libbpf-bootstrap基础

最新推荐文章于 2024-06-01 17:09:22 发布
最新推荐文章于 2024-06-01 17:09:22 发布
阅读量1.2k 收藏 20
点赞数 24
分类专栏: eBPF 文章标签: linux arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38232169/article/details/135351596
版权

libbpf-bootstrap 基础

文章目录

视频讲解

libbpf-bootstrap 基础

源码下载

https://github.com/libbpf/libbpf-bootstrap

# 克隆源码,如果是手动下载,需要注意把子仓库也要下载下来
git clone --recurse-submodules https://github.com/libbpf/libbpf-bootstrap

# 如果是通 git clone 下载源码,可以查看修改记录
git log

源码目录

blazesym  bpftool  examples  libbpf  LICENSE  README.md  tools  vmlinux
# blazesym -- Rust语言中的符号库,如果用C语言开发,就不用关注;
# bpftool  -- 是 libbpf-bootstrap 框架的核心bpf工具,下面章节会介绍
# examples -- 示例代码,包括 c语言 和 Rust语言
# libbpf   -- 开发eBPF的基础代码库,下面章节会介绍
# tools    -- 生成 vmlinux.h 文件的工具
# vmlinux  -- 存放CO-RE(Compile Once – Run Everywhere)依赖的 vmlinux.h 头文件

问题:libbpf 和 libbpf-bootstrap 有什么关系?

libbpf

是对bpf syscall(系统调用) 的基础封装,提供了 open, load, attach, maps操作, CO-RE, 等功能:

  • open

    从elf文件中提取 eBPF的字节码程序,maps等;

    LIBBPF_API struct bpf_object *bpf_object__open(const char *path);

  • load

​ 把 eBPF字节码程序,maps等加载到内核

LIBBPF_API int bpf_object__load(struct bpf_object *obj);

  • attach

    把eBPF程序attch到挂接点

LIBBPF_API struct bpf_link *bpf_program__attach(......);
LIBBPF_API struct bpf_link *bpf_program__attach_perf_event(......);
LIBBPF_API struct bpf_link *bpf_program__attach_kprobe(......);
LIBBPF_API struct bpf_link *bpf_program__attach_uprobe(......);
LIBBPF_API struct bpf_link *bpf_program__attach_ksyscall(......);
LIBBPF_API struct bpf_link *bpf_program__attach_usdt(......);
LIBBPF_API struct bpf_link *bpf_program__attach_tracepoint(......);
......
  • maps的操作
LIBBPF_API int bpf_map__lookup_elem(......);
LIBBPF_API int bpf_map__update_elem(......);
LIBBPF_API int bpf_map__delete_elem(......);
......
  • CO-RE(Compile Once – Run Everywhere)

​ CO-RE可以实现eBPF程序一次编译,在不同版本的内核中正常运行;下面的章节会详细展开讲;

bpf_core_read(dst, sz, src)
bpf_core_read_user(dst, sz, src)
BPF_CORE_READ(src, a, ...)
BPF_CORE_READ_USER(src, a, ...)
  • 其它辅助功能

libbpf-bootstrap:

基于 libbpf 开发出来的eBPF内核层代码,通过bpftool工具直接生成用户层代码操作接口,极大减少开发人员的工作量;

eBPF一般都是分2部分:内核层代码 + 用户层代码

内核层代码:跑在内核层,负责实现真正的eBPF功能

用户层代码:跑在用户层,负责 open, load, attach eBPF内核层代码到内核,并负责用户层和内核层的数据交互;

在 libbpf-bootstrap 框架中,开发一个eBPF功能,一般需要2个基础代码文件,比如需要开发个minimal的eBPF程序,需要 minimal.bpf.c 和 minimal.c,如果前面的2个文件还需要公共的头文件,可以定义头文件:minimal.h

minimal.bpf.c 是内核层代码,被 clang 编译器编译成 minimal.tmp.bpf.o

bpftool 工具通过 minimal.tmp.bpf.o 自动生成 minimal.skel.h 头文件:

clang -g -O2 -target bpf -c minimal.bpf.c -o minimal.tmp.bpf.o
bpftool gen object minimal.bpf.o minimal.tmp.bpf.o
bpftool gen skeleton minimal.bpf.o > minimal.skel.h

minimal.skel.h 头文件中就包含了 minimal.bpf.c 对应的elf文件数据,以及用户层需要的 open, load, attach 等接口;

