не факт что лучше выйдет

Ну я мерял, но это давно было. Инкапсуляцию в UDP он медленно делает

@olevole ты что думаешь по-поводу добавления netgraph бакенда?

больше бекендов хороших и разных :)))

я только не понял, это ради реплейса tap?

Александр numa domain еще наверное надо организовать чтобы выжимать из bhyve на сети максимум, я все в цбсд не могу время найти впендюрить. set_affinity/cpuset на bhyve процессы. Нетграфовые процессы можно регулировать на нужные cpu? или на сетевом трафике это совсем мелочи?

В целом да, альтернатива tap. Пока я вижу следующте преимущества.

1. Netgraph предоставляетет уже готовые модули: ng_nat, ng_ipfw, шейпинг, QoS

2. Нет зависимости от /dev/xxxxN - netgraph уже "виртуализирован" через VNET, т.е можно bhyve запускать в jail

3. ng_socket внезапно быстрее чем /dev/tapX

4. Есть куда дальше двигаться в теме TSO/CSUM

предоставляет, но работает ли) будьте готовы законтрибьютить нетграф) а минусы существуют?

а чего там с блокировками?

я так и не догоняю этот хайп на тему бхуя в jail. кейсы со стороны jail на уровн ядра на bhyve мало значимы, тк виртуалка все равно все делает на уровне vtx, vmenter/vmexit. Куски jail по части юзерленда для бихайва наверное только ограничения по файловой системе дадут - если взломают код эмуляции каких то компонент, то вывалятся в jailed fs. Но с этим и чрут прекрасно справится - статикой собирать bhyve и запускать в чруте без всего

это если клиентуру разношерстную хостить

На тему bhyve в jail мне хочется что-то подобное Smartos

Всё плохо, но мир шагнул далеко вперёд. Там много чего элементарно переделывается

у смартос от kvm в зонах профит есть, статистику через зоны собирают например и лимиты делают. Я в проде 2 года ферму держал на Triton compute, от Joyent.  Но jail что даст? RACCT это кошмарик