eBPF实战教程六|USDT的预埋与性能测评

最新推荐文章于 2024-10-09 15:54:28 发布
最新推荐文章于 2024-10-09 15:54:28 发布
阅读量719 收藏 27
点赞数 30
分类专栏: eBPF 文章标签: 性能优化 数据库 dba mysql postgresql oracle sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36880550/article/details/141258532
版权

前言

各位小伙伴们,非常感谢您对我们eBPF专题系列文章的持续关注和热情支持。在先前的文章《如何使用USDT探针定位MySQL异常访问》中,我们探讨了MySQL中DTrace的应用,该方法需要修改数据库内核代码(嵌入静态钩子),然后利用eBPF进行探测。而通过uprobe(User-space Probes)方式无需修改数据库内核源码即可探测。那么uprobe(User-space Probes)方式和USDT(User Statically Defined Tracing)相比,哪种方式更好呢?

本文我们将与您深入探讨USDT的预埋,并从性能和扩展上进行对比分析。

一. 如何定USDT(DTrace)的探针?

那我们该如何在代码中定义这样的静态探针呢?

对于C++中的DTrace探针的定义也是非常简单的,只需要包含头文件,剩下的一行代码搞定啦!

#include <iostream>#include <sys/sdt.h>#include <unistd.h>// 模拟执行数据库查询的函数void executeQuery(const std::string &query) {    int status = 0;
    // 触发查询开始的探针    DTRACE_PROBE1(myprovider, query_start, query.c_str());
    std::cout << "Executing query: " << query << std::endl;
    // 模拟查询执行(此处可以放置实际的数据库操作逻辑)    // ...
    // 假设查询执行成功,设置status为1    status = 1;
    // 触发查询结束的探针    DTRACE_PROBE2(myprovider, query_end, query.c_str(), status);}
int main() {    std::string query = "SELECT * FROM users;";    executeQuery(query);
    return 0;}

DTRACE_PROBEn 便是用来定义DTrace探针的宏,n是定义有几个参数。

  • myprovider 是探针的提供者(provider)名称。提供者通常是定义一组探针的模块或应用程序。它的命名一般反映了该探针组的来源,比如模块名或应用程序名。

  • query_start 这是探针的名称,用于标识触发的事件。探针名通常描述该探针记录的特定事件。在这里,`query_start` 可能表示某个查询操作的开始。

  • query.c_str() 这是传递给探针的参数。在这个例子中,`query.c_str()` 返回一个 `const char*` 类型的字符串,这可能是某个 SQL 查询的内容。这个参数会被传递给探针并记录下来。

在上面的示例中第一个探针  DTRACE_PROBE1(myprovider, query_start, query.c_str());  定义了一个参数,query -- SQL语句

第二个探针DTRACE_PROBE2(myprovider, query_end, query.c_str(), status); 定义了两个参数,分别是query,以及status -- SQL执行状态。

二. 如何使用BCC探测DTrace

我们上面写完了带有DTrace探针的demo,接下来我们对该demo使用eBPF进行探测。

#!/usr/bin/python
from bcc import BPF, USDT
# 创建USDT探针u = USDT(path="./main")u.enable_probe(probe="query_start", fn_name="trace_query_start")u.enable_probe(probe="query_end", fn_name="trace_query_end")
# 定义eBPF程序bpf_text = """#include
//处理 query_start 探针事件int trace_query_start(struct pt_regs *ctx) {char query[256];// 从探针中读取参数bpf_usdt_readarg_p(1, ctx, &query, sizeof(query));bpf_trace_printk("Query start: %s\\n", query);return 0;}
// 处理 query_end 探针事件int trace_query_end(struct pt_regs *ctx) {char query[256];int status = 0;
// 从探针中读取参数bpf_usdt_readarg_p(1, ctx, &query, sizeof(query));bpf_usdt_readarg(2, ctx, &status);
bpf_trace_printk("Query end: %s, Status: %d\\n", query, status);return 0;}"""
# 加载eBPF程序b = BPF(text=bpf_text, usdt_contexts=[u])
# 输出探针捕获的信息print("Tracing USDT probes... Hit Ctrl-C to end.")b.trace_print()

在trace_query_start及trace_query_end函数中分别对query_start和query_end两个探针进行探测,并打印了探针中的值。

Demo 示例

编译C++的demo:

g++ -o main main.cpp

执行探测脚本:

python trace.py

执行C++的demo:

./main

此时trace脚本的打印如下:

[root@localhost C]# python trace.pyTracing USDT probes... Hit Ctrl-C to end.b'            main-1176932 [012] d... 1028814.624214: bpf_trace_printk: Query start: SELECT * FROM users;'b''b'            main-1176932 [012] d... 1028814.624283: bpf_trace_printk: Query end: SELECT * FROM users;, Status: 1'

这样我们就可以看到通过该探测脚本获取到了demo中的SQL以及执行后的status。

三. DTrace性能测评

使用DTrace对程序性能损耗有多少呢?

