BPF类型格式BTF

最新推荐文章于 2024-05-26 23:16:20 发布
最新推荐文章于 2024-05-26 23:16:20 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: BPF 文章标签: linux 内核
原文链接:https://www.kernel.org/doc/html/latest/bpf/btf.html
版权

@[TOC](BPF)

这是包含BPF(Berkeley Packet Filter)功能的文档,重点放在扩展的BPF版本(eBPF)上。

该内核方面的文档仍在开发中。 (出于历史原因)主要文本文档在Linux套接字过滤(又称为Berkeley数据包过滤器(BPF))中进行了描述。
该文档描述了经典BPF和扩展BPF指令集。 Cilium项目还维护着一个BPF和XDP参考指南,该指南对BPF体系结构有很深的技术深度。
bpf syscall的主要信息可在bpf(2)的手册页中找到。

BPF类型格式(BTF)

介绍

BTF(BPF类型格式)是对与BPFprogram/map有关的调试信息进行编码的元数据格式。最初使用名称BTF来描述数据类型。 BTF后来进行了扩展,以包括用于定义的子例程的功能信息,以及用于source/line的对应关系。

调试信息用于映射漂亮的打印,函数签名等。函数签名可实现更好的bpfprogram/function内核符号。行信息有助于生成带源注释的翻译后的字节码,引用的代码和验证者日志。

BTF规范包含两部分:

  • BTF内核API
  • BTF ELF文件格式

内核API是用户空间和内核之间的契约。内核在使用前会验证BTF信息。 ELF文件格式是ELF文件和libbpf加载程序之间的用户空间协定。

类型和字符串部分是BTF内核API的一部分,描述了bpf程序引用的调试信息(主要是相关的类型)。这两个部分将在下面详细讨论

BTF类型和字符串编码

文件include/uapi/linux/btf.h提供了有关如何编码·types/strings·的高级定义。
数据Blob的开头必须为:

struct btf_header {
    __u16   magic;
    __u8    version;
    __u8    flags;
    __u32   hdr_len;

    /* All offsets are in bytes relative to the end of this header */
    __u32   type_off;       /* offset of type section       */
    __u32   type_len;       /* length of type section       */
    __u32   str_off;        /* offset of string section     */
    __u32   str_len;        /* length of string section     */
};

魔数是0xeB9F,它对大小端系统使用不同的编码,并且可以用来测试BTF是针对大端还是小端目标生成的。生成数据Blob时,btf_header设计为可扩展的,其中hdr_len等于sizeof(struct btf_header)。

字符串编码

字符串部分中的第一个字符串必须为空字符串。字符串表的其余部分是其他以空值终止的字符串的串联。

#define BTF_KIND_INT            1       /* Integer      */
#define BTF_KIND_PTR            2       /* Pointer      */
#define BTF_KIND_ARRAY          3       /* Array        */
#define BTF_KIND_STRUCT         4       /* Struct       */
#define BTF_KIND_UNION          5       /* Union        */
#define BTF_KIND_ENUM           6       /* Enumeration  */
#define BTF_KIND_FWD            7       /* Forward      */
#define BTF_KIND_TYPEDEF        8       /* Typedef      */
#define BTF_KIND_VOLATILE       9       /* Volatile     */
#define BTF_KIND_CONST          10      /* Const        */
#define BTF_KIND_RESTRICT       11      /* Restrict     */
#define BTF_KIND_FUNC           12      /* Function     */
#define BTF_KIND_FUNC_PROTO     13      /* Function Proto       */
#define BTF_KIND_VAR            14      /* Variable     */
#define BTF_KIND_DATASEC        15      /* Section      */

请注意,类型部分对调试信息进行编码,而不仅仅是纯类型。 BTF_KIND_FUNC不是类型,它表示已定义的子程序。

每种类型包含以下公共数据:

struct btf_type {
    __u32 name_off;
    /* "info" bits arrangement
     * bits  0-15: vlen (e.g. # of struct's members)
     * bits 16-23: unused
     * bits 24-27: kind (e.g. int, ptr, array...etc)
     * bits 28-30: unused
     * bit     31: kind_flag, currently used by
     *             struct, union and fwd
     */
    __u32 info;
    /* "size" is used by INT, ENUM, STRUCT and UNION.
     * "size" tells the size of the type it is describing.
     *
     * "type" is used by PTR, TYPEDEF, VOLATILE, CONST, RESTRICT,
     * FUNC and FUNC_PROTO.
     * "type" is a type_id referring to another type.
     */
    union {
            __u32 size;
            __u32 type;
    };
};

