Kindling开源项目是一款基于eBPF技术的云原生可观测性项目。本文将主要介绍探针的具体架构设计。
Kindling探针的架构设计理念
Kindling架构设计中有一个很重要的理念:关注点分离(Separation of Concerns)。eBPF技术或者内核模块是一种内核技术,需要的背景知识是C语言和操作系统知识。而可观测开发者关注的是要输出什么样的指标,同时因为平时使用Go、Java这一类语言较多,对C也比较生疏,所以我们的设计是基于两层的分层领域。下层是eBPF的开发能力,主要是为事件透出服务;上层是可观测性需求开发,主要是为数据分析和指标产生服务,同时可以方便扩展可观测场景化需求。
kindling领域分层图
另外一个重要的理念是:不重复造轮子,我们目标是把eBPF的能力以简单的方式透出给用户使用。所以kindling的设计是以falcosecurity-libs为基础的。目前这个开源项目承担的主要职责就是系统调用的事件透出,对于可观测方面的能力需要进一步扩展。但是它有一个优势是它会将原始内核数据和cgroup信息进行关联,方便后续将数据关联到k8s相关的resources, 同时falcosecurity-libs也对原始数据做了预处理,比如将网络数据进行更丰富的关联,让用户能够直接拿到某个对fd操作的网络事件属于
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