使用DTrace这种静态探针和uprobe这种动态探针,对程序性能损耗有什么差异呢?

我们接下来分为两组进行测试:

1.程序单条DTrace耗时

#include <iostream>#include <sys/sdt.h>#include <unistd.h>#include <ctime>
void executeQuery(const std::string &query) {    int status = 0;
    // 触发查询开始的探针    //DTRACE_PROBE1(myprovider, query_start, query.c_str());
    // 模拟查询执行(此处可以放置实际的数据库操作逻辑)    // ...
    // 假设查询执行成功,设置status为1    status = 1;}
int main() {    std::string query = "SELECT * FROM users;";
    // 获取开始时间戳    struct timespec start, end;    clock_gettime(CLOCK_MONOTONIC, &start);
    // 执行二十亿次查询    for (int i = 0; i < 2000000000; ++i) {        executeQuery(query);    }
    // 获取结束时间戳    clock_gettime(CLOCK_MONOTONIC, &end);
    // 计算执行时间(纳秒)    long long duration = (end.tv_sec - start.tv_sec) * 1000000000LL + (end.tv_nsec - start.tv_nsec);
    std::cout << "Total execution time for queries: " << duration << " ns" << std::endl;
    return 0;}

循环调用20亿次该函数,并打印纳秒级时间戳。

次数

1

2

3

4

5

avg

时间(ns)

5303264202

5227036785

5301668029

5336016048

5335845259

5300766064.6

将DTRACE_PROBE1(myprovider, query_start, query.c_str());注释删除,再次编译执行。

次数

1

2

3

4

5

avg

时间(ns)

8692785702

8717224846

8667429411

8585855930

8687992775

8670257732.8

小结:使用DTtrace后所需时间增幅较大,由于executeQuery函数没有任何逻辑处理,直接对比两组时间意义不大。可通两组数据的差值得出DTrace单次执行的时间消耗,20亿次DTrace的时间消耗:8670257732.8 - 5300766064.6 = 3369491668.2, 根据该数据可估计出单条DTrace时间消耗在1.68ns,该值放应用链路探测中消耗非常低可忽略不计。

2.USDT与uprobe对比

仍使用上面的demo代码,将循环执行次数改为一千万次 ,为了尽可能减少变量,我们在eBPF的逻辑中不做任何处理,用来直接对比USDT和uprobe陷入的性能。使用USDT探测:

#!/usr/bin/python
from bcc import BPF, USDT
# 创建USDT探针u = USDT(path="./main")u.enable_probe(probe="query_start", fn_name="trace_query_start")
# 定义eBPF程序bpf_text = """#include <uapi/linux/ptrace.h>
// 处理 query_start 探针事件int trace_query_start(struct pt_regs *ctx) {    //char query[256];    // 从探针中读取参数    //bpf_usdt_readarg_p(1, ctx, &query, sizeof(query));    return 0;}
"""
# 加载eBPF程序b = BPF(text=bpf_text, usdt_contexts=[u])
# 输出探针捕获的信息print("Tracing USDT probes... Hit Ctrl-C to end.")b.trace_print()

运行 python trace.py后,执行./main 统计执行时间

次数

1

2

3

4

5

avg

时间(ns)

10561827908

10702234936

10307730644

10934509995

10393669721

10579994640.8

使用uprobe进行探测:

from bcc import BPF
# 定义eBPF程序bpf_text = """#include <uapi/linux/ptrace.h>
// 处理 uprobe 事件int trace_execute_query(struct pt_regs *ctx) {    return 0;}
"""
# 加载eBPF程序b = BPF(text=bpf_text)
# 设置 uprobeb.attach_uprobe(name="./main", sym="_Z12executeQueryRKNSt7__cxx1112basic_stringIcSt11char_traitsIcESaIcEEE", fn_name="trace_execute_query")
# 输出探针捕获的信息print("Tracing uprobe... Hit Ctrl-C to end.")b.trace_print()

运行 python trace.py后,执行./main 统计执行时间

次数

1

2

3

4

5

avg

时间(ns)

