内核模块 | Ops FreeEdge

引言 Tailscale 是构建在 WireGuard 之上的零配置 VPN，长期以来在其 Linux 平台上默认使用用户空间实现（wireguard-go）而非内核模块。这一选择优先考虑了跨平台一致性、简化部署以及 NAT 穿透、访问控制等附加功能。然而关于内核模块是否提供更优性能的问题一直存在争议。本文深入解析架构设计、历史背景、Tailscale 的性能优化策略，以及在内核与用户空间两种模式下 Tailscale 的基准测试对比。背景：内核模块 vs 用户空间 WireGuard 内核模块（wireguard-linux）引入时间：Linux 内核 5.6（2020 年）。工作原理：原生内核网络栈处理加密/解密与数据包转发，最小化用户空间参与，减少上下文切换与复制开销。优势：每包 CPU 开销更低，适合高吞吐（>1Gbps）、高 PPS（>100kpps）或低功耗设备（如树莓派）。劣势：需要 root 权限，Linux 独占，内核漏洞影响整个系统安全边界。用户空间（wireguard-go）使用方：Tailscale（默认）、官方 WireGuard 工具用户空间模式。工作原理：通过 TUN/TAP 接口在用户空间运行，数据包需多次穿越内核-用户空间边界（读写 TUN、UDP socket）。优势：可移植（支持非 Linux 系统），无需安装内核模块，与用户空间功能集成更简单。劣势：系统调用、内存复制与用户空间加密带来更高开销。需要特别说明的是，Tailscale 的数据平面还额外叠加了 DERP 中继、ACL、MagicDNS、子网路由等功能，这使得与纯 WireGuard 的性能对比变得复杂。 Tailscale 的优化演进 Tailscale 对 wireguard-go 进行了激进的优化以缩小与内核模块的性能差距： 2022 年：吞吐量改进（v1.36）关键改进：在 TUN 接口上启用 TCP 分段卸载（TSO）和通用接收卸载（GRO）。使用 sendmmsg()/recvmmsg() 实现批量 I/O。影响：吞吐量提升 2.2 倍。在 AWS c6i.8xlarge 上的测试结果： ...