eBPF理解 (一)

已于 2022-10-24 14:47:02 修改
阅读量3.5k 收藏 6
点赞数
分类专栏: linux内核分析 linux内核调试与追踪 文章标签: linux eBPF 1024程序员节
于 2022-08-20 12:33:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WANGYONGZIXUE/article/details/126437354
版权

目录

一、eBPF简介

二、快速实现BPF程序

三、使用bpf映射

一、eBPF简介

eBPF 是从 BPF (Berkeley Packet Filter) 技术扩展而来的

eBPF 系统启动后就一直运行在那里,它需要事件触发后才会执行。借助kprobe和uprobe,eBPF 程序几乎可以在内核和应用的任意位置进行插桩。

eBPF 的诞生成为内核的一个顶级子系统最典型的就是 iovisor 带来的 BCC、bpftrace 等工具。

图片来源Linux Extended BPF (eBPF) Tracing Tools

BPF开发过程过程

  1. 使用C语言开发eBPF程序
  2. 借助LLVM把eBPF程序编译成BPF字节码
  3. 通过bpf系统调用,把BPF字节码提交给内核
  4. 内核验证并运行BPF字节码,并把相应的状态保存到BPF映射中
  5. 用户通过BPF映射查询BPF字节码的运行状态 

验证过程

  • 只有特权进程才可以执行 bpf 系统调用;
  • BPF 程序不能包含无限循环;
  • BPF 程序不能导致内核崩溃;
  • BPF 程序必须在有限时间内完成。

映射过程,来源,eBPF 程序的运行需要历经编译、加载、验证和内核态执行等过程,而用户态程序则需要借助 BPF 映射来获取内核态 eBPF 程序的运行状态。

安装方式 ubuntu22.04上

sudo apt-get install -y  make clang llvm libelf-dev libbpf-dev bpfcc-tools libbpfcc-dev linux-tools-$(uname -r) linux-headers-$(uname -r)

二、快速实现BPF程序

使用BCC开发eBPF程序,跟踪openat系统调用

1、编辑C程序

int hello_world(void *ctx)
{
        bpf_trace_printk("Hello, World!");
        return 0;
}

新建hello_world.c 文件,

输出Hello, World!打印

bpf_trace_printk时BPF提供的输出,可以用cat /sys/kernel/debug/tracing/trace_pipe查看

2、编辑python程序

from bcc import BPF

b = BPF(src_file="hello_world.c")
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
b.trace_print()

 python语言,导入BCC模块的BPF

调用BPF加载.c文件

将BPF程序挂在到内核探针kprobe上,event是系统调用openat在内核的实现

打印输出,读取内核中/sys/kernel/debug/tracing/trace_pipe的内容

3、运行eBPF程序

root@root:/# python3 hello.py 
b'CPU:1 [LOST 127 EVENTS]'
b'         systemd-1       [001] d...1  3141.925409: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925410: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925415: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925416: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925417: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925419: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925421: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925423: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925430: bpf_trace_printk: Hello, World!'
b'         systemd-1       [001] d...1  3141.925442: bpf_trace_printk: Hello, World!'

systemd-1 表示进程的名字

[001]表示CPU编号

d...1是选项

3141.9254xx是时间戳

bpf_trace_printk是函数名

Hello,World是打印输出

三、使用bpf映射

BCC定义的库函数和辅助定义

BPF_PERF_OUTPUT函数功能

创建一个 BPF 表,用于通过性能环缓冲区将自定义事件数据推送到用户空间。这是将每个事件的数据推送到用户空间的首选方法。

1、改进的.c文件

//头文件
#include <uapi/linux/openat2.h>
#include <linux/sched.h>

//结构体
struct data_t {
    u32 pid;
    u64 ts;
    char comm[TASK_COMM_LEN];
    char fname[NAME_MAX];
};
//定义性能事件映射
BPF_PERF_OUTPUT(events);

//处理函数
int hello(struct pt_regs *ctx, int dfd, const char __user * filename, struct open_how *how) {
    struct data_t data = {};

    //获取PID和时间
    data.pid = bpf_get_current_pid_tgid();
    data.ts = bpf_ktime_get_ns();

    //获取进程名,把进程名复制到预定义的缓冲区
    if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)  
    {    //读取进程打开的文件名
         bpf_probe_read(&data.fname, sizeof(data.fname), (void *)filename);  
    }
    //提交性能事件
    events.perf_submit(ctx, &data, sizeof(data));

    return 0;
}

有映射后,bpf_trace_printk就不需要了,用户可以直接从内核态读取数据。

2、改进的python

将C语言写在一起,参考hello_perf_outputpy

from bcc import BPF

# define BPF program
prog = """
#include <linux/sched.h>

// define output data structure in C
struct data_t {
    u32 pid;
    u64 ts;
    char comm[TASK_COMM_LEN];
    char fname[NAME_MAX];

};
BPF_PERF_OUTPUT(events);

int hello(struct pt_regs *ctx,int dfd,const char __user *filename,struct open_how *how) {
    struct data_t data = {};

    data.pid = bpf_get_current_pid_tgid();
    data.ts = bpf_ktime_get_ns();

    if(bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0)
    {
        bpf_probe_read(&data.fname,sizeof(data.fname),(void *)filename);
    }


    events.perf_submit(ctx, &data, sizeof(data));

    return 0;
}
"""

# load BPF program
b = BPF(text=prog)
b.attach_kprobe(event=b.get_syscall_fnname("openat"), fn_name="hello")

# header
print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "MESSAGE"))

# process event
start = 0
def print_event(cpu, data, size):
    global start
    event = b["events"].event(data)
    if start == 0:
            start = event.ts
    time_s = (float(event.ts - start)) / 1000000000
    print("%-18.9f %-16s %-6d %s" % (time_s, event.comm, event.pid,
        "Hello, perf_output!"))

