linux内核观测技术BPF速读笔记

最新推荐文章于 2024-06-07 14:54:37 发布
最新推荐文章于 2024-06-07 14:54:37 发布
阅读量955 收藏 2
点赞数
分类专栏: # Linux学习 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41675544/article/details/125286291
版权

目录

动机:对bpf这些有点兴趣,通过速度这本书169页,获取一点知识。最近在网上看到的一种观点,很多书很多文字没有经过仔细的打磨,有可能是无用的信息,当然这个无用是很主观的,可能是自己的理解水平有限,但客观来讲就是自己读完没有太大的收获。因此读书要快,先很快的掌握了全貌,再去揪细节。

1&2&3

这几章节,BPF的历史和BPF的数据操作
比较关键的信息是bpf_trace_printk()要在/sys/kernel/debug/tracing/trace_pipe里边查看
BPF 分两类任务 跟踪&网络
第一个helloworld,检测到execve系统调用就输出
helloworld

4 BPF跟踪

bpf的跟踪类任务

静态
ABI稳定		动态
ABI不稳定
内核态跟踪点kprobes执行前插入
kretprobes返回后插入
用户态usdtuprobes执行前插入
uretprobes返回后插入

BPF 可视化:BPF收集信息,处理和可视化任务让给用户态的Perf事件来做

5 BPF工具

BPFtool

命令行工具,查看bpf信息,增删改查bpf映射

BPFTrace

类似与bpf的bash,按照DSL规则写脚本,即可直接运行

6 BPF网络

tcpdump工具

tcpdump—>linux pcap过滤器—>pcap过滤器被编译为bpf程序-d选项可查看BPF汇编指令
使用例子sudo tcpdump -n 'ip and tcp port 80'

源码bpf_load.c

流量控制TC

术语:排队规则qdisc
流量控制(Traffic Control, tc)是Linux内核提供的流量限速、整形和策略控制机制。它以qdisc-class-filter的树形结构来实现对流量的分层控制。参考
文中以cls_bpf分类器编写流量控制的BPF程序,cls_bpf可将BPF程序挂载到入口和出口即可直接访问sk_buff结构
在这里插入图片描述

7 XDP

XDP VS TC

TC访问sk_buff,有数据包的元数据,tc为加载器tc为加载器有数据包的元数据
XDP访问xdp_buff, 在进入主内核网络栈之前执行ip为加载器网卡NIC级别

