了解eBPF

已于 2023-06-08 10:01:13 修改
阅读量81 收藏
点赞数
文章标签: 网络
于 2023-06-08 09:56:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyl_20171026/article/details/131101643
版权

eBPF是什么?
eBPF是一个能够在内核运行沙箱程序的技术,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。随着内核的发展,eBPF 逐步从最初的数据包过滤扩展到了网络、内核、安全、跟踪等,而且它的功能特性还在快速发展中,早期的 BPF 被称为经典 BPF,简称cBPF,正是这种功能扩展,使得现在的BPF被称为扩展BPF,简称eBPF。

eBPF的应用场景是什么?
网络优化

eBPF兼具高性能和高可扩展特性,使得其成为网络方案中网络包处理的优选方案:

高性能
JIT编译器提供近乎内核本地代码的执行效率。

高可扩展
在内核的上下文里,可以快速地增加协议解析和路由策略。

故障诊断

eBPF通过kprobe,tracepoints跟踪机制兼具内核和用户的跟踪能力,这种端到端的跟踪能力可以快速进行故障诊断,与此同时eBPF支持以更加高效的方式透出profiling的统计数据,而不需要像传统系统需要将大量的采样数据透出,使得持续地实时profiling成为可能。

安全控制

eBPF可以看到所有系统调用,所有网络数据包和socket网络操作,一体化结合进程上下文跟踪,网络操作级别过滤,系统调用过滤,可以更好地提供安全控制。

性能监控

相比于传统的系统监控组件比如sar,只能提供静态的counters和gauges,eBPF支持可编程地动态收集和边缘计算聚合自定义的指标和事件,极大地提升了性能监控的效率和想象空间。

eBPF 架构

eBPF 分为用户空间程序和内核程序两部分:

  • 用户空间程序负责加载 BPF 字节码至内核,如需要也会负责读取内核回传的统计信息或者事件详情
  • 内核中的 BPF 字节码负责在内核中执行特定事件,如需要也会将执行的结果通过 maps 或者 perf-event 事件发送至用户空间

其中用户空间程序与内核 BPF 字节码程序可以使用 map 结构实现双向通信,这为内核中运行的 BPF 字节码程序提供了更加灵活的控制

用户空间程序与内核中的 BPF 字节码交互的流程主要如下:

  • 使用 C 语言开发一个 eBPF 程序;
  • 使用 LLVM 或者 GCC 工具将程序编译成 BPF 字节码
  • 使用加载程序 Loader 将字节码加载至内核
  • 内核使用验证器(Verfier) 组件保证执行字节码的安全性,以避免对内核造成灾难,在确认字节码安全后将其加载对应的内核模块执行

内核中运行的 BPF 字节码程序可以使用两种方式将数据回传至用户空间:

maps 方式可用于将内核中实现的统计摘要信息(比如测量延迟、堆栈信息)等回传至用户空间;

perf-event 用于将内核采集的事件实时发送至用户空间,用户空间程序实时读取分析。

eBPF 限制

eBPF 技术虽然强大,但是为了保证内核的处理安全和及时响应,内核中的 eBPF 技术也给予了诸多限制,当然随着技术的发展和演进,限制也在逐步放宽或者提供了对应的解决方案。

eBPF 程序不能调用任意的内核参数,只限于内核模块中列出的 BPF Helper 函数,函数支持列表也随着内核的演进在不断增加。

eBPF 程序不允许包含无法到达的指令,防止加载无效代码,延迟程序的终止。

eBPF 程序中循环次数限制且必须在有限时间内结束,这主要是用来防止在 kprobes 中插入任意的循环,导致锁住整个系统;解决办法包括展开循环,并为需要循环的常见用途添加辅助函数。Linux 5.3 在 BPF 中包含了对有界循环的支持,它有一个可验证的运行时间上限。

eBPF 堆栈大小被限制在 MAX_BPF_STACK,截止到内核 Linux 5.8 版本,被设置为 512;参见 include/linux/filter.h[3],这个限制特别是在栈上存储多个字符串缓冲区时:一个char[256]缓冲区会消耗这个栈的一半。目前没有计划增加这个限制,解决方法是改用 bpf 映射存储,它实际上是无限的。

/* BPF program can access up to 512 bytes of stack space. */
#define MAX_BPF_STACK 512 
eBPF 字节码大小最初被限制为 4096 条指令,截止到内核 Linux 5.8 版本, 当前已将放宽至 100 万指令( BPF_COMPLEXITY_LIMIT_INSNS),参见:include/linux/bpf.h[4],对于无权限的BPF程序,仍然保留4096条限制 ( BPF_MAXINSNS );新版本的 eBPF 也支持了多个 eBPF 程序级联调用,虽然传递信息存在某些限制,但是可以通过组合实现更加强大的功能。