// hello.bpf.c 对应的 elf 文件数据:
static inline const void *minimal_bpf__elf_bytes(size_t *sz);

// open load attach 操作接口:
static inline struct minimal_bpf *minimal_bpf__open(void);
static inline int minimal_bpf__load(struct minimal_bpf *obj);
static inline struct minimal_bpf *minimal_bpf__open_and_load(void);
static inline int minimal_bpf__attach(struct minimal_bpf *obj);

// 注意: 以上的接口都是 libbpf-bootstrap 根据开发人员编写的 minimal.bpf.c 文件,直接自动生成的接口;
// minimal.bpf.c --> bpftool --> 自动生成简洁的 minimal.skel.h
// minimal.skel.h 头文件中的接口可以非常简单的操作eBPF程序;

eBPF程序的生命周期

4个阶段: open, load, attach, destroy

  • open 阶段

    从 clang 编译器编译得到的eBPF程序elf文件中抽取 maps, eBPF程序, 全局变量等;但是还未在内核中创建,所以还可以对 maps, 全局变量 进行必要的修改;如:

//	libbpf-bootstrap/examples/c/minimal.c

/* Open BPF application */
skel = minimal_bpf__open();

/* eBPF内核层代码中定义的全局变量初始化 */
skel->bss->my_pid = getpid();

/* 还可以通过 bpf_map__set_value_size 和 bpf_map__set_max_entries 2个接口对eBPF内核层代码中
 * 定义的 maps 进行修改;
 */

  • load 阶段

    maps,全局变量 在内核中被创建,eBPF字节码程序加载到内核中,并进行校验;但这个阶段,eBPF程序虽然存在内核中,但还不会被运行,还可以对内核中的maps进行初始状态的赋值;

  • attach 阶段

    eBPF程序被attach到挂接点,eBPF相关功能开始运行,比如:eBPF程序被触发运行,更新maps, 全局变量等;

  • destroy 阶段

    eBPF程序被 detached,eBPF用到的资源将会被释放;

在 libbpf-bootstrap中,4个阶段对应的用户层接口:

// open 阶段,xxx:根据eBPF程序文件名而定
xxx_bpf__open(...);

// load 阶段,xxx:根据eBPF程序文件名而定
xxx_bpf__load(...);

// attach 阶段,xxx:根据eBPF程序文件名而定
xxx_bpf__attach(...);

// destroy 阶段,xxx:根据eBPF程序文件名而定
xxx_bpf__destroy(...);

//以上接口都是libbpf-bootstrap根据开发人员的eBPF文件自动生成,
//如果eBPF程序文件名为 hello.bpf.c,
//自动生成的用户层接口:
hello_bpf__open(...);
hello_bpf__load(...);
hello_bpf__attach(...);
hello_bpf__destroy(...);

//如果eBPF程序文件名为 minimal.bpf.c
//自动生成的用户层接口:
minimal_bpf__open(...);
minimal_bpf__load(...);
minimal_bpf__attach(...);
minimal_bpf__destroy(...);

eBPF程序生命周期更详细的介绍:

https://nakryiko.com/posts/bcc-to-libbpf-howto-guide/#bpf-skeleton-and-bpf-app-lifecycle

CO-RE(Compile Once – Run Everywhere)

一次编译,可以运行在不同版本的内核中

为什么需要这样的功能?

假设内核有个结构体 struct foo,但是在不同版本的内核,定义有变化:

//4.x的内核版本
struct foo {
    int a;
    int b;
    int c;
}

//5.x的内核版本
struct foo {
    int a;
    int b;
    int x;  //新版本内核中新增了一个字段
    int c;
}

// eBPF程序访问struct foo结构体中的字段c:
SEC("kprobe/xxx")
int BPF_KPROBE(xxx, struct foo * p_foo)
{
    int read_c;

    /* bpf_probe_read_kernel 的函数声明:
     * long bpf_probe_read_kernel(void *dst, __u32 size, const void *unsafe_ptr);
     */