11745072927

10933262397

10971148300

11217268481

11511004602

11275551341.4

通过对比可知,在数字上我们能看到USDT耗时比uprobe少69.5ns,但该值放应用链路探测中消耗也非常低可忽略不计。

实际在使用eBPF进行工程化探测时,由于程序没有预埋静态探针,很多时候还会用到uretprobe, 使用同样的demo对uretprobe 进行一组测试

from bcc import BPF
# 定义eBPF程序bpf_text = """#include <uapi/linux/ptrace.h>
// 处理 uprobe 事件int trace_execute_query(struct pt_regs *ctx) {    return 0;}
"""
# 加载eBPF程序b = BPF(text=bpf_text)
# 设置 uprobeb.attach_uretprobe(name="./main", sym="_Z12executeQueryRKNSt7__cxx1112basic_stringIcSt11char_traitsIcESaIcEEE", fn_name="trace_execute_query")
# 输出探针捕获的信息print("Tracing uprobe... Hit Ctrl-C to end.")b.trace_print()

运行 python trace.py后,执行./main 统计执行时间

次数

1

2

3

4

5

avg

时间(ns)

22906574920

22257599559

21733037699

21800112726

21897448725

22118954725.8

由该组数据可知uretprobe触发耗时是USDT和uprobe的两倍,但该值放应用链路探测中消耗也非常低可忽略不计。

四. 总结

在使用eBPF探测用户态应用程序时,从上面探针的触发耗时我们能看到USDT<uprobe<uretprobe, USDT比uprobe优6%,比uretprobe快将近一倍,但从耗时的值上看都非常低,在应用链路探测这块消耗可忽略不计。USDT静态探针的定义,单条的绝对时间消耗在1.68ns左右,在应用开发时(可修改应用源码),追求极致性能可以选择添加DTrace探针进行链路监测!当然如果你想用USDT这种方式探测数据库成本太高(定义USDT需要修改数据库源码,不具备通用性,对源码有侵入),uprobe用来探测数据库才是最佳选择(非常低的性能损耗和无需更改数据库源码)。

图片

1. eBPF专题一 | 手把手教你用eBPF诊断MySQL(含源码)

2.eBPF实战教程二|数据库网络流量最精准的量化方法(含源码)

3.eBPF实战教程三|数据库磁盘IO最精准的量化方法(含源码)

4.用蜜蜂(eBPF)来追踪海豚(MySQL),性能追的上吗

5.eBPF实战教程五|如何使用USDT探针定位MySQL异常访问(含源码)

1️⃣ 免费下载/在线试用:

