场景:
在eBPF程序中一般难以声明很长的数组,如
char str[512];
当在程序里这样做的时候很容易爆栈,错误提示类似
error: <unknown>:0:0: in function bpf_openat_parser i32 (%struct.bpf_raw_tracepoint_args*): Looks like the BPF stack limit of 512 bytes is exceeded. Please move large on stack variables into BPF per-cpu array map.
</unknown>
并且很难做到strcat
之类的对字符串修改的操作的实现。
因此本文将集中在这两个问题上:
- 在eBPF程序中得到一个长数组
- 在eBPF程序中修改长数组
原因分析:
eBPF 虚拟环境提供给我们的堆栈仅为 512 字节。在其上保留超过这个限制的变量会导致堆栈冲突。而且,如果程序运行,对字符串的修改肯定会覆盖其他内核内存,这给eBPF程序里字符串的操作带来了极大的挑战。
解决方案1:
sysdig的解决方案:使用 BPF_MAP_TYPE_PERCPU_ARRAY 来声明一个长数组。
参考:The art of writing eBPF programs: a primer.
__attribute__((section("maps"), used))
struct bpf_map_def tmp_storage_map = {
.type = BPF_MAP_TYPE_PERCPU_ARRAY,
.key_size = sizeof(u32),
.value_size = PATH_MAX,
.max_entries = 1,
};
__attribute__((section("raw_tracepoint/sys_enter"