libbpf-bootstrap开发指南:使用map结构进行参数传递 - minimal_legacy

最新推荐文章于 2023-07-16 16:42:07 发布
最新推荐文章于 2023-07-16 16:42:07 发布
阅读量698 收藏 3
点赞数
分类专栏: BPF 文章标签: bootstrap 前端 html 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32378713/article/details/131744565
版权

目录

代码

BPF程序部分

功能说明

头文件引入说明

my_pid_map SEC(".maps") 介绍

bpf_map_lookup_elem

用户程序部分

功能说明

bpf_map__update_elem

执行效果

代码

BPF程序部分
/* SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause) */
#define BPF_NO_GLOBAL_DATA
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_tracing.h>

typedef unsigned int u32;
typedef int pid_t;

char LICENSE[] SEC("license") = "Dual BSD/GPL";

/* Create an array with 1 entry instead of a global variable
 * which does not work with older kernels */
struct {
	__uint(type, BPF_MAP_TYPE_ARRAY);
	__uint(max_entries, 1);
	__type(key, u32);
	__type(value, pid_t);
} my_pid_map SEC(".maps");

SEC("tp/syscalls/sys_enter_write")
int handle_tp(void *ctx)
{
	u32 index = 0;
	pid_t pid = bpf_get_current_pid_tgid() >> 32;
	pid_t *my_pid = bpf_map_lookup_elem(&my_pid_map, &index);

	if (!my_pid || *my_pid != pid)
		return 1;

	bpf_printk("BPF triggered from PID %d.\n", pid);

	return 0;
}
功能说明

与minimal 一致,在系统调用 write 开始时,检查当前进程的 PID 是否与 my_pid_map 中存储的 PID 匹配,如果匹配就打印一条信息。这可以用于追踪特定进程的 write 系统调用

头文件引入说明
  1. #include <linux/bpf.h>这个头文件定义了 BPF 程序中的核心数据类型和相关的宏。这些定义包括 BPF 程序类型(例如 BPF_PROG_TYPE_XDP、BPF_PROG_TYPE_SOCKET_FILTER 等)、BPF map 类型(例如 BPF_MAP_TYPE_HASH、BPF_MAP_TYPE_ARRAY 等)以及一些函数原型等。在代码中,__uint(type, BPF_MAP_TYPE_ARRAY); 和 __uint(max_entries, 1); 这两行代码使用了 <linux/bpf.h> 中定义的 __uint 宏和 BPF_MAP_TYPE_ARRAY 类型。
  2. #include <bpf/bpf_helpers.h>这个头文件定义了一组辅助函数,这些函数可以在 BPF 程序中使用,以便与内核进行交互。这些辅助函数包括用于操作 BPF maps 的函数(例如 bpf_map_lookup_elem、bpf_map_update_elem 等)、获取当前上下文信息的函数(例如 bpf_get_current_pid_tgid 等)以及一些其他功能的函数。在代码中,bpf_get_current_pid_tgid() 和 bpf_map_lookup_elem(&my_pid_map, &index); 这两行代码使用了 <bpf/bpf_helpers.h> 中定义的函数。
  3. #include <bpf/bpf_tracing.h>这个头文件包含了在 BPF 程序中使用的跟踪点(Tracepoints)相关的定义和宏。Tracepoints 可以用于在内核中的特定位置插入钩子,从而收集系统的运行信息。在代码中,SEC("tp/syscalls/sys_enter_write") 这一行使用了 <bpf/bpf_tracing.h> 中定义的 SEC 宏,该宏用于指定一个 Tracepoint 的位置。
my_pid_map SEC(".maps") 介绍

这是 BPF map,是 eBPF 程序和用户空间程序交互的主要方式。BPF map 是一种在内核中存储数据的数据结构,它可以被加载的 BPF 程序和用户空间的应用程序共享。

