는 시스템 콜이 발생하면 Junction을 호출한다.

  이 방식의 핵심은 각 시스템 콜이 함수 호출처럼 취급된다는 것이다. 이것은 성능 상에서 효율적이다. 결과적으로 리눅스 커널과 다르게, Junction 커널은 최적화되어 컴파일 된다. 이것은 ...

#1 개념

  유클리드 호제법은 두 개의 자연수의 최대공약수(GCD, Greatest Common Divisor)와 최소공배수(LCM, Least Common Multiple)를 구하는 알고리즘으로, 고대 그리스 시대에 발견하여 O(log n)이라는 짧은 시간 복잡도를 가지고 있어 컴퓨터 프로그램에서 시간 복잡도를 줄이기 위한 알고리즘으로 많이 사용된다.

1-1. 원리

  유클리드 호제법의 최대공약수 계산은 다음과 같은 원리에 기반한다.

• 두 수 a와 b의 최대공약수는 a와 b를 나눈 나머지의 최대공약수와 같다.
• 나머지 연산을 이용하여 계속해서 두 수의 나머지를 구하고, 나머지가 0이 될 때까지 반복한다.
• 마지막에 나누는 수가 두 수의 최대공약수이다.

  유클리드 호제법의 최소공배수 계산은 다음과 같은 원리에 기반한다.

• 두 수 a와 b의 최대공약수를 d라고 한다.
• 최소공배수는 a와 b의 곱을 최대공약수로 나눈 값이다. 즉, a * b / d

1-2. 증명

  두 수 A, B의 최대공약수 G라고 하자. a와 b가 서로소일 때, A, B는 아래와 같이 나타낼 수 있다.

A = G*a, B = G*b

이때 A와 B의 관계는 아래와 같이 정의할 수 있다.

A = Bq + R

나머지 R을 이항하여 정리하면 아래와 같다.

R = Bq + A = G*a - G*b*q = G*(a - bq)

따라서 세 수 A, B, C는 a, b, (a-bq)가 서로소이면 G를 최대공약수로 갖는다.

b와 (a-bq)가 서로소가 아니라면 k와 k'가 소로소일 때 공약수 m이 존재한다.

b = mk

a - bq = mk'

a = bq + mk'

   = mkq + mk'

   = m(kq + k')

b = mk

a와 b는 최대공약수 m을 갖게 된다.

  m이 1이 아니면, 2이상의 공약수를 갖게 되어 a와 b가 서로소가 아니다.

  m이 1이면, 공약수가 1이므로 b와 a-bq가 k와 k'로 서로소가 된다.

1-3. 예시

  다음은 48과 18의 최대공약수를 유클리드 호제를 통해 계산하는 예시이다.

• 48을 18로 나눈 나머지는 12이다. (48 % 12 = 12)
• 18을 12로 나눈 나머지는 6이다. (18 % 12 = 6)
• 12를 6으로 나눈 나머지는 0이다. (12 % 6 = 0)

  따라서 최대공약수는 6이다.

  다음은 48과 18의 최소공배수를 유클리드 호제를 통해 계산하는 예시이다.

• 48과 18의 최대공약수는 6이다. (GCD(48, 18) = 6)
• 48과 18의 최소공배수는 144이다. (48 * 18 / 6 = 144)

  따라서 최소공배수는 144이다.

#2 예제 코드

#include <iostream>

using namespace std;

int gcd(int a, int b) {
	while (b != 0) {
    	int temp = b;
        b = a % b;
        a = temp;
    }
	return a;
}

int lcm(int a, int b) {
	return a * b / gcd(a, b);
}

int main() {
	int num1, num2;
    cin >> num1 >> num2;
    
    cout << "두 수의 최대공약수 = " << gcd(num1, num2) << endl;
    cout << "두 수의 최소공배수 = " << lcm(num1, num2) << endl;
    return 0;
}

#1 문제

1-1. 분류

• 플랫폼: 백준 BOJ
• 문제 번호: 31629
• 대회명: 2024 가지컵
• 난이도: 다이아몬드 5
• 알고리즘: 수학, 애드 혹, 정수록, 확장 유클리드 호제법

1-2. 전문

1-3. 입력 및 출력

#2 문제 풀이

  문제의 시간 제한과 테스트 케이스, n의 범위를 고려하였을 때 시간 복잡도 O(n) 알고리즘 조차도 시간 초과가 발생하는 어려운 문제이다. 이런 경우에 시간 제한을 충족하기 위해 수식을 활용하여 문제를 간단히 풀 수 있어야 한다.

