0 什么是ebpf?
Ebpf可以简单的理解成在linux内核(当然windows也已经支持)里添加了一个虚拟机,开发者编写的代码可以安全地在内核虚拟机中运行,这样可以更高效地、安全地实现内核级程序的编写,ebpf 的map机制可以实现内核态和用户态程序的交互。进而将linux内核变成了一个可编程的内核。
可编程的力量
20 年前,网页几乎完全是用静态标记语言 (HTML) 编写的。网页基本上是一个文档,应用程序(浏览器)能够显示它。但是如今的网页已经姿态万千,并孕育了众多网页应用。是什么促成了这种演变?答案是浏览器引入 JavaScript,具有了可编程性。ebpf之于linux,就像JavaScript之于浏览器,尽管Ebpf是一个比较新的技术,但是其光芒必定万千。
1 为什么叫ebpf?
在有ebpf之前有cbpf(classic bpf),BPF是Berkeley Packet Filter的缩写(伯克利包过滤器),cbpf主要是用于网络包过滤,如熟知的wireshark、tcpdump等都是使用了cbpf。Cbpf已经在内核版本中发布,因为担内核社区不接受ebpf,所以使用并拓展了bpf,并命名为ebpf(extend bpf)eBPF: Unlocking the Kernel。ebpf在网络包过滤功能的基础上又新增了系统运行监测(性能分析)、数据包处理(安全过滤)、虚拟化等功能。Ebpf其实是借鉴了bfp的思想,但是技术架构上ebpf却与cbpf非常不同。
2 ebpf的能力
网络:在内核空间绕过协议栈直接处理网络包,加速网络数据包的处理性能;
可观测性:在内核中直接收集系统调用信息,且不需要应用程序做改动;
追踪与剖析:将ebpf程序挂载到跟踪点及内核和应用程序探测点,进行跟踪和剖析,解析系统及性能问题;
安全:动态分析内核和应用的行为,监测各类高危的事件,并执行相应的安全策略;
3 ebpf在各个大厂中的应用
首先需要说明的是ebpf应用正在被很多大厂应用eBPF Case Studies, 如google用其做安全审计、数据包处理、性能监控;Meta(facebook)使用其处理和负载均衡数据包。从侧面也说明了ebpf在实际生产中价值。Ebpf是践行SDN的重要工具。
883
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