#define BPF_COMPLEXITY_LIMIT_INSNS 1000000 /* yes. 1M insns */

Left_20171026
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hidden Linux Metrics with Prometheus eBPF Exporter.pdf
09-03
通过Prometheus eBPF Exporter,系统管理员可以更深入地了解其Linux集群的运行状况,从而有效地管理和优化大规模部署。 **eBPF概述** eBPF是一种强大的、内核内置的虚拟机,最初设计用于网络包过滤。随着时间的发展...
android手机上ebpf环境搭建资源
11-03
在Android手机上搭建EBPF环境,可以让你更深入地了解系统的运行情况,并进行精细化的调试和优化。 首先,我们需要理解EBPF的核心概念。EBPF是一种虚拟机,它的程序是用C语言编写,然后编译成字节码,通过内核的验证...
Linux eBPF介绍(一)
chi's blog
09-27 820
eBPF(extened Berkeley Packet Filter)是一种内核技术,它允许开发人员在不修改内核代码的情况下运行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是由贝尔实验室开发的一种网络过滤器,可以捕获和过滤网络数据包。2014 年eBPF 随 Linux 3.18 首次限量发布,充分利用 eBPF 至少需要 Linux 4.4 以上版本。
【性能工程 - eBPF 技术】小白也能学会的 eBPF 技术——初步了解 eBPF 技术(一)
Mercury_Lc的博客
07-10 669
eBPF技术以其高度的灵活性、安全性以及低开销的特点,正在成为现代云原生、容器化环境、以及需要高性能监控和安全控制场景下的关键技术。随着持续的发展和社区的支持,eBPF的应用前景非常广阔。
【活动回顾】了解 eBPF 从这些例子开始
weixin_49193714的博客
07-06 172
​ Tubi 赞助的第八期 Elixir Meetup 于五月底顺利结束,三位 Elixir 资深使用者Horvo、Scott和杨淼,与线上线下的 660+ 函数式编程爱好者分享了 Elixir 的相关应用与实践。本文回顾了杨淼带来的分享“了解 eBPF 从这些例子开始”。欢迎关注比图科技公众号,了解 Elixir 最新资讯及活动。
ebpf学习
SSS
01-11 1163
先看ebpf.io的介绍,可以设置中文。这里摘录一些我觉得有必要记录的:如何编写 eBPF 程序?在很多情况下,eBPF不是直接使用,而是通过像 Cilium、bcc 或 bpftrace 这样的项目间接使用,这些项目提供了 eBPF 之上的抽象,不需要直接编写程序,而是提供了指定基于意图的来定义实现的能力,然后用 eBPF 实现。如果不存在更高层次的抽象,则需要直接编写程序。Linux 内核期望 eBPF 程序以字节码的形式加载。
Linux C语言实践eBPF
wq897387的专栏
07-29 355
Linux C语言实践eBPF示例
eBPF介绍
热门推荐
宋宝华
04-20 1万+
本文主要是对eBPF进行介绍,带大家了解eBPF是什么、通过eBPF可以做些什么事情。1.BPF起源BPF源头起源于一篇1992年的论文,这篇论文主要提出一种新的网络数据包的过滤的框架,如...
ebpf-wasm
云微的blog
10-18 499
当今云原生世界中两个最热门的轻量级代码执行沙箱/虚拟机是 eBPF 和 WebAssembly。它们都运行从 C、C++ 和 Rust 等语言编译的高性能字节码程序,并且都是跨平台、可移植的。二者最大的区别在于: eBPF 在 Linux 内核中运行,而 WebAssembly 在用户空间中运行。我们希望能做一些将二者相互融合的尝试:使用 WASM 来编写通用的 eBPF 程序,然后可以将其分发到任意不同版本、不同架构的 Linux 内核中,无需重新编译即可运行。
eBPF 入门教程
云原生实验室
10-15 1186
作者:Adrian Ratiu译者:狄卫华1. 前言有兴趣了解更多关于 eBPF 技术的底层细节?那么请继续移步,我们将深入研究 eBPF 的底层细节,从其虚拟机机制和工具,到在远程资源受...
ebpf
zhaoxizxzx的博客
12-01 885
eBPF简史 BPF BPF 的全称是 Berkeley Packet Filter,顾名思义,这是一个用于过滤(filter)网络报文(packet)的架构。 过滤(Filter): 根据外界输入的规则过滤报文; 复制(Copy):将符合条件的报文由内核空间复制到用户空间; ?packet 报文 buffer百度百科在计算机领域,缓冲器指的是缓冲寄存器,它分输入缓冲器和输出缓冲器两种。前者的作用是将外设送来的数据暂时存放,以便处理器将它取走;后者的作用是用来暂时存放处理器送往外设的数据。有了数控缓冲器,
research_eBPF
05-01
eBPF 研究eBPF 网址: : 如果您想了解有关eBPF的更多信息,请访问url; 或阅读Wiki页面
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪...
Linux Tracing System浅析 & eBPF框架开发分享
07-20
Linux Tracing System是一种用于监测和分析操作系统内核行为的技术,它可以帮助开发者和系统管理员深入了解系统的运行情况,定位性能瓶颈和安全问题。在Linux系统中,有许多不同的追踪技术,包括Kprobe、Tracepoint...
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 181
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 195
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 104
docker build网络问题
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 798
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
eBPF/XDP:高速网络转发新路径
本文档是一份实用的教程,适合网络工程师、系统管理员以及对高性能网络感兴趣的人士,它将引领读者深入了解eBPF/XDP技术,优化网络架构,提升网络性能。通过阅读和实践,读者可以掌握如何在实际网络环境中充分利用这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值