eBPF 入门开发实践教程一:介绍与快速上手

最新推荐文章于 2024-06-05 09:32:07 发布
最新推荐文章于 2024-06-05 09:32:07 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: linux 文章标签: ebpf c++ 服务器 监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42779423/article/details/126998063
版权

1. 什么是eBPF

Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,
但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,
实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,
稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。

加载内核模块虽然来说更为灵活,不需要重新编译源码,但是也可能导致内核崩溃,且随着内核版本的变化
模块也需要进行相应的修改,否则将无法使用。

在这一背景下,eBPF技术应运而生。它是一项革命性技术,能在内核中运行沙箱程序(sandbox programs),而无需修改内核源码或者加载内核模块。用户可以使用其提供的各种接口,实现在内核中追踪、监测系统的作用。

1.1. 起源

eBPF的雏形是BPF(Berkeley Packet Filter, 伯克利包过滤器)。BPF于
1992年被Steven McCanne和Van Jacobson在其论文
提出。二人提出BPF的初衷是是提供一种新的数据包过滤方法,该方法的模型如下图所示。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p9w1i8iT-1663845758888)(…/imgs/original_bpf.png)]

相较于其他过滤方法,BPF有两大创新点,首先是它使用了一个新的虚拟机,可以有效地工作在基于寄存器结构的CPU之上。其次是其不会全盘复制数据包的所有信息,只会复制相关数据,可以有效地提高效率。这两大创新使得BPF在实际应用中得到了巨大的成功,在被移植到Linux系统后,其被上层的libcap
tcpdump等应用使用,是一个性能卓越的工具。

传统的BPF是32位架构,其指令集编码格式为:

  • 16 bit: 操作指令
  • 8 bit: 下一条指令跳向正确目标的偏移量
  • 8 bit: 下一条指令跳往错误目标的偏移量

经过十余年的沉积后,2013年,Alexei Starovoitov对BPF进行了彻底地改造,改造后的BPF被命名为eBPF(extended BPF),于Linux Kernel 3.15中引入Linux内核源码。
eBPF相较于BPF有了革命性的变化。首先在于eBPF支持了更多领域的应用,它不仅支持网络包的过滤