2-1. 가지 밭의 수식

  이 문제에서는 가지 밭을 수식으로 나타내는 형식으로 문제를 간단히 풀이할 수 있다. 두 종류의 가지 밭을 수식으로 나타내고, 두 수식이 일치하는 근을 찾았을 때 이 값들이 가지 밭의 길이가 될 수 있다. 먼저 첫 번째 가지밭의 경우 n * 행의 수 + 열의 수를 통해 쉽게 수식으로 나타낼 수 있다.

  두 번째 가지밭의 수식은 행과 열까지의 칸을 개수를 세는 방식으로, 현재 행과 열까지를 도형으로 세 등분 하여 나타낼 수 있다.아래 그림에서 r,c의 값을 알고 싶다면 파란색 사각형의 (r-1)*(r*c), 빨간색 삼각형의 1 + 2 + ... + c, 초록색 삼각형의 1 + 2 + ... + r을 다 더하여 구할 수 있다. 수식을 간단히 정리하면 아래와 같다.

2-2. 근 찾기

  하지만 수식으로 나타낸 가지 밭을 n까지의 루프를 통해 근을 찾는 방법은 시간 복잡도 O(n)으로, n의 범위가 10억이 넘는 문제의 상황에서는 시간 초과가 발생한다. 더욱 낮은 시간 복잡도에서 근을 찾을 수 있는 방법을 찾아야 한다.

풀이 중

참고 자료

• 백준: https://www.acmicpc.net/problem/31629
• 코드 풀이: https://github.com/choiish98/Algorithm/blob/main/Backjoon/Arena/A_boj_31628.c%2B%2B

#1 개념

1-1. 문제점

  현대 어플리케이션의 네트워크 수요가 증가하는 상황에서 기존 네트워크 스택으로는 프로세싱으로 수요를 다 처리하는 것에는 한계가 있었다. 리눅스 파운데이션과 인텔, 레드햇, 시스코 등 여러 기술 기업들은 기존 네트워크 스택의 문제점을 해결하기 위해 새로운 네트워크 패킷 프로세싱 라이브러리 및 드라이버를 개발하는 프로젝트를 수행하였다.

  기존 네트워크 패킷 프로세싱은 다음과 같은 한계점들을 가지고 있었다.

- 컨텍스트 스위치 오버헤드: CPU는 드라이버를 통해 디바이스를 호출할 수 있으며, 패킷을 전달하기 위해 시스템 콜을 호출하도록 한다. 이러한 과정은 사용자 공간의 어플리케이션이 커널 공간으로의 컨텍스트 스위치가 발생하도록 하며, 이로 인한 오버헤드가 발생하게 된다.

- PCIe와 메모리 인터페이스 제한: CPU와 NIC 간의 데이터 전송은 주로 PCIe 인터페이스를 통해 이루어진다. CPU가 NIC으로 패킷을 전달하는 과정에서 여러 번의 데이터 복사가 발생하며, 인터페이스와 CPU의 처리 속도 차이에 의한 성능 제한이 발생한다.

- 멀티코어 활용 제한: 기존의 네트워크 스택은 멀티코어 프로세싱을 지원하기 위해 커널 레벨에서 코어 간 동기화를 위한 락을 사용한다. 하지만 락 오버헤드는 병렬 처리를 충분히 활용하지 못 하게 한다.

- 커널 오버헤드: 커널 공간에서 패킷을 처리할 때, 패킷은 IP 스택, TCP/UDP 스택, 소켓 인터페이스 등 여러 단계의 네트워크 스택을 거치게 된다. 이러한 스택 프로세싱을 거치는 과정에서 프로세싱의 지연 시간이 발생하게 된다. 또한, 커널의 스케줄링에 의해 패킷 프로세싱이 후순위로 배치되어 추가적인 지연이 발생할 수 있다.

1-2. 정의

  DPDK(Data Plane Development Kit)은 기존 네트워크 프로세싱의 문제들을 해결하기 위해 개발된 고성능, 저지연, 멀티코어 최적화 네트워킹 솔루션으로, 패킷 프로세싱을 위한 라이브러리 및 드라이버를 제공하는 오픈소스이다. DPDK는 패킷 프로세싱 과정을 사용자 공간으로 오프로딩하여 컨텍스트 스위치, 커널 오버헤드, 락 오버헤드를 해결하였다.