  • __uint(type, BPF_MAP_TYPE_ARRAY); 这行定义了 BPF map 的类型为 BPF_MAP_TYPE_ARRAY。这是一个简单的数组类型的 map,基于索引来存储和查找元素。
  • __uint(max_entries, 1); 这行定义了 BPF map 的最大条目数,也就是说,这个 map 可以存储的元素数量最多为 1。
  • __type(key, u32); 这行定义了 BPF map 的键的类型为 u32(无符号的 32 位整数)。
  • __type(value, pid_t); 这行定义了 BPF map 的值的类型为 pid_t(在这个程序中定义为 int,通常用来表示进程 ID)。
  • my_pid_map SEC(".maps"); 这行定义了这个 BPF map 的名称为 my_pid_map,并且指定了这个 map 存储在 ".maps" 的 ELF section 中,这样 BPF loader 才能找到并加载这个 map。

以下是一些常见的 BPF map 类型:

  1. BPF_MAP_TYPE_HASH:这是一个基于哈希表的 map,可以使用任意类型的键进行访问。
  2. BPF_MAP_TYPE_ARRAY:这是一个基于数组的 map,使用无符号 32 位整数作为键进行访问。
  3. BPF_MAP_TYPE_PROG_ARRAY:这是一种特别的数组 map,它的值是其他 BPF 程序的文件描述符。这种 map 可以用于实现 BPF 程序的跳转。
  4. BPF_MAP_TYPE_PERF_EVENT_ARRAY:这种 map 用于存储 perf_event 文件描述符,常常用于与 perf 工具集成。
  5. BPF_MAP_TYPE_PERCPU_HASH:这是一个每 CPU 的哈希表 map,每个 CPU 都有自己的独立的哈希表。
  6. BPF_MAP_TYPE_PERCPU_ARRAY:这是一个每 CPU 的数组 map,每个 CPU 都有自己的独立的数组。
  7. BPF_MAP_TYPE_STACK_TRACE:这种 map 用于存储堆栈跟踪的结果。
  8. BPF_MAP_TYPE_CGROUP_ARRAY:这种 map 用于存储 cgroup 文件描述符,可以用于 cgroup 级别的 BPF 程序。
  9. BPF_MAP_TYPE_LRU_HASH:这是一个 LRU(最近最少使用)策略的哈希表 map。
  10. BPF_MAP_TYPE_LRU_PERCPU_HASH:这是一个每 CPU 的 LRU 策略的哈希表 map。

以下是一些常见的 ELF section:

  1. .text:这个 section 通常包含程序的机器代码。
  2. .rodata:这个 section 通常包含只读数据,例如字符串常量和其他常量。
  3. .bss:这个 section 通常包含未初始化的全局变量。在程序开始执行前,内核会把这个区域清零。
  4. .data:这个 section 通常包含已初始化的全局变量。
  5. .maps:这个 section 用于存放 BPF map 的定义。
  6. .license:这个 section 包含一个字符串,表示加载 BPF 程序时所需的许可证。
bpf_map_lookup_elem
void *bpf_map_lookup_elem(struct bpf_map *map, void *key);

作用是在 BPF map 中查找一个元素。在这个例子中,BPF map 的名字是 my_pid_map,而要查找的元素的键是 index(也就是0)。

这个函数接收两个参数:一个是 map 的引用,另一个是要查找的元素的键。如果找到了对应的元素,这个函数会返回指向该元素的指针;如果没有找到,或者发生了错误,这个函数会返回 NULL。

用户程序部分
/* SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause) */
#include <stdio.h>
#include <unistd.h>
#include <sys/resource.h>
#include <bpf/libbpf.h>
#include "minimal_legacy.skel.h"

static int libbpf_print_fn(enum libbpf_print_level level, const char *format, va_list args)
{
	return vfprintf(stderr, format, args);
}

int main(int argc, char **argv)
{
	struct minimal_legacy_bpf *skel;
	int err;
	pid_t pid;
	unsigned index = 0;

	/* Set up libbpf errors and debug info callback */
	libbpf_set_print(libbpf_print_fn);