https://www.dbdoctor.cn/

数据库老中医-zhengxiang
关注
专栏目录
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪...
一文教你如何使用 eBPF 检测分析用户态程序
youzhangjing_的博客
11-05 1202
eBPF 彻底改变了 Linux 内核中的可观察性。在我之前的系列文章中,我介绍了eBPF 生态系统的基本构建模块,简要介绍了XDP,并展示了它与 eBPF 基础设施如何密切合作,以便在网络堆栈中引入一个快速处理的数据路径。然而,eBPF 并不只是用在内核空间跟踪。如果我们可以在生产环境中运行的应用程序上也能享受 eBPF 驱动的跟踪的,这是不是很好呢?这就是uprobes发挥作用的地方。可以将它们看作是一种kprobes,它加载到了用户空间跟踪点而不是内核符号。
eBPF实战教程如何使用USDT探针定位MySQL异常访问(含源码)
DBdoctor_off的博客
07-09 1114
如何手码eBPF程序探测MySQL5.6 USDT,来实时识别数据库可疑的连接访问来源(user/host)。
Linux内核 eBPF基础: 探索USDT探针
RToax
05-18 3975
目录 Motivation Tracing System Overview Terminology术语 Evoluction of Linux Tracing Linux Tracing Technical Stack Event Sources Tracing Frameworks ftrace perf_event eBPF perf_event profiling vs. eBPF profiling SystemTap LTTng ktap dtrace4linux
eBPF实战教程七 | 性能监控工具—bpftop
最新发布
DBdoctor_off的博客
10-09 780
bpftop是一个强大的工具,使用bpftop工具可以直观地监控系统中正在运行的eBPF程序,极大提升了开发eBPF程序时对其自身性能优化的效率。
Linux内核 eBPF:Hacking Linux USDT with Ftrace
RToax
04-16 697
Linux内核 eBPF Hacking Linux USDT with Ftrace Hacking Linux USDT with Ftrace usdt (ftrace) · GitHub lttng-ust 1. Hacking Linux USDT with Ftrace I previously thought it was impossible to use user-level statically defined tracing (USDT) probes on Linux, wit
sonde-rs:将USDT探针编译为Rust库的库
03-12
USDT探针可以自然地与DTrace一起使用,也可以与 ( bcc , bpftrace …)一起使用。轻巧的探头设计库和可执行文件的USDT探针在相应的应用程序二进制文件的ELF部分中定义。 探针被转换为nop指令,其元数据存储在ELF...
彩虹易支付USDT支付插件 - 方便快捷的支付方式
04-08
USDT(Tether)是一种基于区块链技术的加密货币,与传统法定货币相结合,可以实现实时结算和低成本的支付。 使用彩虹易支付USDT支付插件非常简单。首先,用户需要安装并启用该插件。然后,在网上购物或进行交易时,...
salp:USDT 通过 libstapsdt 在 Linux 上的 Golang 中进行探测
05-31
Salp 是一个库,它使 Go 程序能够在运行时创建和触发 USDT 探测器。 这样的探测器允许对用 Go 编写的可执行文件进行 API 稳定(即不依赖于函数名称)跟踪——尤其重要,因为 Go 代码的函数跟踪需要一些不吸引人...
USDT承兑商支付系统源码开发.docx
08-14
usdt支付系统存在的目的,其一是为了解决大额支付;其二是为了解决跨境支付,高手续费,到账慢的问题;其三也就是为一些“特殊行业”提供支付的功能,解决不易申请通道和易封卡号的问题等。
eBPF-2-实战之编程接口、bcc与bpftrace
文杰的博客
06-03 5370
eBPF实战编程接口、前端:bcc和bpftrace详解、原理、实例等
eBPF监控工具bcc系列一启航
weixin_34129145的博客
05-07 1130
 在eBPF篇中,我们知道虽然可用 C 来实现 BPF,但编译出来的却仍然是 ELF 文件,开发者需要手动析出真正可以注入内核的代码。工作有些麻烦,于是就有人设计了 BPF Compiler Collection(BCC),BCC 是一个(基于 C 和 C++) python 库,实现了对 BCC 应用层接口的封装。   使用 BCC 进行 BPF ...
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2437
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
bpf 跟踪功能——上手 USDT
龙瑜的博客
11-22 3911
bpf 跟踪 bpf 提供了非常强大的工具能够让我们在程序运行的时候收集需要的数据,它几乎可以访问 Linux 内核和应用程序的任何信息,同时对系统性能和延迟造成的开销最小,它能够实现类似 dtrace、SystemTap 的动态探针功能,不需要修改程序就能够收集数据。 本文中的 BPF 程序都是通过 BCC 来编写的。 探针 跟踪探针是探索程序,旨在传递程序执行时环境的相关信息。 内核探针 内核探针几乎可以在任何内核指令上设置动态标志或中断,并且系统损耗最小。当内核执行到这些标志时,附加到探针的代码
perf 程序追踪 USDT 用户态程序静态跟踪点
龙瑜的博客
11-22 2482
perf 中的 usdt 在学习 ebpfusdt 探针的时候遇到了问题,看了一些网上的链接,在 gregg 大神的博客中找到了 perf 中与 usdt 相关的内容,就研究了一下。 perf 程序源码在内核源码树中的 ./tools/perf/ 目录中,进入到这个目录执行 make 进行编译即可。 编译完成后我执行 make install 后直接执行发现会报 perf_5.0 找不到的错误,make install V=1 发现 perf 被安装到了我的家目录下的 bin 目录中,先配置下环境变量
eBPF作为LINUX内核学习的工具
gzyuan86的博客
07-11 507
纯粹写一些LINUX内核学习的体会。 近段时间,断断续续的温习一些LINUX内核的知识。一直苦于没有找到一个可以实践的着力点。不过,最近看到eBPF相关的资料,我觉得可以将它作为一个实践的项目来推进LINUX内核的学习。具体的方向主要包括两方面,将eBPF作为内核追踪的工具,另一方面是学习,分析XDP是如何PK DPDK的。 另外,发现一个有趣的事实。最近我比较关注的技术,包括raft,etcd,tidb,eBPF,都是一些5到6年左右的开源技术。我想可能有2方面的原因,第一是对于一个路线正确的开源项目,5
eBPF & bcc实例分析
金荣的个人技术博客
02-28 2829
上一篇博客简单介绍了 eBPF 并介绍了 bcc 框架的安装及简单应用,本篇开始实战,动手写 bcc 程序。先来一个简单的bcc 程序,作用为探测 sys_sync ,检测到 sync 时打印出“sys_sync() called”。sys_sync系统调用被用户空间函数调用,用来将内核文件系统缓冲区的所有数据写入存储介质,sys_sync系统调用将buffer、inode和super在缓存中的数...
eBPF Tracing 入门教程与实例
weixin_34270865的博客
05-28 1165
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPFeBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction S...
怎么写USDT与币种的交易
03-29
```c int fun(int a[], int *n) { int count = 0; for (int i = 1; i ; i++) { if ((i % 7 == 0 || i % 11 == 0) && (i % 77 != 0)) { a[count] = i; count++; } } *n = count; return 0;...```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值