LWN:用BPF来修改kernel里的operation structure!

最新推荐文章于 2022-10-08 23:42:06 发布
最新推荐文章于 2022-10-08 23:42:06 发布
阅读量459 收藏 1
点赞数
原文链接:https://lwn.net/Articles/811631/
版权

关注了就能看到更多这么棒的文章哦~

Kernel operations structures in BPF

By Jonathan Corbet
February 7, 2020

原文来自:https://lwn.net/Articles/811631/

在5.6 kernel将要包含的功能中,有一个会引起许多人的兴趣:支持加载BPF program来配置TCP拥塞控制算法(TCP congestion-control algorithms)。用网络部分的开发者Toke Høiland-Jørgensen的说法来说:“这是把kernel变成一个基于BPF runtime的微内核的又一进展”。拥塞控制是最新交给BPF的一个新任务,这已经远远超出了当初设计BPF的时候的目标。不过,如果细细看进去的话,肯定会感到更加惊讶,因为这个功能的实现方式打破了许多领域的惯例!

这个功能的使用场景再明显不过了。目前已经有许多拥塞控制算法在用了,每种都有各自特别适用的特定网络条件。因此产生了动态选择拥塞控制算法而不用重新编译kernel以及重启系统。网络开发者也可以更加轻松地来实验拥塞控制算法。有人可能会提出异议,认为拥塞控制本质上与其他那些flow disp或者IR protocol decoding这些任务没有什么区别,它们都可以用BPF来实现了,拥塞控制应该也可以。不过,事实上,拥塞控制的调整要复杂的多。

仔细看看Martin KaFai Lau的patch set就知道,合入5.6的这个功能不仅仅是在TCP拥塞控制算法这里加了个BPF hook而已,而是一个更加通用的方案。具体来说,新加的这个功能可以用来在kernel里让BPF program替换任意的“operation structure”(就是一个全是各种函数指针的结构体)。目前来说,还只能替换tcp_congestion_ops这个结构体里的内容,从而改变拥塞控制算法。不过按我们的经验,不就之后就会有许多其他用法被人们创造出来。

The user-space API

从user-space角度来说,如果要用这个功能新加载一个operation structure需要若干步骤。首先就是利用bpf()系统调用,把每个函数都加载为一个独立的BPF program。新增的BPF_PROG_TYPE_STRUCT_OPS类型就是为了这一步定义的。给每个BPF program传入的参数中,user space都需要提供BPF type format (BTF) ID,对应着要替换的structure。BTF也是最近加入kernel的,用来描述和区分当前运行的kernel中的具体的函数与数据结构,目前主要用在对tracing function的类型检查上。

user space还需要提供一个偏移量来指明此BPF program是用来替换哪个函数的。举例来说,在struct tcp_congestion_ops里面,ssthresh()函数指针是第六个成员,因此传入的偏移量参数是5(因为从0开始计数)。不过这个API如何确保不受structure layout randomization功能的影响,目前还不是很清楚。

等到structure中每个成员对应的program加载好了,kernel就会针对每个program都返回一个对应的文件描述符。接下来,user space就可以生成类似这样的一个结构:

    struct bpf_tcp_congestion_ops {
	refcount_t refcnt;
	enum bpf_struct_ops_state state;
	struct tcp_congestion_ops data;
    };

这里的data就是要替换的结构的相同类型,这里就是struct tcp_congestion_ops。其中并不是放置了许多函数指针,而是放置那些program加载进去之后取得的相应文件描述符。结构中那些不是函数指针的成员就不用设置了,不过kernel还是会用下面的方式来替换一下。

最后一步,把这个structure加载到kernel里。大家可以想到许多方式来完成这个任务,实际上的实现方式,大多数人可能想不到。user space需要创建一个特殊的基于BPF_MAP_TYPE_STRUCT_OPS类型的BPF map。跟这个map关联在一起的是kernel中一个特殊结构对应的BTF type ID。真正替换这个结构的动作是通过把上面填好的bpf_tcp_congestion_ops放到BPF map里的第一个元素(元素0)来实现的。也可以对这个map进行query操作(查看rfcnt和state等信息)或者干脆把第一个元素删掉从而移除这个structure。

BPF map近一两年拥有了越来越多的功能。尽管如此,这次似乎也是第一次看到BPF map被这样用起来。这样的接口是否是最合适优雅的实现方式,是有争议的。不过大多数user-space开发者看不到这个接口,因为同其他BPF API一样,都会被libbpf库来封装起来。

