ebpf-map概述

最新推荐文章于 2025-04-18 11:25:20 发布
最新推荐文章于 2025-04-18 11:25:20 发布
阅读量2k 收藏 6
点赞数 1
分类专栏: Linux 网络 知识分享 文章标签: linux c语言 bpf socket 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18643341/article/details/125233822
版权

1. 简介

BPF Map是驻留在内核中的以键/值方式存储的数据结构,可以被任何知道它们的BPF程序访问。在用户空间运行的程序也可以通过使用文件描述符来访问BPF Map。可以在BPF Map中存储任何类型的数据,只要你事先正确指定数据大小。在内核中,键和值都被视为二进制的方式来存储。

BPF Map用于用户空间和内核空间之间的数据交换、信息传递。
彼此共享MAP的BPF程序不需要具有相同的程序类型,例如,跟踪程序可以与网络程序共享MAP。当前一个BPF程序可以直接访问多达64个不同的MAP。

2. BPF Map类型

头文件定义include/uapi/linux/bpf.h

enum bpf_map_type {
    BPF_MAP_TYPE_UNSPEC,
    BPF_MAP_TYPE_HASH,
    BPF_MAP_TYPE_ARRAY,
    BPF_MAP_TYPE_PROG_ARRAY,
    BPF_MAP_TYPE_PERF_EVENT_ARRAY,
    BPF_MAP_TYPE_PERCPU_HASH,
    BPF_MAP_TYPE_PERCPU_ARRAY,
    BPF_MAP_TYPE_STACK_TRACE,
    BPF_MAP_TYPE_CGROUP_ARRAY,
    BPF_MAP_TYPE_LRU_HASH,
    BPF_MAP_TYPE_LRU_PERCPU_HASH,
    BPF_MAP_TYPE_LPM_TRIE,
    BPF_MAP_TYPE_ARRAY_OF_MAPS,
    BPF_MAP_TYPE_HASH_OF_MAPS,
    BPF_MAP_TYPE_DEVMAP,
    BPF_MAP_TYPE_SOCKMAP,
    BPF_MAP_TYPE_CPUMAP,
    BPF_MAP_TYPE_XSKMAP,
    BPF_MAP_TYPE_SOCKHASH,
    BPF_MAP_TYPE_CGROUP_STORAGE,
    BPF_MAP_TYPE_REUSEPORT_SOCKARRAY,
    BPF_MAP_TYPE_PERCPU_CGROUP_STORAGE,
    BPF_MAP_TYPE_QUEUE,
    BPF_MAP_TYPE_STACK,
    BPF_MAP_TYPE_SK_STORAGE,
    BPF_MAP_TYPE_DEVMAP_HASH,
    BPF_MAP_TYPE_STRUCT_OPS,
    BPF_MAP_TYPE_RINGBUF,
    BPF_MAP_TYPE_INODE_STORAGE,
    BPF_MAP_TYPE_TASK_STORAGE,
};

根据申请内存方式的不同,BPF Map有很多种类型,当你使用这种类型的BPF Map时,每个CPU都会存储并看到它自己的Map数据,从属于不同CPU之间的数据是互相隔离的,这样做的好处是,在进行查找和聚合操作时更加高效,性能更好,尤其是你的BPF程序主要是在做收集时间序列型数据,如流量数据或指标等。

3. BPF Map操作

3.1 BPF Map创建

3.1.1 系统调用创建

union bpf_attr my_map_attr {
    .map_type = BPF_MAP_TYPE_ARRAY,
    .key_size = sizeof(int),
    .value_size = sizeof(int),
    .max_entries = 1024,
    .map_flags = BPF_F_NO_PREALLOC,
};

int fd = bpf(BPF_MAP_CREATE, &my_map_attr, sizeof(my_map_attr));

上面是通过bpf系统调用函数创建BPF Map的方式,传入的第一个参数是BPF_MAP_CREATE,第二参数是指定将要创建Map的属性,第三个参数是这个Map配置的大小。因此创建Map之前首先要声明一个BPF Map,其中有下面要素:

  • map_type: Map类型
  • key_size: Map键大小
  • value_size: Map值的大小
  • max_entries: Map的元素最大容量

3.1.2 libbpf调用创建

#define SEC(NAME) __attribute__((section(NAME),  used))

struct bpf_map_def SEC("maps") my_bpf_map = {
  .type       = BPF_MAP_TYPE_HASH, 
  .key_size   = sizeof(int),
  .value_size   = sizeof(int),
  .max_entries = 100,
  .map_flags   = BPF_F_NO_PREALLOC,
};

创建过程:

  1. 声明ELF section属性
  2. bpf_load扫描目标文件里定义’maps’ section, 通过BPF系统调用创建BPF Map.
/* parses elf file compiled by llvm .c->.o
 * . parses 'maps' section and creates maps via BPF syscall // 就是这里
 * . parses 'license' section and passes it to syscall
 * . parses elf relocations for BPF maps and adjusts BPF_LD_IMM64 insns by
 *   storing map_fd into insn->imm and marking such insns as BPF_PSEUDO_MAP_FD
 * . loads eBPF programs via BPF syscall
 *
 * One ELF file can contain multiple BPF programs which will be loaded
 * and their FDs stored stored in prog_fd array
 *
 * returns zero on success
 */
int load_bpf_file(char *path);

SEC("maps")没有看到与映射相关联的文件描述符。内核使用map_data全局变量来保存BPF程序映射信息。map_data是数组结构, 按照程序中指定映射的顺序进行排序。
获取程序中第一个映射的文件描述符, 示例:

fd = map_data[O].fd;

3.2 BPF Map更新

bpf_map_update_elem来实现保存更新功能。

3.2.1 内核程序

源文件定义kernel/bpf/helpers.c

BPF_CALL_4(bpf_map_update_elem, struct bpf_map *, map, void *, key,
	   void *, value, u64, flags)

3.2.2 用户程序

头文件定义tools/lib/bpf/bpf.h

LIBBPF_API int bpf_map_update_elem(int fd, const void *key, const void *value,
				   __u64 flags);

3.2.3 区别

内核程序访问的函数与用户程序访问的函数是不同的。

  • 内核程序可以直接访问映射,并原子性地更新元素。
  • 用户程序需要使用文件描符来引用映射,所以更新操作不是原子性的。

3.3 BPF Map读取

bpf_map_lookup_elem来实现读取映射元素功能。函数类似于bpf_map_update_elem.

3.4 BPF Map删除

bpf_map_delete_element来实现删除映射元素功能。函数类似于bpf_map_update_elem.

3.5 BPF Map迭代

bpf_map_get_next_key来实现迭代遍历映射元素功能。函数类似于bpf_map_update_elem.

3.6 BPF Map查找删除

bpf_map_lookup_and_delete_elem来实现内核查找和删除映射元素功能。

3.7 BPF Map并发访问

BPF通过BPF自旋锁(bpf_spin_lockbpf_spin_unlock)来防止竞争条件, 可以在操作映射元素时对访问的映射元素进行锁定, 自旋锁仅适用于数组、哈希、cgroup存储映射。