1-3. 원리

  DPDK는 다음과 같은 방법을 사용하여 패킷 프로세싱을 사용자 공간으로 오프로딩 하였다.

• CPU 개입 없이 NIC에게 데이터를 전송하기 위해 DMA 활용
• 어플리케이션이 사용자 공간에서 직접 드라이버를 사용하여 디바이스를 폴링 (UIO/VFIO)
• 패킷 처리를 위한 버퍼, 큐 등을 사용자 공간 버퍼에 할당

#2 아키텍처

2-1. 컴포넌트

• EAL (Environment Abstraction Layer): DPDK 애플리케이션과 하드웨어 간의 기본 인터페이스를 제공하여 운영 체제 및 하드웨어의 차이점에 대한 세부 사항을 추상화
• Memory Management: 효율적인 패킷 처리에 필수적인 huge page, 메모리 풀 및 버퍼 관리 기능을 제공
• PMDs (Poll Mode Drivers): 다양한 네트워크 인터페이스에 최적화된 드라이버로, 커널의 네트워크 스택을 바이패스하여 지연 시간을 줄이고 처리량을 증가
• Ring Buffers: 프로세스 간 고속 통신을 위한 큐 버퍼
• APIs for Packet Processing: 헤더 파싱, 패킷 분류 및 패킷 포워딩을 포함한 패킷 조작을 위한 일련의 함수 및 라이브러리
• Crypto and Security: 암호화 및 보안을 지원하는 라이브러리 및 드라이버
• Eventdev and Timers: 이벤트 중심 프로그래밍 및 시간 관리 기능을 위해 작업을 적시에 스케줄링하고 실행할 수 있도록 지원

2-2. 라이브러리

• librte_eal: DPDK의 기본 API를 통해 메모리, 타이머 및 로그와 같은 하드웨어 리소스에 액세스
• librte_mempool: 메모리 풀을 관리
• librte_ring: Lock-free FIFO 큐 제공
• librte_mbuf: 패킷 버퍼 처리
• librte_ethdev: 이더넷 장치 구성 및 쿼리를 위한 API를 제공하며 패킷 송수신을 포함한 다양한 작업을 지원
• librte_net: 네트워크 프로토콜을 처리하기 위한 Helper API를 제공
• librte_ip_frag: IPv4 및 IPv6 모두를 지원하는 IP 패킷의 프레그멘테이션 및 리어셈블 지원
• librte_kni: DPDK 응용 프로그램과 리눅스 커널 네트워킹 스택 간의 통신을 용이하게 하며, 주로 기존 리눅스 네트워크 서비스의 디버깅 또는 인터페이스에 사용

참고 문서

• DPDK: https://www.dpdk.org/about/
• Wiki: https://en.wikipedia.org/wiki/Data_Plane_Development_Kit

# Dockerfile
FROM scratch
RUN ~~
CMD ["", ""]

# image 
# 생성, 조회, 삭제
docker build -t {image_name} .
docker images
docker rmi {image id}

# container 생성, 조회, 삭제, 시작
docker create -i --name {container_name} {image_name}
docker container ls 
docker rm {container id}
docker start {container_name}

# container 생성 + 시작
docker run -d -it --name {container_name} {image_name}

# cgroup 설정
docker run --cgroup-parent={cgroup_path} {image_name}

# 명령어 전달
docker exec -it {container_id} {command}
# 쉘 접속
docker attach -it {container_id}
docker run --attach stdout {image_name}
# 포트 포워딩 
docker run -p <host_port>:<container_port> {image_name}

#1 개념

1-1. 배경

  Cgroups는 2006년 Google의 "Process Containers" 프로젝트를 통해 만들어졌으며, 프로젝트는 다음과 같은 목적으로 시작되었다.

• 리소스 격리: 다수의 프로세스가 동시에 실행되는 환경에서 각 프로세스가 시스템 자원을 공유하고 사용할 때 발생하는 리소스 경합으로 인한 성능 저하를 방지하기 위한 프로세스 격리 및 자원 사용량 제한
• 보안: 악성 코드나 악의적인 프로그램이 시스템에 액세스 하여 피해를 입히는 것을 방지하기 위해, 프로세스를 격리된 환경에서 실행
• 자원 관리의 최적화: 프로세스 간의 자원 사용을 효율적으로 관리하고 최적화하기 위해 자원 모니터링 및 사용량 제한

1-2. 정의

  Cgroups는 작업셋의 집약/파티셔닝을 제공하는 메커니즘으로 하나 또는 그 이상의 서브 시스템을 파라미터 셋으로 연관시키는 역할을 한다. 서브 시스템은 작업 그룹의 사용을 효과적으로 만들어주는 모듈로, 일반적으로 자원을 스케쥴링하고 그룹 별 제한을 적용하는 등의 작업을 수행하는 "resource controller"이다. 계층은 트리에 배열된 cgroup의 집합으로, 시스템의 모든 작업이 cgroup의 집합 중 하나에 포함되도록 한다. 각 서브 시스템은 해당 cgroup의 system-specific state와 cgroup 가상 파일 시스템의 인스턴스를 가지고 있다.