对于某些种类,通用数据后跟特定种类的数据。 struct btf_type中的name_off指定字符串表中的偏移量。以下各节详细介绍了每种编码。

BTF_KIND_INT

struct btf_type编码要求:

  • name_off: 任何有效的偏移量
  • info.kind_flag: 0
  • info.kind: BTF_KIND_INT
  • info.vlen: 0
  • size: int类型的大小(以字节为单位)

btf_type之后是带有以下位排列的u32

#define BTF_INT_ENCODING(VAL)   (((VAL) & 0x0f000000) >> 24)
#define BTF_INT_OFFSET(VAL)     (((VAL) & 0x00ff0000) >> 16)
#define BTF_INT_BITS(VAL)       ((VAL)  & 0x000000ff)

BTF_INT_ENCODING具有以下属性:

#define BTF_INT_SIGNED  (1 << 0)
#define BTF_INT_CHAR    (1 << 1)
#define BTF_INT_BOOL    (1 << 2)

BTF_INT_ENCODING()为int类型提供了额外的信息:signedness,char或bool。 char和bool编码对于漂亮的打印最为有用。最多可以为int类型指定一种编码。

BTF_INT_BITS()指定此int类型保存的实际位数。例如,一个4位的位字段编码的BTF_INT_BITS()等于4。btf_type.size * 8必须等于或大于该类型的BTF_INT_BITS()。 BTF_INT_BITS()的最大值为128。

BTF_INT_OFFSET()指定用于计算此int值的起始位偏移量。例如,位域结构成员具有:

  • btf成员从结构开始偏移100,
  • 指向int类型的btf成员,
  • int类型具有BTF_INT_OFFSET()= 2和BTF_INT_BITS()= 4

然后在结构内存布局中,此成员将从位100 + 2 = 102开始占据4位。

或者,可以使用以下位域结构成员来访问与上述相同的位:

  • btf成员位偏移量102,
  • 指向int类型的btf成员,
  • int类型的BTF_INT_OFFSET()= 0和BTF_INT_BITS()= 4

BTF_INT_OFFSET()的初衷是提供位域编码的灵活性。当前,llvm和pahole都为所有int类型生成BTF_INT_OFFSET()= 0。

BTF_KIND_PTR

struct btf_type编码要求:

  • name_off: 0
  • info.kind_flag: 0
  • info.kind: BTF_KIND_PTR
  • info.vlen: 0
  • type: 指针指向的类型

btf_type之后没有其他类型数据。

BTF_KIND_ARRAY

struct btf_type编码要求:

  • name_off: 0
  • info.kind_flag: 0
  • info.kind: BTF_KIND_ARRAY
  • info.vlen: 0
  • size/type: 0, not used
    btf_type后跟一个结构btf_array:
struct btf_array {
    __u32   type;
    __u32   index_type;
    __u32   nelems;
};

btf_array结构编码:

  • type:元素类型
  • index_type:索引类型
  • nelems: 此数组的元素数(也允许为0)。

index_type可以是任何常规int类型(u8,u16,u32,u64,无符号__int128)。包含index_type的原始设计遵循DWARF,它的数组类型具有index_type。当前在BTF中,除了类型验证之外,未使用index_type。

btf_array结构允许通过元素类型链接来表示多维数组。例如,对于int a [5] [6],以下类型信息说明了链接:

[1]: int
[2]: array, btf_array.type = [1], btf_array.nelems = 6
[3]: array, btf_array.type = [2], btf_array.nelems = 5

当前,pahole和llvm都将多维数组折叠成一维数组,例如对于a [5] [6],btf_array.nelems等于30。这是因为原始用例是整个数组都打印得漂亮的地图被丢弃,因此一维数组就足够了。随着对更多BTF用法的探索,可以更改pahole和llvm以生成多维数组的正确链式表示。