	/* Load and verify BPF application */
	skel = minimal_legacy_bpf__open_and_load();
	if (!skel) {
		fprintf(stderr, "Failed to open and load BPF skeleton\n");
		return 1;
	}

	/* ensure BPF program only handles write() syscalls from our process */
	pid = getpid();
	err = bpf_map__update_elem(skel->maps.my_pid_map, &index, sizeof(index), &pid,
				   sizeof(pid_t), BPF_ANY);
	if (err < 0) {
		fprintf(stderr, "Error updating map with pid: %s\n", strerror(err));
		goto cleanup;
	}

	/* Attach tracepoint handler */
	err = minimal_legacy_bpf__attach(skel);
	if (err) {
		fprintf(stderr, "Failed to attach BPF skeleton\n");
		goto cleanup;
	}

	printf("Successfully started! Please run `sudo cat /sys/kernel/debug/tracing/trace_pipe` "
	       "to see output of the BPF programs.\n");

	for (;;) {
		/* trigger our BPF program */
		fprintf(stderr, ".");
		sleep(1);
	}

cleanup:
	minimal_legacy_bpf__destroy(skel);
	return -err;
}
功能说明

功能与minimal 是一致的,不同的是pid 的传入方式改为了使用一个 bpf程序和用户态程序共享的map 数组

err = bpf_map__update_elem(skel->maps.my_pid_map, &index, sizeof(index), &pid,
				   sizeof(pid_t), BPF_ANY);
bpf_map__update_elem

bpf_map__update_elem 是一个 BPF helper 函数,用于更新 BPF map 中的一个元素。这个函数接收三个参数:map 的文件描述符、要更新的元素的键和新的值。

int bpf_map_update_elem(int fd, const void *key, const void *value, __u64 flags);

其中,fd 是 map 的文件描述符,key 是指向要更新的元素的键的指针,value 是指向新的值的指针,flags 是用于指定更新操作的行为的标志。在大多数情况下,flags 的值应该设为 BPF_ANY,这意味着如果 map 中已经存在键为 key 的元素,那么就更新这个元素的值,否则就插入一个新的元素。

函数的返回值是一个整数。如果更新成功,返回值为 0。如果更新失败,返回值为一个负的错误码。

当你调用 bpf_map_update_elem 更新 map 中的一个元素时,需要提供一个标志来指定更新操作的行为。这个标志可以是以下几个值之一:

  • BPF_ANY:无论 key 是否存在,都插入或更新 map 中的元素。如果 key 已经存在,那么就更新相应的元素。如果 key 不存在,那么就创建一个新的元素。
  • BPF_NOEXIST:只有当 key 不存在时,才插入一个新的元素。如果 key 已经存在,那么操作会失败。
  • BPF_EXIST:只有当 key 已经存在时,才更新相应的元素。如果 key 不存在,那么操作会失败。

执行效果

 minimal_legacy-29334   [012] d..31 22642.892062: bpf_trace_printk: BPF triggered from PID 29334.

  minimal_legacy-29334   [012] d..31 22643.892624: bpf_trace_printk: BPF triggered from PID 29334.

  minimal_legacy-29334   [012] d..31 22644.893188: bpf_trace_printk: BPF triggered from PID 29334.

  minimal_legacy-29334   [012] d..31 22645.893750: bpf_trace_printk: BPF triggered from PID 29334.