    //如果是4.x内核
    bpf_probe_read_kernel(&read_c, sizeof(int), p_foo + 2 * sizeof(int));

    //如果是5.x内核
    bpf_probe_read_kernel(&read_c, sizeof(int), p_foo + 3 * sizeof(int));
}

// 因为不同内核版本中, struct foo 中的c字段偏移变了,所以不同版本的内核必须要编写2个不同的eBPF程序
// 这会对eBPF工具的发布造成非常大的问题

为了解决这个问题,需要3个方面的配合:

  1. BTF (BPF Type Format)

    运行中的内核提供当前内核中各种数据类型的BTF描述,用户空间可以通过 /sys/kernel/btf/vmlinux 访问当前内核的BTF信息;

    通过bpftool工具,把BTF格式的 vmlinux 转化成C语言格式的头文件 vmlinux.h,vmlinux.h 包好了当前内核中的所有数据类型的定义;

    bpftool btf dump file /sys/kernel/btf/vmlinux format c > vmlinux.h

    BTF 详细介绍:https://www.kernel.org/doc/html/latest/bpf/btf.html#

  2. clang 编译器需要支持记录结构体字段重定位的信息

    #define bpf_core_read(dst, sz, src)					    \
	bpf_probe_read_kernel(dst, sz, (const void *)__builtin_preserve_access_index(src))

// __builtin_preserve_access_index 就是让 clang 编译器编译时增加结构体字段重定位的信息
// 比如:
bpf_core_read(&read_c, sizeof(int), p_foo->c)
//宏展开:
bpf_probe_read_kernel(&read_c, sizeof(int), __builtin_preserve_access_index(p_foo->c))
//clang编译器编译这段代码时,就会增加描述信息:访问 c 字段时需要根据当前内核的BTF信息重新计算偏移量

  3. eBPF loader

    libbpf 加载eBPF程序到内核时,会先找到 clang 编译器记录的重定位信息,根据当前运行中的内核提供的BTF信息,重新计算需要访问的字段的偏移量;

    比如上面的 struct foo 结构体,如果内核开启了 CONFIG_DEBUG_INFO_BTF 的内核配置选项,在编译内核时,
struct foo 结构体就会被编译进内核的BTF信息中,内核运行时,可以通过访问 /sys/kernel/btf/vmlinux
文件就可以知道 struct foo 结构体具体的定义,也就可以动态计算得到 c 字段的偏移量;

如果在编写eBPF程序时,通过clang编译器的 __builtin_preserve_access_index 明确告诉libbpf加载
eBPF程序时,需要动态计算 c 字段的偏移量,从而避免在eBPF程序中手动写死 c 字段的偏移量;

eBPF程序就可以只编译一次,在不同版本的内核中正常运行!

如何在 libbpf-bootstrap 中使用或者不使用 CO-RE

//在内核层的eBPF程序中,包含 vmlinux.h 头文件就说明需要使用 CO-RE 功能, 否则就是不使用
#include "vmlinux.h"

//使用CO-RE需要内核打开 CONFIG_DEBUG_INFO_BTF 配置选项,如果内核版本过低,不支持这个配置选项,
//就不要使用 CO-RE,即不要包含 vmlinux.h 头文件

// vmlinux.h 头文件,在 libbpf-bootstrap/vmlinux/ 目录下有预先提供特定版本内核相关的 vmlinux.h
// 使用过程中,运行中的内核版本没必要和libbpf-bootstrap/vmlinux/ 目录下预先提供的 vmlinux.h
// 对应的内核版本完全匹配上,不匹配上也可以用