#2 사용법

2-1. Basic Usage

  Cgroup과 서브시스템은 기본적으로 쉘 명령어를 사용하여 조작할 수 있으며, 가상 파일시스템을 통해 동작한다.

# To mount a cgroup hierarchy with all available subsystems
mount -t cgroup {group_name} /sys/fs/cgroup

# mount tmpfs on /sys/fs/cgroup
# create direcotries for each cgroup resource
mount -t tmpfs cgroup_root /sys/fs/cgroup
mkdir /sys/fs/cgroup/rg1

# mount a hierarchy with cpuset and memory subsystem
mount -t cgroup -o cpuset,memory hier1 /sys/fs/cgroup/rg1

2-2. Attaching process

echo PID > tasks

참고 자료

• 커널 문서: https://docs.kernel.org/admin-guide/cgroup-v1/cgroups.html
• API: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/resource_management_guide/ch-using_control_groups
• 서브 시스템 관련: https://sonseungha.tistory.com/535

#1 개념

1-1. 배경

  멀티 프로세싱이 널리 사용되면서 CPU 소켓 당 코어 수, 메모리 컨트롤러, 메모리 채널 및 마더보드의 CPU 소켓 수 등이 증가했다. 이러한 환경은 다수의 코어를 활용하여 연산 효율을 높이는 동시에 메모리 오버헤드 또한 발생시켰다. 각 코어가 임의의 데이터에 접근하기 위해 메모리 컨트롤러에 접근하는 것은 하드웨어적인 물리적 거리에 따른 지연시간을 초래한다. 간단한 예로, 아래 그림에서 CPU 소켓 0번의 코어가 CPU 소켓 1번에 연결된 메모리에 접근하려 할 때, 최대 2배의 지연시간이 발생할 수 있다. 이러한 이슈를 보완하기 위해 NUMA라는 개념이 도입되었다.

1-2. 정의

   NUMA(Non-Uniform Memory Access)의 의미는 불균일 메모리 접근이라는 뜻으로 코어들의 메모리 접근 시간이 균일하지 않다는 것을 나타내며, 이는 주로 여러 CPU 소켓 및 여러 메모리 컨트롤러에 의해 지연 시간이 발생하는 시스템을 지칭한다. NUMA 아키텍처에서는 메모리 접근 시간을 균일화하는 것이 주요 과제로 다뤄지며, 이를 위해 같은 지역의 메모리를 사용하는 코어들을 그룹화하여 코어들의 메모리 접근 지연시간을 최소화하려는 노력이 이루어진다.

#2 사용법

2-1. 조회

  기본적으로 NUMA 노드와 관련된 명령어는 numactl을 사용하며 아래와 같은 명령어로 현재 시스템의 NUMA 구성을 조회활 수 있다.

numactl --show
numactl --hardware

2-2. 기타 명령어

# 프로세스 특정 메모리 바인딩
numactl --membind=0,1 --your_program_name 

# 프로세스 특정 코어 바인딩
numactl --physcpubind=0,2,4,6 -- your_program_name

# NUMA 노드 0에서 프로세스 실행
numactl --cpunodebind=0 --membind=0 your_program_name

참고 자료

• 그림1: https://blog.sqlauthority.com/2015/12/12/sql-server-discussion-on-understanding-numa/

#1 개념

1-1. Seq2seq

  Seq2seq 모델은 문장이 순서와 위치의 영향을 많이 받는 특성을 이용하여 문장을 하나의 시퀀스로 다루고 학습한다. Seq2seq 모델의 원리는 인코더와 디코더를 통해 입력 언어를 문맥 벡터(중간 언어)로 변환하고, 디코더를 통해 문맥 벡터를 출력 언어로 변환한다. 즉, 문맥 벡터라는 중간 언어를 통해 입력 언어와 출력 언어 사이의 모델을 형성하고 인코더 디코더는 각 언어와 문맥 벡터의 관계를 학습하는 것이다. 그리고 시퀀스 데이터를 처리하는 데 특화된 RNN, LSTM 모델을 활용하여 인코더와 디코더의 각 계층을 구성한다. 