其他的请看:
https://www.kernel.org/doc/html/latest/bpf/btf.html

山羊哥-老宋
关注
专栏目录
BPF Performance Tools
02-28
1.1 BPF和eBPF是什么 1 1.2 跟踪、嗅探、采样、剖析和可观测性分别是什么 2 1.3 BCC、bpftrace和IO Visor 3 1.4 初识BCC:快速上手 4 1.5 BPF跟踪的能见度 7 1.6 动态插桩:kprobes和uprobes 8 1.7 静态插桩:...
ebpf理解
muyuanbiao888的博客
08-05 552
简单记录下ebpf的个人理解。 结构 ebpf分为两部分。一部分是ebpf字节码代码,另外一部分是加载ebpf字节码的用户态程序。 ebpf字节码 字节码是只能使用bpf helper函数编写的代码。这个代码运行于内核中。 基于现有的tracing系统注入ebpf字节码,比如tracepoint,kprobe,raw_tracepoint等。这些根据注入点的不通这块将bpf程序进行对应的分类。每种类型有点差异,比如tracepoint类型的ebpf代码,获取函数参数按照指定的结构获取。而raw_tracep
eBPF学习记录(一)eBPF介绍
热门推荐
jianjian的博客
02-18 1万+
一、什么是eBPF eBPF, 从它的全称“扩展的伯克利数据包过滤器 (Extended Berkeley Packet Filter)” 来看,它是一种数据包过滤技术,是从 BPF (Berkeley Packet Filter) 技术扩展而来的。BPF 提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,这就让非内核开发人员也可以对内核进行控制。随着内核的发展,BPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展中,这种扩展后的 BPF 被简称为 eBPF
BPF BTF 详细介绍
dwh0403的专栏
09-24 2713
本文地址:https://www.ebpf.top/post/kernel_btf/ 英文文档:https://www.kernel.org/doc/html/latest/bpf/btf.html 1. 介绍 BTFBPF 类型格式)是一种元数据格式,对与 BPF 程序 /map 有关的调试信息进行编码。BTF 这个名字最初是用来描述数据类型。后来,BTF 被扩展到包括已定义的子程序的函数信息和行信息。 调试信息可用于 map 的更好打印、函数签名等。函数签名能够更好地实现 bpf 程序/函数的内核符号
ebpf执行报错no BTF found for kernel
qq_42931917的博客
06-29 1006
在该方案中,eBPF 程序一次编译,然后在运行时进行更新(patched):基于运行的机器的内核结构布局更新运行指令。CO-RE依赖BTF是因为BTF提供了BPF程序的类型信息,这对于CO-RE的优化和动态加载非常重要。CO-RE需要使用BTF来检查BPF程序的类型正确性,以及在运行时动态解析BPF程序的符号和类型信息。它可以将BPF程序的字节码和相关的元数据打包成一个可重定位的对象文件,然后在运行时动态加载和共享这个对象文件。这样可以避免重复编译和加载相同的BPF程序,从而提高系统的性能和可维护性。
eBPF学习记录(四)使用libbpf开发eBPF程序
jianjian的博客
03-06 6923
上一节,我们使用了bpftrace 开发eBPF程序跟踪内核和用户态的程序,bpftrace 简单易用,非常适合入门,可以带初学者轻松体验 eBPF 的各种跟踪特性。但是,bpftrace 并不适用于所有的 eBPF 应用,它本身的限制导致我们无法在需要复杂 eBPF 程序的场景中使用它。在复杂的应用中,还是推荐使用 BCC 或者 libbpf 进行开发。现在讲一下BCC 的开发,有问题可以看官方文档。 现在我们试试使用BCC开发一个eBPF程序,分以下3个步骤, 使用 C 开发一个 eBPF 程序 使用
BPF Internals.pdf
07-31
BPF(Berkeley Packet Filter)是一种内核技术,最初在1992年被设计用于高效的数据包过滤。它的运行时环境允许复杂的包过滤逻辑来决定哪些数据包需要被捕获。BPF通过一组有限的指令集,提供了一个沙盒环境供用户定义...
BPF PerformanceTools.epub.zip
07-22
BrendanGregg
BPF PerformanceTools.epub
08-21
BPF and related observability tools give software professionals unprecedented visibility into software, helping them analyze operating system and application performance, troubleshoot code, and ...
test_bpf.rar_BPF
09-24
Testsuite for BPF interpreter and BPF JIT compiler.
go-conntracer-bpf:使用eBPF转到库以跟踪网络流事件
04-03
