eBPF(extended Berkeley Packet Filter) 是一种可以在 Linux 内核中运行用户编写的程序,而不需要修改内核代码或加载内核模块的技术。eBPF的精髓在于“内核可编程化”。
简单体验
参考下文可以实现一个 Hello World 版本的 eBPF 程序:https://zhuanlan.zhihu.com/p/378258986
我的版本是 Ubuntu 20.04,Linux 内核版本 5.13.0。
sudo apt update
sudo apt install build-essential git make libelf-dev clang strace tar bpfcc-tools linux-headers-$(uname -r) gcc-multilib
git clone --depth 1 git://kernel.ubuntu.com/ubuntu/ubuntu-focal.git
sudo mv ubuntu-focal /kernel-src
cd /kernel-src/tools/lib/bpf
sudo make && sudo make install prefix=/usr/local
sudo mv /usr/local/lib64/libbpf.* /lib/x86_64-linux-gnu/
编写和编译 eBPF 程序。eBPF 程序采用 C 语言编写,并可以通过 clang 编译成目标文件 —— eBPF 字节码。
ps: 挂载点很多,例如可以换成bpf_trace_printk。
#include <linux/bpf.h>
#define SEC(NAME) __attribute__((section(NAME), used))
static int (*bpf_trace_printk)(const char *fmt, int fmt_size,
...) = (void *)BPF_FUNC_trace_printk;
SEC("tracepoint/syscalls/sys_enter_execve")
int bpf_prog(void *ctx) {
char msg[] = "Hello, eBPF World!";
bpf_trace_printk(msg, sizeof(msg));
return 0;
}
char _license[] SEC("license") = "GPL";
然后,需要有一个应用程序通过调用 Linux 内核的系统调用,将编译好的 eBPF 字节码加载到内核中。在加载的过程中,内核会对 eBPF 程序进行验证,保证 eBPF 程序是安全的;然后将 eBPF 字节码编译成机器码。之后,内核会按照绑定好的 hook point 调用相应的函数。
PS: 这种加载字节码的形式,笔者在eevm中也曾接触过,当时是将智能合约编译成字节码,再放到eevm虚拟机中运行。eBPF是内核虚拟机,原理相同。
#include "bpf_load.h"
#include <stdio.h>
int main(int argc, char **argv) {
if (load_bpf_file("bpf_program.o") != 0) {
printf("The kernel didn't load the BPF program\n");
return -1;
}
read_trace_pipe();
return 0;
}
运行效果:每调用一次exec,输出一个"hello,world"
eBPF重要特性和相关概念
通过eBPF maps与用户空间交互:map是指内核中的存储区域,完成内核与用户空间的交互。eBPF Maps是一个数据结构,帮助eBPF存储和检索数据,提高eBPF程序共享收集到的信息和存储状态的能力
有限的循环编程能力:for循环约100万次。
支持用户空间和内核空间的挂载的通用能力。