动机:对bpf这些有点兴趣,通过速度这本书169页,获取一点知识。最近在网上看到的一种观点,很多书很多文字没有经过仔细的打磨,有可能是无用的信息,当然这个无用是很主观的,可能是自己的理解水平有限,但客观来讲就是自己读完没有太大的收获。因此读书要快,先很快的掌握了全貌,再去揪细节。
1&2&3
这几章节,BPF的历史和BPF的数据操作
比较关键的信息是bpf_trace_printk()
要在/sys/kernel/debug/tracing/trace_pipe
里边查看
BPF 分两类任务 跟踪&网络
第一个helloworld,检测到execve系统调用就输出
4 BPF跟踪
bpf的跟踪类任务
静态 ABI稳定 | 动态 ABI不稳定 | |
---|---|---|
内核态 | 跟踪点 | kprobes执行前插入 kretprobes返回后插入 |
用户态 | usdt | uprobes执行前插入 uretprobes返回后插入 |
BPF 可视化:BPF收集信息,处理和可视化任务让给用户态的Perf事件来做
5 BPF工具
BPFtool
命令行工具,查看bpf信息,增删改查bpf映射
BPFTrace
类似与bpf的bash,按照DSL规则写脚本,即可直接运行
6 BPF网络
tcpdump工具
tcpdump—>linux pcap过滤器—>pcap过滤器被编译为bpf程序-d
选项可查看BPF汇编指令
使用例子sudo tcpdump -n 'ip and tcp port 80'
流量控制TC
术语:排队规则qdisc
流量控制(Traffic Control, tc)是Linux内核提供的流量限速、整形和策略控制机制。它以qdisc-class-filter的树形结构来实现对流量的分层控制。参考
文中以cls_bpf分类器编写流量控制的BPF程序,cls_bpf可将BPF程序挂载到入口和出口即可直接访问sk_buff结构
7 XDP
XDP VS TC
TC | 访问sk_buff,有数据包的元数据,tc为加载器 | tc为加载器 | 有数据包的元数据 |
XDP | 访问xdp_buff, 在进入主内核网络栈之前执行 | ip为加载器 | 网卡NIC级别 |
总结
快速了解了下BPF的能力、优缺点。感觉这种速读还是有点意义的。
Q&A
- 第一章代码make后报错
make: *** no rule to make target '/kernel-src/samples/bpf/bpf_load.c', needed by 'build'. stop.
看看环境配置的[readme](https://github.com/bpftools/linux-observability- with-bpf/blob/master/README.md)吧,要下载一些东西