# loop with callback to print_event
b["events"].open_perf_buffer(print_event)
while 1:
    b.perf_buffer_poll()

open_perf_buffer定义了名为event的perf映射事件,通过循环调用perf_buffer_poll读取映射的内容。

3、运行eBPF程序

root@root/# python3 hello_perf.py 
TIME(s)            COMM             PID    MESSAGE
0.000000000        b'systemd-oomd'  788    b'/proc/meminfo'
0.250287922        b'systemd-oomd'  788    b'/proc/meminfo'
0.500141038        b'systemd-oomd'  788    b'/proc/meminfo'
0.500233681        b'systemd-oomd'  788    b'/sys/fs/cgroup/user.slice/user-1000.slice/user@1000.service/memory.pressure'
0.500300281        b'systemd-oomd'  788    b'/sys/fs/cgroup/user.slice/user-1000.slice/user@1000.service/memory.current'
0.500315337        b'systemd-oomd'  788    b'/sys/fs/cgroup/user.slice/user-1000.slice/user@1000.service/memory.min'

参考:​​​​​​​

bcc/reference_guide.md at master · iovisor/bcc · GitHub

What is eBPF? An Introduction and Deep Dive into the eBPF Technology

Linux eBPF Tracing Tools (brendangregg.com)

为了维护世界和平_
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
eBPF相关的杰出项目的精选列表。-Python开发
05-25
eBPF相关的杰出项目的精选列表。 很棒的eBPF精选的与eBPF相关的项目的列表。 与Berkeley Packet Filter一样,BPF是一个内核虚拟机,运行从用户空间传递的程序。 最初在BSD上实现,然后在Linux(现在是旧版)“经典BPF”或cBPF机器上使用tcpdump之类的工具来过滤内核中的数据包,以避免对用户空间的无用复制。 最近,Linux中的BPF基础结构已被完全重新设计,并赋予了“扩展的BPF”(即eBPF)以生命,
eBPF技术概述
qq_17045267的博客
06-15 3734
TCP原理之:BPF技术 一、BPF原理分析 1.1 简介 BPF全称叫做“Berkeley Packet Filter”(柏克莱封包过滤器),之所以这样叫是因为最开始它是用作网络链路层的报文过滤。经过二十多年的发展,BPF现在所能实现的功能已经远远超过了“包过滤”这一范畴,那么BSP到底是个什么东西呢? BPF分为cBPF和eBPF,其中cBPF指的是classic BPF,即经典(老的)BPF...
eBPF技术
最新发布
qq_42944740的博客
03-16 955
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
eBPF 技术实践:加速容器网络转发,耗时降低60%+!
云原生实验室
11-08 679
Linux 具有功能丰富的网络协议栈,并且兼顾了非常优秀的性能。但是,这是相对的。单纯从网络协议栈各个子系统的角度来说,确实做到了功能与性能的平衡。不过,当把多个子系统组合起来,去满足实际的业务需求,功能与性能的天平就会倾斜。容器网络就是非常典型的例子,早期的容器网络,利用 bridge、netfilter + iptables (或lvs)、veth等子系统的组合,实现了基本的网络转发;然而,...
eBPF技术介绍
haigand的专栏
04-25 1176
eBPF程序是事件驱动的,当内核或应用程序通过某个挂接点时 运行。预定义的挂钩包括:系统调用函数进入/退出内核跟踪点网络事件和其他一些。如果不存在用于特定需求的预定义挂钩,则可以创建内核探针(kprobe)或用户探针(uprobe),以将eBPF程序连接到内核或用户应用程序中的几乎任何位置。
eBPF简介
SenberHu的博客
05-17 1711
基础概念 eBPF是kernel 3.15中引入的全新设计,将原先的BPF发展成一个指令集更复杂、应用范围更广的“内核虚拟机”。 eBPF支持在用户态将C语言编写的一小段“内核代码”注入到内核中运行,注入时要先用llvm编译得到使用BPF指令集的elf文件,然后从elf文件中解析出可以注入内核的部分,最后用bpf_load_program方法完成注入。 用户态程序和注入到内核中的程序通过共用一个位于内核中map实现通信。为了防止注入的代码导致内核崩溃,eBPF会对注入的代码进行严格检查,拒绝不合格的代码的注
ebpf:用于Go的eBPF
02-03