最低0.47元/天 解锁文章
云微123
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
eBPF开发指南
SenberHu的博客
05-17 1338
0x1:技术背景 bpf: BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpf) EbpfeBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
eBPF 入门开发实践指南一:介绍 eBPF 的基本概念、常见的开发工具
云微的blog
01-23 1374
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。
eBPF系统视频教程
09-24
本套视频教程主要讲eBPF系统,通过从eBPF工作机制与原理、底层kprobes原理、BCC的工具套件、bpftrace工具等从浅入深,重点深入讲解了eBPF底层实现、内核函数hook、动表态hook等原理。深入浅出的讲了eBPF中底层难以理解的知识,因此本套教程非常适合底层研究人员,通过学习eBPF系统,掌握eBPF为日后学习其它高级技术打下基础。
探秘Py2BPF:Python到eBPF的神奇转换器
最新发布
gitblog_00064的博客
06-05 371
探秘Py2BPF:Python到eBPF的神奇转换器 项目地址:https://gitcode.com/facebookresearch/py2bpf 项目简介 Py2BPF 是一个独特且创新的开源项目,它能将Python函数翻译成eBPF(Linux内核字节码)。eBPF是一种在Linux内核中执行的虚拟机字节码,常用于网络包过滤、软件事件跟踪等各种系统级任务。虽然项目仍处于实验阶段,但其潜力和...
万字干货,eBPF 经典入门指南
极客重生
05-25 4200
eBPF 源于BPF[1],本质上是处于内核中的一个高效与灵活的虚拟机组件,以一种安全的方式在许多内核 hook 点执行字节码。BPF最初的目的是用于高效网络报文过滤,经过重新设计,eBPF不再局限于网络协议栈,已经成为内核顶级的子系统,演进为一个通用执行引擎。开发者可基于 eBPF 开发性能分析工具、软件定义网络、安全等诸多场景。本文将介绍 eBPF 的前世今生,并构...
eBPF 入门教程
云原生实验室
10-15 1191
作者:Adrian Ratiu译者:狄卫华1. 前言有兴趣了解更多关于 eBPF 技术的底层细节?那么请继续移步,我们将深入研究 eBPF 的底层细节,从其虚拟机机制和工具,到在远程资源受...
eBPF学习 - 入门
成长之路
04-17 2226
BPF和eBPF是什么? BPF是Berkeley Packet Filter(伯克利数据包过滤器)得缩写,诞生于1992年,其作用是提升网络包过滤工具得性能,并于2014年正式并入Linux内核主线。 BPF提供一种在各种内核事件和应用程序事件发生时允许运行一小段程序的机制,使得内核完全可编程,允许用户定制和控制他们的系统以解决相应的问题。 BPF是一项灵活而高效的技术,由指令集、存储对象和辅助函数等几部分组成。其采用了虚拟指令集规范,运行时BPF模块提供两个执行机制:解释器和即时编译器(JIT)。在实际
一周快速上手iPhone开发视频教程
07-23
资源名称:一周快速上手iPhone开发视频教程资源目录:【】一周快速上手iPhone开发01【】一周快速上手iPhone开发02【】一周快速上手iPhone开发03【】一周快速上手iPhone开发04【】一周快速上手iPhone开发05【】一周...
Docker 入门快速上手指南
09-30
本篇文章主要介绍了详解Docker 快速上手指南,记录 Docker 中的常用操作、指令,使得大家能够快速地使用 Docker。
smarty半小时快速上手入门教程
10-25
在本篇 Smarty 半小时快速上手入门教程中,我们将通过实例讲解如何快速掌握Smarty的基本用法。 首先,让我们了解一下Smarty的安装与配置。在你的网站根目录下下载Smarty的库文件,然后在你的PHP脚本中引入这些文件...
飞思卡尔单片机快速上手指南_入门教程_飞思卡尔_
10-04
飞思卡尔单片机快速上手指南是一份专为初学者设计的教程,旨在帮助用户迅速掌握飞思卡尔单片机的基本操作和应用。这份入门教程涵盖了从硬件基础到软件开发的全过程,对于想要深入理解和使用飞思卡尔单片机的人来说,...
[Wondgirl] 入门系列教程《一》上手简介
03-29
小程序是一种新的开放能力,开发者可以快速开发一个小程序。小程序可以在微信内被便捷地获取和传播,同时具有出色的使用体验。 微信小程序官网(微信公众平台): https://mp.weixin.qq.com/  微信小程序开发文档 ...
开发并运行第一个 eBPF 程序
weixin_42136255的博客
10-04 413
开发并运行第一个 eBPF 程序
Linux内核 eBPF基础:BCC (BPF Compiler Collection)
RToax
05-22 2363
目录 BCC包括的一些工具 安装BCC 常用工具示例 capable tcpconnect tcptop 扩展工具 简单示例 使用BPF_PERF_OUTPUT 用户自定义探针示例 参考 BPF Compiler Collection(BCC)是基于eBPF的Linux内核分析、跟踪、网络监控工具。其源码存放于iovisor/bcc。 BCC包括的一些工具 http://www.brendangregg.com/ebpf.html 安装BCC Ubuntu:...
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(1)
phmatthaus的专栏
03-08 241
eBPF 入门开发实践教程十三:内存泄露监控工具 -- memleak(1)
2024年最全eBPF学习 - 入门,2024年最新阿里牛逼
2401_84910962的博客
05-14 949
输出的格式可由来修改。
eBPF程序开发与执行
qiubinwei的博客
09-09 171
bpf_trace_printk()是一个最常用的 BPF 辅助函数,它的作用是输出一段字符串。第 4) 处的 open_perf_buffer 定义了名为 “events” 的 Perf 事件映射,而后通过一个循环调用 perf_buffer_poll 读取映射的内容,并执行回调函数输出进程信息。第 4) 处的 open_perf_buffer 定义了名为 “events” 的 Perf 事件映射,而后通过一个循环调用 perf_buffer_poll 读取映射的内容,并执行回调函数输出进程信息。
eBPF入门教程实录(一)
qq_43509129的博客
08-25 755
eBPF学习之BCC工具安装写在前面1、直接sudo apt install安装CCB2、源码编译安装2.1、安装依赖2.2 编译安装bcc2.3 测试 写在前面 这几天因为工作需要而接触eBPF(Berkeley Packet Filter ),完全小白,从零开始入门。 BPF Compiler Collection (BCC)是eBPF的编程工具,具体请参考github链接:https://github.com/iovisor/bcc。 参考博客 https://blog.csdn.net/zhaow
eBPF新手入门,安装 eunomia-bpf 开发工具,跑libbbpf-bootstrap下的示例代码初步学习
qq_46274911的博客
04-18 1253
eBPF入门,安装 eunomia-bpf 开发工具,跑libbbpf-bootstrap下的示例代码初步学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值