The kernel side

要替换一个operation structure肯定需要kernel里面的一些代码来支持。user space是不能任意地替换structure内容的。为了能替换一个特定类型的structure,kernel代码需要创建下面这样的一个结构:

    #define BPF_STRUCT_OPS_MAX_NR_MEMBERS 64
    struct bpf_struct_ops {
	const struct bpf_verifier_ops *verifier_ops;
	int (*init)(struct btf *btf);
	int (*check_member)(const struct btf_type *t,
			    const struct btf_member *member);
	int (*init_member)(const struct btf_type *t,
			   const struct btf_member *member,
			   void *kdata, const void *udata);
	int (*reg)(void *kdata);
	void (*unreg)(void *kdata);
	const struct btf_type *type;
	const struct btf_type *value_type;
	const char *name;
	struct btf_func_model func_models[BPF_STRUCT_OPS_MAX_NR_MEMBERS];
	u32 type_id;
	u32 value_id;
    };

这里还有许多细节,无法在本文中介绍清楚,此结构中的一些成员是自动由宏定义来填充的。verifier_ops结构则包含了一些函数,用来验证每个替换进来的函数都是安全可靠的。patch set还对这个structure新增了一个成员:struct_access(),这是用来管控指定此结构中哪些操作可以用BPF函数来替换。

init()函数会在最开始先调用一次,来完成一些全局性的配置工作。check_member()则用来判断目标结构中的某个特定成员是否被允许用BPF来实现,而init_member()则会在这个结构中检查任何一个成员的具体值。特别指出,init_member()可以验证那些不是函数指针的成员(比如flag成员等)。reg()函数会在完成那些检查工作之后把这个替换structure注册进来,具体在拥塞控制这个场景,它会把tcp_contestion_ops结构(内容已经被换成了那些BPF program)安装到网络协议栈里面会调用到它们的地方。unreg()则反之。

这种类型的结构在创建时都会有一类的名字:structure的类型会被替换为bpf_开头。所以用来替换tcp_congestion_ops结构的就是bpf_tcp_congestion_ops。这个结构就是在user space在加载新的operation structure时要利用BTF ID来引用的structure了。最后,会在kernel/bpf/bpf_struct_ops_types.h里面增加如下一行:

    BPF_STRUCT_OPS_TYPE(tcp_congestion_ops)

最后是故意没有分号的。利用这些魔术一般的宏定义功能,在bpf_struct_ops.c里面include这个文件4次之后,一切就都准备好了,不需要创建一个注册这个structure type的特殊函数。

In closing

大家如果对tcp_congestion_ops替换功能在kernel里的实现细节感到好奇,可以参看net/ipv4/bpf_tcp_ca.c。代码库里也已经实际实现了两种算法(TCTCP和CUBIC)。

在kernel里面能任意替换operation structure的话,会有许多潜在的用法。kernel代码里面有非常多的地方都是通过这些operation structure来调用到的。举例来说,如果我们能替换security_hook_heads structure的一部分,就可以任意修改安全策略了,这就类似KRSI这个功能。如果能替换file_operations structure,就可以重新实现kernel的I/O subsystem。还有许许多多的例子可说。

目前还没有人提出来要做这些改动,不过肯定有人会对此感兴趣的。有一天,也许任何的kernel功能都可以被user space提供的BPF program来替代。这样一来,用户对自己在运行的系统就会拥有更大的自由度,不过我们一直所说的"Linux kernel"则会变得多样化,user space加载的不同代码会让它大变样。这个结果应该会非常有趣啊!

全文完

LWN文章遵循CC BY-SA 4.0许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注LWN深度文章以及开源社区的各种新近言论~