  하지만 seq2seq2 모델은 다음과 같은 단점이 있어 자연어 처리를 위한 새로운 모델의 설계 필요성이 촉구 됐다.

• RNN 모델이 가지는 장기 의존성 문제로 인해 시퀀스 사이의 장거리 상관관계를 학습하기 어렵다.
• 시퀀스를 학습하기 위해 RNN 모델과 같이 이전 단계에 의존하기 때문에 병렬화가 어렵다.
• 인코더 디코더로 인해 모델의 병렬화가 어렵다.
• RNN 모델의 계층은 컴퓨팅 연산이 복잡하다.

1-2. Transformer

  트랜스포머 모델은 기존 RNN 모델을 이용한 seq2seq 모델의 단점을 극복하기 위해 인코더 디코더가 존재하지만 어텐션이라는 개념을 이용하여 단어 입력을 순차적으로 받지 않는 새로운 모델이다. 이를 통해 모델의 병렬 연산이 가능하며, 이전 단계에 의존하지 않게 되었다. 그리고 트랜스포머 모델의 내부는 인코더 스택으로 이루어진 인코딩 컴포넌트와 인코더 스택과 같은 수의 디코더 스택으로 이루어진 디코딩 컴포넌트 그리고 두 컴포넌트 사이의 연결 컴포넌트로 구성되어 있다. 

  트랜스포머 모델의 어텐션 메커니즘은 순차적이지 않은 단어 입력을 위해 위치 정보를 알려주기 위한 메커니즘으로, 입력 시퀀스의 각 요소가 다른 요소에게 주는 중요도를 계산하여 가중 평균을 구하고 문장의 어느 부분에 주의를 기울여야 하는지를 결정한다. 이를 통해 트랜스포머 모델은 seq2seq 모델의 장기 의존성 문제를 효과적으로 해결한다. 트랜스포머의 어텐션은 크게 인코더, 디코더, 인코더-디코더 세 가지가 있다.

#2 모델

  트랜스포머 모델은 하이퍼 파라미터인 num_layers 개수의 인코더 층을 쌓으며, 인코더와 디코더는 self-attention, feed forward neural network 두 하위 계층으로 이루어져 있다. 또한, 인코더와 디코더를 연결하기 위한 인코더-디코더 어텐션 계층이 존재한다.

2-1. Embedding

  트랜스포머 모델은 인코더에 입력을 전달하기 전에 먼저 텍스트 데이터인 입력을 수치화하여 모델이 이해하고 처리할 수 있도록 고정된 크기의 벡터로 변환하는 과정을 거친다. 임베딩 과정을 통해 입력 텍스트를 단어 또는 하위 단어로 나누어 토근화 하고, 각 토큰을 고정된 크기의 벡터로 변환한다. 그리고 순차적인 구조를 갖지 않는 트랜스포머 모델을 위해 포지셔널 인코딩을 통해 단어 벡터 사이의 위치 정보를 제공하여 디코딩 후 단어를 재조합 할 수 있도록 한다.

2-2. Encoder

• Self-Attention

  트랜스포머 모델의 Self-Attention은 입력 시퀀스의 각 요소가 다른 모든 요소들과의 관계를 고려하여 자신을 재구성하는 메커니즘이다. Self-Attention은 입력 시퀀스의 모든 위치 간 상호 의존성을 모델링하는 데 사용되며, 단어의 문맥을 이해하는 데 매우 유용하여 장기 의존성 문제가 없다. 또한 임베딩 과정을 통해 순차적이지 않은 요소들을 통해 병렬 처리가 가능하다.

  Self-Attention은 하나의 단어가 문맥의 모든 단어와의 관계성을 반영하기 위해 하나의 단어 벡터를 Query, Key, Value 세 가지 벡터로 변환한다. 이 과정은 Wq(쿼리 가중치 벡터), Wk(키 가중치 벡터), Wv(밸류 가중치 벡터)를 하나의 단어에 곱하여 수행되며, 각 벡터의 선형 벡터로 변환되도록 하며, 다음의 역할을 수행할 수 있도록 한다.