Ym影子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
6.10 Libbpf-bootstrap(一,简介)
从0到1,突破自己
05-29 1045
在看完前面的介绍,是不是感觉看了也就看了。但是,如果想要像BCC那样使用libbpf编写BPF程序,该怎么开始呢?那么这就需要libbpf-bootstrap了。libbpf-bootstrap是官方推荐的一个范式,就像我们写PPT的模版。简单来说可以简化我们的BPF开发流程,它可以帮助我们快速开发编写自己的BPF程序。这也就为什么把这个项目叫做bootstrap了。就像你需要使用一台电脑环境写个贪吃蛇游戏,那么你不需要在去买显卡,CPU,主板去组装一台电脑;而是只需要按下电源键即可。通过使用
[译]Cilium:BPF和XDP参考指南,一同认识eBPF【概念篇】
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
05-03 2178
当你真正认识一门科学时,你才会感受到它的魅力。 eBPF技术已经不再小众。从Linux3.18的初次亮相,现在的生态算得上是“内核关联技术”里的翘楚。其代表性的有BCC、libbpf、cilium、Katran等等,被广泛用于解决不同的问题。 虽然用起来不难,但想系统性的掌握却并非件易事。其,Cilium官方文档的BPF and XDP Reference Guide是一份好资料。于是,就有了译文的想法,愿一同在技术层面再认识eBPF。 转译过程有参考其他资料,亦有基于个人认知补充的背景知识。主
深入理解 BPF map 实现机制
dwh0403的专栏
01-10 1616
在 BPF 程序可以通过声明 `struct bpf_map_def` 结构完成创建,这其实带给我们一种错觉,感觉这和普通的 C 语言变量没有区别,然而事实真的是这样的吗? 事情远没有这么简单,读完本文以后相信你会有更大的惊喜。
初学XDP/eBPF常用的一些结构体和函数、概念
tunmang5421的博客
09-12 1416
文章目录前言结构体(libbpf的)xdp_mdstruct bpf_mapstruct bpf_object函数(libbpc的)bpf_object__find_map_by_namebpf_map__***bpf_map__namebpf_map__fd相关的其他函数/结构体setrlimit/getlimit关于这个资源限制再多说两句 前言 作为自己学XDP、eBPF的一个记录和参考,同时包括对一些概念的理解,后续会陆续补充; 结构体(libbpf的) 疑问: 为什么linux源码里面有些结
边缘网络 eBPF 超能力:eBPF map 原理与性能解析
VE_Edge的博客
01-04 3590
导读 众所周知,大型 eBPF 程序构建过程 eBPF map 必不可少。火山引擎边缘计算在数据面也大量使用eBPF 及其 map 机制。如何用好 mapeBPF 网络编程关键的一环,不同 map 的性能差异也较大。本文组织 eBPF map 相关的底层实现,为大家详细解析 eBPF map 的原理及性能。
(gopher)一无所知学ebpf
onepunchgo的博客
02-05 1596
我相信仍然有很多人不知道ebpf为何物,也不知道从何学起。但他似乎正在成为云原生开发性能优化的技术手段的事实标准
libbpf-bootstrap 开发指南:概念与如何安装
阿呆的隐秘角落
07-15 1652
libbpf-bootstrap 是一个项目,旨在帮助开发者快速启动和开发使用 eBPF (Extended Berkeley Packet Filter) 和 libbpf 的程序。eBPF 是一种可以在 Linux 内核运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf 是一个库,用于加载和管理 eBPF 程序和 maplibbpf-bootstrap 提供了一些样例程序和模板,帮助开发者理解如何使用 libbpf 创建、加载、管理 eBPF 程序,并与这些程序进行交互。
dash-bootstrap-components:Plotly Dash的Bootstrap组件
01-30
您可以使用pip安装dash-bootstrap-components : pip install dash-bootstrap-components 水蟒 您还可以通过conda-forge渠道使用conda安装dash-bootstrap-components : conda install -c conda-forge dash-...
react-bootstrap-typeahead:使用Bootstrap样式进行React typeahead
01-30
var Typeahead = require ( ' react-bootstrap-typeahead ' ) . Typeahead ; // CommonJS UMD构建 NPM软件包包含开发和生产版本。 或者,您可以从或获得它们。 文献资料 CSS 虽然该组件主要依赖于Bootstrap,但还...