eBPF MAP类型详解
YZ状元的blog
01-15 3259
本文主要参考、翻译自参考文档,部分内容为个人翻译时加入的个人见解,仅供参考,如有错误,请不吝支出。 linux内核中定义了一下的eBPF map_type: enum bpf_map_type { BPF_MAP_TYPE_UNSPEC, /* Reserve 0 as invalid map type */ BPF_MAP_TYPE_HASH, BPF_MAP_TYPE_ARRAY, BPF_...
使用ebpf来自定义探针
远方雪的专栏
10-03 1043
是由 Cloudflare 开发的一个 Prometheus 导出器,允许用户编写自定义的 eBPF 程序以监控和检测系统指标。本文将介绍如何使用创建包括 CPU 错误率和 IO 错误率在内的自定义探针,并提供完整的项目创建流程。使得用户能够通过编写 eBPF 程序来收集内核级别的自定义指标,并将这些指标以 Prometheus 兼容的格式导出。支持自定义 eBPF 探针集成 Prometheus 进行指标收集提供丰富的配置选项以定义和管理指标支持从内核读取 eBPF 程序的 BTF 信息。
边缘网络 eBPF 超能力:eBPF map 原理与性能解析
VE_Edge的博客
01-04 4193
导读 众所周知,大型 eBPF 程序构建过程中 eBPF map 必不可少。火山引擎边缘计算在数据面也大量使用了 eBPF 及其 map 机制。如何用好 mapeBPF 网络编程中关键的一环,不同 map 的性能差异也较大。本文组织 eBPF map 相关的底层实现,为大家详细解析 eBPF map 的原理及性能。
协同观测性:eBPF与Prometheus集成深度分析报告
最新发布
weixin_39145568的博客
04-18 1165
在此背景下,两种强大的技术脱颖而出:eBPF(Extended Berkeley Packet Filter)和 Prometheus。eBPF 是一项革命性的 Linux 内核技术,它允许在内核的特权上下文中安全地运行沙盒化的程序,从而无需修改内核源码或加载内核模块即可扩展内核功能。Prometheus 则已成为云原生生态系统中基于指标的监控和告警的事实标准,特别适用于收集、存储和查询时间序列数据。
XDP入门---eBPF程序中使用bpf_map
meihualing的专栏
06-28 1938
bpf_map,
eBPF: 深入探究 Map 类型
李兆龙的博客
03-19 3112
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。 本作品 (李兆龙 博文, 由 李兆龙 创作),由 李兆龙 确认,转载请注明版权。 内核版本为5.4.119 引言 前面几篇文章提到为了加速内存数据库,我需要在内核里面放置一块缓存,原理其实和DB前面放置一个cache,CPU cache大同小异,我有很多文章已经描述过这个问题了[5][4][6][7],无非前者为了跳过协议栈,后者为了跳过DB和访存操作,也就是说功能上三者应该是差不多的,当然需要解决的问题也是差不多的,基本重
BPF数据传递的桥梁——BPF Map(一)
云原生实验室
08-31 9402
Docker 技术鼻祖系列对 ebpf 技术感兴趣的同学可以订阅作者的博客主题:https://davidlovezoe.club/wordpress/archives/tag/ebpf...
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2602
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
CVE-2021-3490:eBPF verifier 寄存器32位范围更新错误导致越界读写【ALU Sanitation 绕过】
qq_61670993的博客
03-08 1067
cve-2021-3490 ebpf verifier 边界更新错误
Linux内核】eBPF实践入门篇
qq_43840665的博客
11-22 1438
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于––进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
linux内核】eBPF基础及应用调研
qq_43840665的博客
09-24 1405
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
bpf map映射简介
迷失的专栏
10-26 2434
bpf map映射简介 bpf程序运行在内核,而且为了保证bpf程序运行的安全性,bpf虚拟机限制了系统调用,如果bpf程序需要和用户空间程序进程通信就需要bpf映射,bpf提供了如hash、stack、array等映射,在bpf程序中可以根据需求直接使用。 bcc bpf map映射分析 bcc中的BPF可以使用bcc的宏定义定义,当bcc加载bpf程序时再转换成section段定义进行编译。 bcc的BPF映射定义在src/cc/export/helpers.h文件,bcc编译bpf代码时替换bpf程序
ebpf教程(4.2):bpf map的使用 -- 统计网速
大草的博客
08-21 581
ebpf教程(4.2):bpf map的使用 -- 统计网速
揭秘 BPF map 前生今世
云原生实验室
01-10 513
1. 前言众所周知,map 可用于内核 BPF 程序和用户应用程序之间实现双向的数据交换, 为 BPF 技术中的重要基础数据结构。在 BPF 程序中可以通过声明 struct bpf_ma...
深入理解 BPF map 实现机制
dwh0403的专栏
01-10 1974
BPF 程序中可以通过声明 `struct bpf_map_def` 结构完成创建,这其实带给我们一种错觉,感觉这和普通的 C 语言变量没有区别,然而事实真的是这样的吗? 事情远没有这么简单,读完本文以后相信你会有更大的惊喜。
一文看懂eBPFeBPF实现原理
MayMatrix 的博客
06-15 1787
eBPF,它的全称是“Extended Berkeley Packet Filter”。从名字看,你可能会觉奇怪,似乎它就是一个用来做网络数据包过滤的模块。其实这么想也没有错,eBPF 的概念最早源自于 BSD 操作系统中的 BPF(Berkeley Packet Filter),1992 伯克利实验室的一篇论文 “The BSD Packet Filter: A New Architecture for User-level Packet Capture”。
bpf map feature
Eddic的博客
07-26 199
查询记录是在map最后一条记录下增加,所以相同的记录在上面删除后会在下面重新生成(即mapkey一样),这样导致查询一遍存在多条记录(>=1)。
AOSP平台编写Android-ebpf程序(tracepoint)的一些map定义和使用问题,导致map和prog无法产生的原因。
m0_68715848的博客
03-19 1379
我们重启手机之后发现只产生了三个map,且prog没有产生:由于map的产生是根据内核态定义的顺序来的,所以就是到第四个map出现了问题,也就是我们刚刚修改的map,这里的原因暂且不清楚,之前猜测可能是因为大小超出了限制的原因,然而实际上修改为1024也不能产生,然而time_in_state中其实用到了ARRAY来传递结构体的:现在猜测可能是因为array是连续的数组,而hash是一个散列表可能是索引错误的原因,这里后面在做尝试吧。目前测试的结果,只要是使用结构体作value值的话,
[译&转] eBPF 概念和基本原理
RToax
08-12 2376
译文:https://cloud.tencent.com/developer/article/1749470 https://tonydeng.github.io/sdn-handbook/linux/bpf/ eBPF(extended Berkeley Packet Filter)起源于BPF,它提供了内核的数据包过滤机制。 BPF的基本思想是对用户提供两种SOCKET选项:SO_ATTACH_FILTER和SO_ATTACH_BPF,允许用户在sokcet上添加自定义的filter,只有满足该.
基于ebpf的tcp连接
02-14
下面给出一段简单的Go语言代码片段展示如何定义一个基本的eBPF map结构体以便存储TCP会话状态信息: ```go package main import ( "fmt" ) // 定义map用来保存tcp session的状态 type TCPSession struct { Src...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

phantasms

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值