go-conntracer-bpf go-conntracer-bpf是Go语言的一个库,用于跟踪受启发的BPF kprobe上的网络连接(TCP / UDP)事件(连接,接受,发送至recvfrom)。 go-conntracer-bpf是在之上实现的, 是包含BPFLinux内核的代表性C库。 特征 通过聚集内核中的连接事件来进行低开销的跟踪。 启用了BPF CO-RE(一次编译–随处运行) 先决条件 编译阶段 libbpf源代码 lang / LLVM> = 9 运行阶段 Linux内核版本> = 5.6(由于对bpf映射的批处理操作) 使用BTF类型信息构建Linux内核。 参见 。 两相共通 libelf和zlib库 go-conntracer-bpf中包含Linux内核功能 go-conntracer-bpf利用了Linux内核的一些最新功能。 内核版本4.18中的BP
浅析从DWARF到BTF @龙蜥社区eBPF SIG
Rethinking the Kernel
12-27 767
DWARF的全称是"Debugging With Attributed Record Formats",遵从GNU FDL授权。DWARF是一种调试文件格式,许多编译器和调试器均使用DWARF来支持源代码级调试。简单来说,DWARF记录了源代码、二进制程序以及它们之间存在的联系。 本文主要从三个方面介绍DWARF: 1. DWARF在elf文件存在哪些段,以及每个段的含义; 2. 采用具体的实例,介绍了.deubg_str所包含的内容; 3. 重点介绍了.debug_info段,其是理解BTF的关键;
mount -l | grep bpf
喝醉酒的小白
06-03 1107
综上所述,基于VXLAN的覆盖网络是Cilium默认的组网方式,通过BGP路由来实现Pod的组网和互联。通过BGP路由,Cilium能够动态地学习和更新Pod的网络信息,并确保网络中的所有节点都具有最新的路由信息。随着时间的推移,BPF被引入到Linux内核中,成为一个功能强大的机制,可以在内核中加载和执行用户定义的程序。通过profiling和tracing,开发人员可以获得有关Linux内核网络性能和行为的详细信息,以便识别和解决性能瓶颈、优化网络资源的使用,并改善网络性能和可靠性。
一篇深入解析BTF 实践指南
youzhangjing_的博客
03-07 2172
BPFLinux 内核中基于寄存器的虚拟机,可安全、高效和事件驱动的方式执行加载至内核的字节码。与内核模块不同,BPF 程序经过验证以确保它们终止并且不包含任何可能锁定内核的循环。BPF 程序允许调用的内核函数也受到限制,以确保最大的安全性以防止非法的访问。尽管 BPF 为编写事件驱动的内核空间代码提供了一种有效的解决方案,但开发人员的体验仍无法与其他编程语言或框架相提并论。BPF 开发的两个最重要的问题是缺乏简单的调试和可移植性。为了缓解这些问题,我们转向 BTF[1] 。BTF 是针对 BPF
编程接口:eBPF 程序是怎么跟内核进行交互的?
weixin_42136255的博客
10-21 519
编程接口:eBPF 程序是怎么跟内核进行交互的?
6.6 LIBBPF API(五,btf.h 函数列表,定义,枚举)
最新发布
从0到1,突破自己
05-26 64
btf.h.h 函数列表,定义,枚举
LWN:用BPF来修改kernel里的operation structure!
Linux News搬运工
02-26 349
关注了就能看到更多这么棒的文章哦~Kernel operations structures in BPFByJonathan CorbetFebruary 7, 2020原文来自:ht...
eBPF 介绍
SHELLCODE_8BIT的博客
12-31 2429
eBPF 介绍 Tcpdump 是Linux 平台常用的网络数据包抓取及分析工具,tcpdump 主要通过libpcap 实现,而libpcap 就是基于eBPF。 先介绍BPF(Berkeley Packet Filter),BPF 是基于寄存器虚拟机实现的,支持 JIT(Just-In-Time),比基于栈实现的性能高很多。它能载入用户态代码并且在内核环境下运行,内核提供 BPF 相关的接口,用户可以将代码编译成字节码,通过 BPF 接口加载到 BPF 虚拟机中,当然用户代码跑在内核环境中是有风险的
BPF 可移植性和 CO-RE(一次编译,到处运行)
ldinvicible的专栏
08-03 404
BPF 可移植性和 CO-RE(一次编译,到处运行)
xdp程序中使用自定义的函数时报failed to find BTF for extern
04-06
这个错误通常是由于缺少BTFBPF Type Format)信息引起的。BTF是一种用于描述内核数据类型格式,它在编译BPF程序时被生成。如果在编译BPF程序时没有生成BTF信息,或者BTF信息不可用,那么在使用自定义函数时就会出现这个错误。 解决这个问题的方法是在编译BPF程序时生成BTF信息。具体来说,可以使用以下命令编译BPF程序: ``` clang -target bpf -c program.c -o program.o -g -O2 -emit-llvm -D__BPF_TRACING__ ``` 其中,`-g`选项用于生成调试信息,`-emit-llvm`选项用于生成LLVM IR(中间表示),`-D__BPF_TRACING__`选项用于启用BPF跟踪功能。 生成BTF信息的另一种方法是使用`bpftool`工具。具体来说,可以使用以下命令生成BTF信息: ``` bpftool btf generate program.o > program.btf ``` 其中,`program.o`是编译后的BPF程序文件,`program.btf`是生成的BTF信息文件。 生成BTF信息后,可以在加载BPF程序时使用`bpftool`工具将BTF信息加载到内核中。具体来说,可以使用以下命令加载BTF信息: ``` bpftool btf load program.btf ``` 这样,就可以在BPF程序中使用自定义函数了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值