// 手动生成自己的 vmlinux.h, 可以参考:libbpf-bootstrap/tools/gen_vmlinux_h.sh

CO-RE 更详细的介绍:https://nakryiko.com/posts/bpf-portability-and-co-re/

x86-64 平台上的编译

  • clang 编译器

    版本要求: at least v11 or later

    不同版本 clang 编译下载: https://releases.llvm.org/download.html

    在 ubuntu18.04 上,我下载了 16.0.0 版本的 clang 编译器

    ~/Desktop/clang-16/clang --version

  • 修改 libbpf-bootstrap/examples/c/ 目录下的Makefile

    CLANG ?= /home/zhanglong/Desktop/clang-16/clang

# 可以被编译的 sample 程序
APPS = minimal minimal_legacy bootstrap uprobe kprobe fentry usdt sockfilter tc ksyscall

  • 编译 libbpf-bootstrap/examples/c/ 目录下的 uprobe 示例代码

    cd libbpf-bootstrap/examples/c/
make clean
make uprobe
张口就问
关注
专栏目录
6.10 Libbpf-bootstrap(一,简介)
从0到1,突破自己
05-29 1086
在看完前面的介绍,是不是感觉看了也就看了。但是,如果想要像BCC那样使用libbpf编写BPF程序,该怎么开始呢?那么这就需要libbpf-bootstrap了。libbpf-bootstrap是官方推荐的一个范式,就像我们写PPT的模版。简单来说可以简化我们的BPF开发流程,它可以帮助我们快速开发编写自己的BPF程序。这也就为什么把这个项目叫做bootstrap了。就像你需要使用一台电脑环境写个贪吃蛇游戏,那么你不需要在去买显卡,CPU,主板去组装一台电脑;而是只需要按下电源键即可。通过使用。
6.11 Libbpf-bootstrap(二,Minimal)
从0到1,突破自己
06-01 114
minimal是一个很好的入门示例。你可以将其视为一个简单的POC,用于尝试BPF功能。它不使用BPF CO-RE,因此你可以使用较旧的内核,并且只需包含系统内核头文件即可获取内核类型定义。这不是构建生产就绪应用程序和工具的最佳方法,但对于本地实验来说已经足够了。
6.12 Libbpf-bootstrap(三,APP)
最新发布
从0到1,突破自己
06-01 214
既然我们已经了解了最小应用以及Makefile中的编译方式,接下来我们将通过bootstrap应用程序展示的一些额外的BPF特性。在现代BPF Linux环境中,bootstrap是我编写可用于生产环境的BPF应用程序的方式。它依赖于BPF CO-RE(阅读原因请点击这里),并且需要Linux内核以CONFIG_DEBUG_INFO_BTF=y配置构建(详见此处)。
使用libbpf-bootstrap构建BPF应用程序
RToax
02-21 1905
目录 为什么选择libbpf-bootstrap? 先决条件 Libbpf引导概述 最小的应用 BPF方面 用户空间端 生成文件 引导程序 包括:vmlinux.h,libbpf和应用程序头 BPF地图 只读BPF配置变量 BPF环形缓冲区 BPF CO-RE 结论 libbpf-bootstrap脚手架可让您轻松快捷地开始使用自己的BPF应用程序,该脚手架将处理所有寻常的设置步骤,并使您能够直接体验BPF的乐趣并最大程度地减少必要的样板。我们将看看libbpf-boo..
使用 libbpf-bootstrap 编写eBPF程序
撸大师的博客
12-22 978
3.只编写内核态代码的时候,使用 JSON 即可完成分发、加载、打包的过程,对于完整的、需要用户态和内核态进行交互的 eBPF 应用或工具,可以在 WASM 中编写复杂的用户态处理程序进行控制和处理,并且将编译好的 eBPF 字节码嵌入在 WASM 模块中一同分发,在目标机器上动态加载运行。2.基于 libbpf一次编译处处运行的特性,将用户态、内核态的编译和运行的完全分离,通过标准 JSON 或 WASM模块的方式进行分发,无需进行重新编译,应用启动占用资源少,时间短,甚至容器启动更短。
使用libbpf-bootstrap构建第一个libbpf+BPF CO-RE程序
weixin_43144516的博客
07-16 5194
文章目录前言选择libbpf+BPF CO-RE的理由使用libbpf-bootstrap的理由Libbpf-bootstrap结构Minimal:最小应用程序分析运行minimal:代码分析:BPF side代码分析:User space sideMakefile分析动手构建属于自己的Hello World程序 前言 本文参考了相关博客:Building BPF applications with libbpf-bootstrap 选择libbpf+BPF CO-RE的理由 libbpf 是一个比BCC更