eBPF是一个纯Go库,提供用于加载,编译和调试eBPF程序的实用程序。 它具有最小的外部依赖性,适合在长时间运行的进程中使用。 包含一个基本的汇编器 允许将eBPF附加到各种挂钩 允许读取PERF_EVENT_ARRAY 允许将...
基于eBPF/XDP快速转发
04-02
传统网络转发路径是从L2L3,查询路由表然后转发,中间解析报文且分配SKB。 XDP转发路径可以下沉L2, 解析报文再封装,无SKB分配,高效且快速。 购买设计文档免费送源码, 免费咨询
eBPF:eBPF实验
03-18
eBPF(扩展的Berkley数据包过滤器)是一种旨在在Linux内核中安全执行。 它是: 具有大量代码路径分析的验证程序内核解释器即时编译器潜在的处理器卸载机制它在多个地方使用以向内核提供运行时可配置的代码注入。...
ebpf测试
02-11
这是一个用于测试eBPF程序卸载的实用程序。 它需要两个设备。 首先,自然是执行卸载代码的设备,例如此(使用此)。 它必须支持)。 另一个是标准的NVMe SSD。 SSD可以在文件系统模式(确保已安装)中使用,也可以...
cilium ebpf开发框架容器镜像
12-19
cilium ebpf开发框架容器镜像
Linux内核超级装备eBPF技术详细研究
嵌入式Linux内核的博客
06-06 1491
内核大神Brendan用了比喻的说法,更加形象地介绍了这个技术eBPF对于Linux就相当于JavaScript对于HTML一样。JavaScript给静态的HTML网站带了了动态的内容和效果,已经丰富的交互能力。JavaScript程序运行在一个虚拟机的安全沙盒中。eBPF也对Linxu内核提供了类似的功能,程序员可以通过编写字节码,从而让程序工作在内核的沙盒环境中。eBPF更像是内核中JavaScript的V8虚拟机引擎。
【BPF入门系列-1】eBPF 技术简介
sunshineywz的博客
04-25 636
【BPF入门系列-1】eBPF 技术简介 https://developer.aliyun.com/article/779357 我正在使用ftrace获取内核中sys_read调用的跟踪。使用函数或图形跟踪器,将set_ftrace_filter设置为sys_write失败 # echo sys_read > tracing/set_ftrace_filter
各路大咖云集探讨eBPF技术在可观测性领域的落地现状和未来可能
eBPF_Kindling的博客
05-27 294
在本周进行的Kindling研讨会上,Kindling团队的小伙伴给大家分享了多语言微服务环境下的监控问题以及解决对策,并对相关指标进行了解读。本次研讨会也云集了云可观测领域的各路大神:观测云的CEO蒋总、云杉的向阳总以及其他可观测领域的大佬。在后面的交流环节,就当前用户在使用Kindling过程中存在的一些问题,Kindling团队的小伙伴做了回答。如有用户问:Kindling如何解决内存占用的问题?答:目前引起内存占用的原因包括URL发散、慢trace、系统调用的事件源多等,解决方案是尽量减少事件源的数
linux跟踪技术ebpf
合天网安学院
12-29 1089
eBPF是一项革命性的技术,起源于 Linux 内核,可以在操作系统内核等特权上下文中运行沙盒程序。它可以安全有效地扩展内核的功能,而无需更改内核源代码或加载内核模块。
eBPF 介绍
Imagine Miracle的博客
12-26 252
eBPF.io 是学习和协作 eBPF 的地方。eBPF 是一个开放的社区,每个人都可以参与和分享。无论您是想阅读第一个介绍 eBPF 文档,或是寻找进一步的阅读材料,还是迈出成为大型 eBPF 项目贡献者的第一步,eBPF.io 将一路帮助你。下面的章节是对 eBPF 的快速介绍。如果您想了解更多关于 eBPF 的信息,请参阅 eBPF & XDP 参考指南。无论您是希望构建 eBPF 程序的开发人员,还是对 eBPF 的解决方案感兴趣,了解这些基本概念和体系结构都是有帮助的。
eBPF内核技术在滴滴云原生的落地实践
DiDi_Tech的博客
07-04 4191
将滴滴技术设为“星标⭐️”第一时间收到文章更新导读eBPFLinux内核革命性技术,能够安全高效地扩展内核能力,应用广泛,尤其是在云原生可观测性领域的应用已经成为行业热点。在滴滴云原生环境中,eBPF技术进行了业务实践和内源共建,HuaTuo eBPF 平台快速落地并取得初步收益,目前已经支持云原生关键组件,诸如服务访问关系拓扑、容器安全、宿主机安全、网络诊断、根因定位等业务,HuaTuo也是滴...
ebpf中的bpf_probe_read_kernel和pt_regs
qq_44927248的博客
10-21 1580
ebpf中的pt_regs以及相关函数作一定解释
基于ebpf写一个hello_world
11-24
以下是基于eBPF写一个hello_world的步骤: 1.安装依赖项和工具链 ```shell sudo apt-get update sudo apt-get install -y build-essential linux-headers-$(uname -r) libelf-dev clang llvm ``` 2.创建一个名为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

为了维护世界和平_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值