Kernel: BPF: retsnoop
mzhan017的博客
04-02 641
https://github.com/anakryiko/retsnoop
6.6 LIBBPF API(五,btf.h 函数列表,定义,枚举)
从0到1,突破自己
05-26 128
btf.h.h 函数列表,定义,枚举
eBPF系列学习(1)-什么是内核BPF、eBPF
西京刀客
08-23 5680
eBPF 是一种可以在操作系统内核中运行沙盒程序的技术。eBPF 使我们能够安全地扩展内核的功能,而不需要改变内核的源代码或加载内核模块。
Linux内核BPF struct-ops特性及kfunc安全调用机制探讨
最新发布
12-31
内容概要:本文讨论了BPF(Berkeley Packet Filter)中struct_ops的功能及其在内核操作接口中的应用,重点介绍struct_ops允许BPF程序为内核实施特定操作。文档还深入探讨了kfunc(kernel functions)在不同struct_ops回调中调用的安全性和局限性。作者提出了一种支持将kfunc权限限制于具体struct_ops回调的方法,并讨论了用于追踪可以调用哪些kfunc的全局掩码方法。此外,文中涉及调度扩展(sched_ext)和其他内核模块对kfunc的支持与应用。 适合人群:具备一定操作系统基础并希望深入了解BPF技术的开发人员、安全专家以及系统架构师。 使用场景及目标:帮助开发者更好地理解和掌握如何利用struct_ops增强BPF程序功能,以及如何确保kfunc调用的安全,特别是在复杂的应用环境中防止不当调用导致的问题发生。 其他说明:本文不仅提供理论知识,还有实际案例讲解,适用于那些希望通过实例来加强理解的学习者。同时,对于关注Linux内核发展动向和技术细节的专业人士而言,也是不可或缺的参考资料。
LWN:BPF tracing进行类型检测
Linux News搬运工
11-13 539
Type checking for BPF tracingByJonathan CorbetOctober 28, 2019原文来自:https://lwn.net/A...
BPF类型格式BTF
攻城狮
12-21 2679
@[TOC](BPF) 这是包含BPF(Berkeley Packet Filter)功能的文档,重点放在扩展的BPF版本(eBPF)上。 该内核方面的文档仍在开发中。 (出于历史原因)主要文本文档在Linux套接字过滤(又称为Berkeley数据包过滤器(BPF))中进行了描述。 该文档描述了经典BPF和扩展BPF指令集。 Cilium项目还维护着一个BPF和XDP参考指南,该指南对BPF体系结构有很深的技术深度。 bpf syscall的主要信息可在bpf(2)的手册页中找到。 BPF类型格式(BTF)
BPF BTF 详细介绍
dwh0403的专栏
09-24 3197
本文地址:https://www.ebpf.top/post/kernel_btf/ 英文文档:https://www.kernel.org/doc/html/latest/bpf/btf.html 1. 介绍 BTF(BPF 类型格式)是一种元数据格式,对与 BPF 程序 /map 有关的调试信息进行编码。BTF 这个名字最初是用来描述数据类型。后来,BTF 被扩展到包括已定义的子程序的函数信息和行信息。 调试信息可用于 map 的更好打印、函数签名等。函数签名能够更好地实现 bpf 程序/函数的内核符号
BPF-Performance-Tools-by-Brendan-Gregg.pdf
01-13
BPF-Performance-Tools-by-Brendan-Gregg
BPF( 伯克利数据包过滤器 ) Performance Tools》 第一章 引言
weixin_55255438的博客
10-03 1300
并且显示了延迟离群点的存在。有人开发了动态跟踪工具(比如kerninstCambhs99l), 其也包含相应的跟踪语言,但是这些工具实在太过复杂,在实践中很少被使用,还有部分原因是它们会带来较大的运行风险:动态跟踪要求实时修改地址空间中的应用指令,一旦出现任何错误就会导致进程或者内核崩溃。opensnoop.bt 工具可以对出错的软件进行故障排查,也许软件尝试打开了错误的文件位置:也可以用于了解配置和日志文件的具体位置:还可以识别一些性能问题,比如文件打开频次过快,或者反复检查错误文件位置等。
BPF( 伯克利数据包过滤器 ) Performance Tools》 第五章 bpftrace
weixin_55255438的博客
10-08 1936
bpftrace是一款基于BPF和BCC的开源跟踪器。和BCC一样,bpftrace自带了许多性能工具和支持文档。它同时还提供了一个高级编程语言环境,可以用来创建强大的单行程序和小工具。比如,下面的单行程序以直方图形式统计vfs_read() 的返回值(读取的字节数或错误码) :Alastair Robertson阿拉斯泰尔·罗伯逊Alastair Robertson于2016年12月创建了bpftrace, 当时它还只是一个业余项目。
BPF Performance Tools - Brendan Gregg.rar
05-21
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
BPF PerformanceTools.epub
08-21
BPF and related observability tools give software professionals unprecedented visibility into software, helping them analyze operating system and application performance, troubleshoot code, and strengthen security. BPF Performance Tools: Linux System and Application Observability is the industry’s most comprehensive guide to using these tools for observability. Brendan Gregg, author of the industry’s definitive guide to system performance, introduces powerful new methods and tools for doing analysis that