libbpf-bootstrap库的代码结构介绍(用户层接口介绍),编译链接语句详细介绍,.skel.h文件介绍+示例,bpf程序的后续处理+文件关系总结
m0_74206992的博客
04-14 764
libbpf-bootstrap库的代码结构介绍(用户层接口介绍),编译链接语句详细介绍,.skel.h文件介绍+示例,bpf程序的后续处理+文件关系总结
libbpf-bootstrap安卓aarch64适配交叉编译
youzhangjing_的博客
09-04 821
于是我继续折腾libbpf-bootstrap的交叉编译,好巧不巧,在How to cross-compile programs from amd64 to arm64 · Issue #144 · libbpf/libbpf-bootstrap · GitHub这个issure中也发现了这个问题,显然,直到现在还是open状态,给出的maintainer给出的方案是。但我面临的是性能的需要,我还是打算折腾一下纯C的开发生态,但是AOSP又实在太过庞大,且面临API变动会使我们很头疼。
swagger-bootstrap-ui-1.9.6-API文档-中文版.zip
07-13
赠送jar包:swagger-bootstrap-ui-1.9.6.jar; 赠送原API文档:swagger-bootstrap-ui-1.9.6-javadoc.jar; 赠送源代码:swagger-bootstrap-ui-1.9.6-sources.jar; 赠送Maven依赖信息文件:swagger-bootstrap-ui-...
libbpf-bootstrap Makefile阅读
qq_45675153的博客
09-02 621
此Makefile可以看做使用libbpf构建C项目的指南,也可帮助理解libbpf的工作方式Linux内核入门及WSL2上的重编译笔记_postKamous的博客-CSDN博客重新编译内核主要是为了使用libbpf,日后也可以再使用rust::redbpf。
libbpf-bootstrap开发指南:第一个tracepoint 监测demo - minimal
阿呆的隐秘角落
07-15 947
做全网最好的libbpf-bootstrap 开发指南
libbpf-bootstrap开发指南:使用ringbuf 进行通信 - bootstrap
阿呆的隐秘角落
07-15 1105
做全网最好的libbpf-bootstrap开发指南
ebpf教程(2):使用libbpf-bootstrap构建eBPF应用程序【译】
大草的博客
12-31 2814
使用libbpf-bootstrap构建BPF应用程序【译】
libbpf-bootstrap开发指南:适用于docker等虚拟环境的进程监测 - minimal_ns
阿呆的隐秘角落
07-15 1351
最全网最好的libbpf-bootstrap开发指南
eBPF新手入门,安装 eunomia-bpf 开发工具,跑libbbpf-bootstrap下的示例代码初步学习
qq_46274911的博客
04-18 1464
eBPF入门,安装 eunomia-bpf 开发工具,跑libbbpf-bootstrap下的示例代码初步学习
libbpf-bootstrap交叉编译
qq_38232169的博客
01-05 1210
讲解 libbpf-bootstraparm32 平台上的交叉编译
bpf,ebpf,libbpf,在ubuntu22中ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
m0_74206992的博客
03-27 1093
bpf,ebpf,libbpf,ebpf工具的安装和介绍(libbpf_bootstarp,eunomia-bpf,bpftiime),关系总结,ebpf程序执行流程
libbpf 开发指南:获取bpf_object 关联的 BTF(BPF Type Format)信息与文件描述符
阿呆的隐秘角落
07-02 499
做最好的bpf教程
libbpf-bootstrap 开发指南:概念与如何安装
阿呆的隐秘角落
07-15 1969
libbpf-bootstrap 是一个项目,旨在帮助开发者快速启动和开发使用 eBPF (Extended Berkeley Packet Filter) 和 libbpf 的程序。eBPF 是一种可以在 Linux 内核中运行的程序,提供了强大的网络过滤、系统调用监控和性能分析等功能。libbpf 是一个库,用于加载和管理 eBPF 程序和 map。libbpf-bootstrap 提供了一些样例程序和模板,帮助开发者理解如何使用 libbpf 创建、加载、管理 eBPF 程序,并与这些程序进行交互。
libbpf-bootstrap
08-23
libbpf-bootstrap是一个工具,它提供了一些样例程序和模板,帮助开发者理解如何使用libbpf创建、加载、管理eBPF程序,并与这些程序进行交互。它还提供了集成到构建系统的模板,方便编译和链接eBPF程序。libbpf-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值