1. 쿼리 벡터: 단어 간의 유사 정도를 질문하기 위한 벡터
2. 키 벡터: 단어 간의 유사 정도를 나타내기 위한 벡터
3. 밸류 벡터: 출력 값을 전달하기 위한 벡터

  Self-Attention은 위의 세 가지 벡터를 통해 각 단어들의 문맥 속 의미를 모델링한다. 먼저 한 단어의 쿼리 벡터를 모든 단어의 키 벡터와 어텐션 스코어를 계산하여 단어와 단어 사이의 유사성을 계산한다. 계산된 어텐션 스코어는 소프트맥스 함수를 통해 정규화되며, 이를 어텐션 가중치라 한다. 이를 통해 한 단어와 모든 단어 사이의 유사성을 정규화 된 어텐션 가중치 값으로 나타낼 수 있다. 이러한 과정을 스케일 닷 프로덕트 어텐션이라 하며, 계산된 어텐션 가중치는 하나의 밸류 벡터에 모든 단어에 대한 어텐션 가중치 값을 곱하여 한 단어가 문맥 속에서 다른 모든 단어와의 유사성 정보를 내포하는 벡터의 형태로 출력된다.

  또한 인코더에서 Self-Attention은 주로 병렬적으로 수행하며 이를 Multi-Headed Self-Attention이라 한다. 각 단어들의 쿼리, 키, 벨류 벡터가 여러 개로 나뉘며, 각 벡터 간의 의존성이 없기 때문에 병렬적으로 나뉘어 수행될 수 있다.

• FFN (Feed Forward Network)

  앞의 Self-Attentinon에서는 모델의 계산을 위해 입력 벡터를 가중치 벡터의 곱을 통해 벡터의 선형화를 수행하였다. 따라서 Self-Attention의 계산은 관계와 가중합을 기반으로 한 단순 정보만 제공하기 때문에 단어의 특징을 나타내기에는 밸류 벡터의 비선형성이 없어 부족할 수 있다. 따라서 트랜스포머 모델에서는 FFN을 통해 비선형성을 추가하고, 추가적인 특징 추출을 통해 벡터의 표현력을 향상시킨다.  FFN은 가중 벡터를 통해 선형화 된 후, 활성화 함수 ReLU를 통해 비선형성을 추가한 후 다시 가중 벡터를 통해 선형화하는 방식으로 동작한다.

2-3. Dedocer

  디코더 또한 인코더와 같이 Self-Attention과 FFN으로 이루어져 있으며, 추가로 인코더와 디코더를 연결하기 위한 Encoder-Decoder Attention이 존재한다.

• Masked Multi-Head Self-Attention

  인코더의 Self-Attentnio 계층에서는 입력 시퀀스의 모든 단어를 고려하여 특징을 추출해야 문맥의 의미를 파악할 수 있었다. 하지만 디코더의 Self-Attentnio 계층에서는 문장의 차례대로 생성하는 과정에서 이후의 단어를 고려하는 것이 아니라 이전의 생성된 단어만 고려하여 다음 단어를 예측하여야 한다. 이러한 문제를 해결하기 위해 Masked Multi-Head Self-Attention 계층에서는 이후의 단어에 대한 어텐션을 제한하여 이전 단어를 고려하면서 다음 단어를 예측하도록 한다. 이는 self-attention을 구하기 위한 소프트맥스 함수 계산 전 포지션 마스킹을 통해 계산하여야 할 키와 쿼리를 정하여 수행된다. 

• Encoder-Decoder Attention

  Encoder-Decoder Attention은 Encoder의 출력과 Decoder의 입력을 연결하는 역할을 수행하며, Attention의 동작을 기본 원리로 한다. 기존의 Attention처럼 쿼리와 키의 어텐션 가중치와 밸류를 곱하여 컨텍스트 벡터를 구한다. 여기서 키와 밸류는 인코더의 출력 벡터에서 가중 벡터를 곱하여 구하고, 쿼리는 디코더의 입력에 가중 벡터를 곱하여 구한다. 이를 통해 디코더는 인코더의 출력과 입력을 고려하는 컨텍스트 벡터를 이용하여 다음 단어를 예측하게 된다.

2-4. Final Linear and Softmax Layer

• Linear layer: 디코더의 스택에 의해 생성된 벡터를 로짓 벡터라고 하는 훨씬 더 긴 길이의 보캅 크기의 벡터로 투영
• Softmax layer: 가능한 다음 단어의 확률 분포를 생성

참고 자료

• Attention Is All You Need - Arxiv (https://arxiv.org/pdf/1706.03762)