leads to more robust, reliable, and safer code. This authoritative guide: Explores a wide spectrum of software and hardware targets Thoroughly covers open source BPF tools from the Linux Foundation iovisor project’s bcc and bpftrace repositories Summarizes performance engineering and kernel internals you need to understand Provides and discusses 150+ bpftrace tools, including 80 written specifically for this book: tools you can run as-is, without programming — or customize and develop further, using diverse interfaces and the bpftrace front-end You’ll learn how to use BPF (eBPF) tracing tools to analyze CPUs, memory, disks, file systems, networking, languages, applications, containers, hypervisors, security, and the Linux kernel. You’ll move from basic to advanced tools and techniques, producing new metrics, stack traces, custom latency histograms, and more. It’s like having a superpower: with Gregg’s guidance and tools, you can analyze virtually everything that impacts system performance, so you can improve virtually any Linux operating system or application.
BPF Performance Tools - Brendan Gregg.pdf
01-30
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
BPF Performance Tools
02-28
第1章 引 言1 1.1 BPF和eBPF是什么 1 1.2 跟踪、嗅探、采样、剖析和可观测性分别是什么 2 1.3 BCC、bpftrace和IO Visor 3 1.4 初识BCC:快速上手 4 1.5 BPF跟踪的能见度 7 1.6 动态插桩:kprobes和uprobes 8 1.7 静态插桩:tracepoint和USDT 9 1.8 初识bpftrace:跟踪open() 10 1.9 再回到BCC:跟踪open() 13 1.10 小结 15 第2章 技术背景16 2.1 图释BPF 16 2.2 BPF 17 2.3 扩展版BPF 18 2.4 调用栈回溯 41 2.5 火焰图 44 2.6 事件源 48 2.7 kprobes 49 2.8 uprobes 53 2.9 跟踪点 57 2.10 USDT 62 2.11 动态USDT 66 2.12 性能监控计数器 68 2.13 perf_events 69 2.14 小结 70 第3章 性能分析71 3.1 概览 71 3.2 性能分析方法论 73 3.3
BPF( 伯克利数据包过滤器 ) Performance Tools》 第三章 性能分析
weixin_55255438的博客
10-06 1400
本书介绍的各种工具可用于性能分析、故障排查、安全分析以及其他很多方面。为了帮助你理解如何运用这些工具,本章提供了一份针对性能分析的快速入门指南。学习目标:■理解性能分析的工作目标和工作内容。■对业务负载进行定性分析。■实施USE方法论。■实践下钻分析方法论。■理解清单分析方法论。■使用传统工具和60秒Linux清单快速初步定位性能问题。■使用BCC/BPF工具清单快速定位性能问题。
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 7572
上一节,我们使用了bpftrace 开发eBPF程序跟踪内核和用户态的程序,bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
BPF( 伯克利数据包过滤器 ) Performance Tools》 第二章 技术背景
weixin_55255438的博客
10-05 2172
下图是Sasha Goldshtein用户态预定义静态跟踪(user-level statically defined tracing, USDT)提供了一个用户空间版的跟踪点机制。BCC的USDT支持是Sasha Goldshtein实现的,bpfrace的USDT支持是由笔者和Matheus Marchini完成的。用户态的软件有很多与跟踪和日志相关的技术,而且许多应用程序自身也内置了自定义的事件日志系统,可以根据需要随时开启。USDT与众不同之处在于,它依赖于外部的系统跟踪器来唤起。
Linux bpf 1.1、BPF内核实现
热门推荐
pwl999的博客
09-28 1万+
BPF的字面上意思Berkeley Packet Filter意味着它是从包过滤而来。如果在开始前对BPF缺乏感性的认识建议先看一下参考文档:“3.1、Berkeley Packet Filter (BPF) (Kernel Document)”、“3.2、BPF and XDP Reference Guide”。 本质上它是一种内核代码注入的技术: 内核中实现了一个cBPF/eBPF虚拟机; ...
LWN:《BPF Performance Tools》介绍!
Linux News搬运工
03-05 5370
关注了就能看到更多这么棒的文章哦~A look at "BPF Performance Tools"ByJake EdgeFebruary 26, 2020原文来自:h...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值