ansible-vim-bootstrap:使用vim-bootstrap设置Vim或NeoVim的角色
05-05
为vim-bootstrap配置vimrc。 要求 没有任何。 支持语言 该角色支持vim-bootstrap的所有语言。 角色变量 vim_command :目标vim命令( vim或nvim ) vim_langs :vim-bootstrap支持的语言列表 vim_frameworks :vim-...
react-bootstrap-icons:用于Bootstrap图标的React组件
01-31
npm install react-bootstrap-icons --save 要么 yarn add react-bootstrap-icons 用法 import React from ' react ' ; import { ArrowRight } from ' react-bootstrap-icons ' ; export default function App () {...
minimal-bootstrap-blog:基于 bootstrap-dark 的 Jekyll 极简主题博客
08-04
最小引导博客介绍 minimum-bootstrap-blog 是一个简洁的、完全响应的、超简约的深色/浅色主题,使用 bootstrap-dark-5: : 。 该主题的灵感来自 Mark Otto 的个人网站: : 演示: : 我使用相同主题的个人网站: : ...
Android使用 eBPF 扩展内核
Peter的专栏
06-02 1665
Android 包含一个 eBPF 加载器和库,它可在 Android 启动时加载 eBPF 程序以扩展内核功能。这可用于从内核收集统计信息,进行监控或调试。eBPF 简介扩展型柏克莱封...
libbpf-bootstrap开发指南:网络包监测-tc
阿呆的隐秘角落
07-16 900
做全网最好的libbpf-bootstrap 开发指南
使用 libbpf-bootstrap 编写eBPF程序
撸大师的博客
12-22 906
3.只编写内核态代码的时候,使用 JSON 即可完成分发、加载、打包的过程,对于完整的、需要用户态和内核态进行交互的 eBPF 应用或工具,可以在 WASM 编写复杂的用户态处理程序进行控制和处理,并且将编译好的 eBPF 字节码嵌入在 WASM 模块一同分发,在目标机器上动态加载运行。2.基于 libbpf一次编译处处运行的特性,将用户态、内核态的编译和运行的完全分离,通过标准 JSON 或 WASM模块的方式进行分发,无需进行重新编译,应用启动占用资源少,时间短,甚至容器启动更短。
ebpf的percpu map的注意事项与剖析
^_^
01-10 937
ebpf percpu map
libbpf-bootstrap开发指南:适用于docker等虚拟环境的进程监测 - minimal_ns
阿呆的隐秘角落
07-15 1210
最全网最好的libbpf-bootstrap开发指南
eBPF/XDP加速报文转发
程序创坊
04-04 4507
eBPF/XDP加速网络转发
eBPF理解(三)
08-20 3012
使用例子第一条如:用户态 setsockopt(sock,SOL_SOCKET,SO_ATTACH_BPF,...)绑定BPF到具体的socket上。在网络驱动程序刚收到数据包时触发,无需通过网络协议栈,可用来实现高性能网络处理方案,常用于DDos防御,防火墙,4层负载均衡等场景。类型:BPF_PROG_TYPE_SCHED_CLS 和 BPF_PROG_TYPE_SCHED_ACT。这些类型的BPF程序都可以通过BPF系统调用的BPF_PROG_ATTACH进行挂载。用于过滤,观测或重定向套接字网络包。
libbpf-bootstrap
最新发布
08-23
libbpf-bootstrap是一个工具,它提供了一些样例程序和模板,帮助开发者理解如何使用libbpf创建、加载、管理eBPF程序,并与这些程序进行交互。它还提供了集成到构建系统的模板,方便编译和链接eBPF程序。libbpf-bootstrap支持BPF CO-RE(Compile Once - Run Everywhere),这是一种让eBPF程序能够在不同版本的Linux内核上运行的技术。它还展示了如何从用户空间程序发送数据到eBPF程序,并从eBPF程序返回数据到用户空间。此外,libbpf-bootstrap还提供了详细的文档,包括安装指南、样例程序的使用方法以及如何创建自己的eBPF程序等。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [libbpf-bootstrap 开发指南:概念与如何安装](https://blog.csdn.net/qq_32378713/article/details/131744499)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ym影子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值