https://ops.freeedge.uk/tags/%E6%80%A7%E8%83%BD%E4%BC%98%E5%8C%96/ Recent content in 性能优化 on Ops FreeEdge Hugo en-us Fri, 03 Apr 2026 16:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-wireguard-kernel-vs-userspace/ Fri, 03 Apr 2026 16:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-wireguard-kernel-vs-userspace/ <h2 id="引言">引言</h2> <p>Tailscale 是构建在 WireGuard 之上的零配置 VPN，长期以来在其 Linux 平台上默认使用用户空间实现（<code>wireguard-go</code>）而非内核模块。这一选择优先考虑了跨平台一致性、简化部署以及 NAT 穿透、访问控制等附加功能。然而关于内核模块是否提供更优性能的问题一直存在争议。本文深入解析架构设计、历史背景、Tailscale 的性能优化策略，以及在内核与用户空间两种模式下 Tailscale 的基准测试对比。</p> <h2 id="背景内核模块-vs-用户空间-wireguard">背景：内核模块 vs 用户空间 WireGuard</h2> <h3 id="内核模块wireguard-linux">内核模块（wireguard-linux）</h3> <ul> <li><strong>引入时间</strong>：Linux 内核 5.6（2020 年）。</li> <li><strong>工作原理</strong>：原生内核网络栈处理加密/解密与数据包转发，最小化用户空间参与，减少上下文切换与复制开销。</li> <li><strong>优势</strong>：每包 CPU 开销更低，适合高吞吐（&gt;1Gbps）、高 PPS（&gt;100kpps）或低功耗设备（如树莓派）。</li> <li><strong>劣势</strong>：需要 root 权限，Linux 独占，内核漏洞影响整个系统安全边界。</li> </ul> <h3 id="用户空间wireguard-go">用户空间（wireguard-go）</h3> <ul> <li><strong>使用方</strong>：Tailscale（默认）、官方 WireGuard 工具用户空间模式。</li> <li><strong>工作原理</strong>：通过 TUN/TAP 接口在用户空间运行，数据包需多次穿越内核-用户空间边界（读写 TUN、UDP socket）。</li> <li><strong>优势</strong>：可移植（支持非 Linux 系统），无需安装内核模块，与用户空间功能集成更简单。</li> <li><strong>劣势</strong>：系统调用、内存复制与用户空间加密带来更高开销。</li> </ul> <p>需要特别说明的是，Tailscale 的数据平面还额外叠加了 DERP 中继、ACL、MagicDNS、子网路由等功能，这使得与纯 WireGuard 的性能对比变得复杂。</p> <h2 id="tailscale-的优化演进">Tailscale 的优化演进</h2> <p>Tailscale 对 <code>wireguard-go</code> 进行了激进的优化以缩小与内核模块的性能差距：</p> <h3 id="2022-年吞吐量改进v136">2022 年：吞吐量改进（v1.36）</h3> <p>关键改进：</p> <ul> <li>在 TUN 接口上启用 <strong>TCP 分段卸载（TSO）<strong>和</strong>通用接收卸载（GRO）</strong>。</li> <li>使用 <code>sendmmsg()</code>/<code>recvmmsg()</code> 实现批量 I/O。</li> </ul> <p><strong>影响</strong>：吞吐量提升 2.2 倍。在 AWS c6i.8xlarge 上的测试结果：</p>