总结

快速了解了下BPF的能力、优缺点。感觉这种速读还是有点意义的。

Q&A

  1. 第一章代码make后报错make: *** no rule to make target '/kernel-src/samples/bpf/bpf_load.c', needed by 'build'. stop.
    看看环境配置的[readme](https://github.com/bpftools/linux-observability- with-bpf/blob/master/README.md)吧,要下载一些东西
oiouou123
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python 性能优化监控工具_Linux性能优化(四)——BCC性能监控工具
weixin_35327824的博客
01-28 1587
一、BCC简介1、BCC简介BCC是一个Python库,简化了eBPF应用的开发过程,并收集了大量性能分析相关的eBPF应用。BCC为BPF开发提供了不同的前端支持,包括Python和Lua,实现了map创建、代码编译、解析、注入等操作,使开发人员只需聚焦于用C语言开发要注入的内核代码。BCC工具集大部分工具需要Linux Kernel 4.1以上版本支持,完整工具支持需要Linux Kernel...
Advanced_BPF_Kernel_Features_for_the_Container_Age_FOSDEM.pdf
02-25
cilium 的 ebpf 特性
Linux-Observability-with-BPF.pdf
04-23
Linux-Observability-with-BPF.pdf
(译)BPF技巧和窍门:bpf_trace_printk() 和 bpf_printk() 指南
nan的博客
08-26 8576
原文:Andrii Nakryiko’s Blog --BPF tips & tricks: the guide to bpf_trace_printk() and bpf_printk() 任何BPF 程序总是需要一些调试才能使其正常工作。 不幸的是,目前还没有 BPF 调试器,所以下一个最好的办法是在周围撒上类似 printf() 的语句,看看 BPF 程序中发生了什么。 printf() 的 BPF 等价物是 bpf_trace_printk() 。 在这篇博文中,我们将了解如何使用它、它的
BPF技术:赋予Linux内核动态编程能力的革命性创新
最新发布
m0_66404702的博客
06-07 794
BPFLinux 内核中,被实现为一个非常精简的虚拟机,具有几乎性能无损的执行效率。我们可以用类似 C 语言的语法,编写代码,编译成可以在 BPF 虚拟机中运行的汇编代码,实现其强大的逻辑处理能力。
XDP入门--eBPF程序如何打印log, printf log,打印日志
meihualing的专栏
05-22 1628
在eBPF程序中添加LOG打印,打印日志
Linux 内核观测技术BPF
0 error(s)
03-12 2142
BPF允许任何人在Linux内核之中执行任意的代码,这听起来的十分危险,但是由于有着使得这一过程变的相当的安全。BPF内核的一个模块,所有的BPF程序都必须经过它的审查才能够被加载到内核之中去运行。验证器执行的就是对BPF虚拟机加载的代码进行。这一步的目的是保证程序可以按照预期去结束,而不会产生死循环拜拜浪费系统资源。验证器会创建一个DAG(有向无环图),将BPF程序的每个执行首位相连之后去执行DFS(深度优先遍历),当且仅当每个路径都能达到DAG的底部才会通过验证。之后其会执行。
Linux Observability with BPF Advanced Programming
05-29
Linux Observability with BPF》这本书的主题非常引人入胜,围绕BPF(Berkeley Packet Filter)技术Linux观测性方面的应用展开。为了激发彼此的想象力和创造力,我们可以进行一场关于此主题的头脑风暴。以下是...
BPF-performance.rar
04-01
Linux系统中,BPF(Berkeley Packet Filter)是一种强大的技术,它允许用户空间程序对内核数据结构进行安全的、高效的访问。随着其发展,BPF已经演变为一个通用的、安全的虚拟机,支持多种用途,如网络过滤、性能...
Linux平台下BPF模型的研究.pdf
09-06
Linux平台下BPF模型的研究.pdf
Bpf截取Linux网络流量信息
qq_42931917的博客
12-26 2924
Bpf截取Linux网络流量信息 一、环境搭建 参考:基于Linux bpf跟踪文件读写_Configure-Handle的博客-CSDN博客 二、基于python 的代码实现 #!/usr/bin/env python # coding=utf-8 from __future__ import print_function from bcc import BPF from time import sleep import argparse from collections import namedt
泛读Linux内核观测技术BPF-01
qiubinwei的博客
09-09 228
【欢迎关注微信公众号:qiubinwei-1986】9月开始了,前期定的关于eBPF的相关计划,由于学习难度和成本太高了,一直处于翻开书就放弃阶段,直到近期,在外部压力下迫使自己不得不临时放下Linux内核的学习,通过代价高昂的上下文切换,过渡到Linux的eBPF学习上。由于BPF手上的纸质文档有限,计划先花1周左右时间,先把如下这本书泛读一遍,加深印象,在通过有的放矢的方式针对其中对现阶段最有价值的内容进行深入学习。这本书带上引言,一共八章,相比较Linux内核的板砖材料,这本书基本就是小儿科了。
Linux 内核观测技术 BPF 速读笔记
xc790的专栏
10-15 632
读书笔记
linux-observability-with-bpf make: *** No rule to make target ‘/kernel-src/samples/bpf/bpf_load.c‘
guoguangwu的专栏
04-03 1506
Ubuntu 18.04.2 LTS 环境下 git clone https://github.com/bpftools/linux-observability-with-bpf.git 进入 linux-observability-with-bpf/chapter-2/hello_world 阅读README.md后执行make bpfload,报错 make: *** No rule to make target '/kernel-src/samples/bpf/bpf_load.c', nee
泛读Linux内核观测技术BPF-02
qiubinwei的博客
09-09 261
整个第二章从编写一个BPF程序开始,先介绍BPF程序编译执行的过程,大致分C语言编写,LLVM编译成BPF字节码,在通过bfp调用变成BPF字节码,通过BPF验证器后使用JIT编译为机器码并执行。SO_REUSEADDR和SO_REUSEPORT都是内核中的端口重用参数(TCP和UDP),允许相同主机上多个进程绑定相同的端口,解决在高并发情况下,多线程并发处理时端口不足的问题,打开端口重用可以提高网络连接数量,获得较高单机性能。通过不同的程序类型,可以将程序附加到内核网络处理的不同阶段上。
eBPF学习记录(五)linux内核源代码编译eBPF程序
jianjian的博客
06-09 4070
linux 内核源代码编译bpftool的命令: make -C tools/bpf/bpftool 编译ebpf程序命令 问题记录: 对于参数问题,当前 BPF 程序尝试把所有参数一次性放入,受限于栈最大长度 512,很容易出现被截断现象。以 BCC 程序为例的解决方法:遍历参数列表 argv 时,每个参数读取之后直接调用 perf_submit 提交至 ringbuf,而不是读取所有参数后仅提交一次,最后用户态程序负责把这些字符串拼接起来。这样可以做到参数最大个数不受限制,且每个参数长度可接近栈最大
使用linux内核提供的c接口来加载bpf程序
zhjwang的博客
12-31 926
有时候可能,你使用不了bcc等库。 这个时候就需要自己使用纯c来编译和load bpf程序, 在探索的过程中,遇到了各种文件找不到的情况。根据编译提示,最终在内核源码树中都找到了对应的文件和函数。所以,在自己使用纯c来加载bpf程序的时候,需要下载一份内核源码.以下为demo #include <linux/bpf.h> #define SEC(NAME) __attribute__((section(NAME), used)) static int (*bpf_trace_printk)(c
BPF 之路:技术背景
阿呆的隐秘角落
03-28 1202
BPF 之路
BPF内核调试开发坏境的搭建
yeholmes的专栏
10-17 3383
BPF内核调试方法 一直以来,笔者对BPF功能的认知一直停留在与tcpdump工具进行网络抓包相关;最近几年BPF已成为内核的顶级子系统,从网络抓包的内核支持模块演进成为内核调试、性能跟踪的复杂模块。其对内核的调试(也可用于应用的调试)是动态的;不过该动态调试过程并不需要编译内核模块并加载之,而是将调试应用编译成为eBPF字节码,并通过bpf系统调用将该字节码加载到内核中的BPF虚拟机中解析执行,或由内核中的BPF Jit编译为机器码后运行。这一调试机制使得其与传统的GDB调试方法相比,具有更低的延时和更
linux内核观测技术bpf
03-16
BPF是一种Linux内核观测技术,它可以在内核中执行代码,从而实现对系统的深度观测和分析。BPF可以用于网络、存储、安全等多个领域,可以实现高效的数据过滤、统计、监控等功能。BPF还可以与用户空间程序交互,实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值