开发一个ebpf程序

已于 2023-10-22 20:49:01 修改
阅读量246 收藏
点赞数
分类专栏: EBPF 文章标签: java 前端 开发语言
于 2023-10-22 20:26:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaoyangjian724/article/details/133977495
版权

第一步:使用 C 开发一个 eBPF 程序新建一个  hello.c  文件,并输入下面的内容:

//ebpf程序
int hello_world(void *ctx)
{
    bpf_trace_printk("Hello, World!");
    return 0;
}


第二步:使用 Python 和 BCC 库开发一个用户态程序

#!/usr/bin/env python3
# 1) import bcc library
from bcc import BPF

# 2) load BPF program
b = BPF(src_file="hello.c")
# 3) attach kprobe
b.attach_kprobe(event="do_sys_openat2", fn_name="hello_world")
# 4) read and print /sys/kernel/debug/tracing/trace_pipe
b.trace_print()


让我们来看看每一处的具体含义:第 1) 处导入了 BCC  库的 BPF 模块,以便接下来调用;

第 2) 处调用 BPF() 加载第一步开发的 BPF 源代码;

第 3) 处将 BPF 程序挂载到内核探针(简称 kprobe),其中  do_sys_openat2() 是系统调用  openat()  在内核中的实现;

第 4) 处则是读取内核调试文件  /sys/kernel/debug/tracing/trace_pipe  的内容,并打印到标准输出中

第三步:执行 eBPF 程序

第三步:执行 eBPF 程序


开发一个 eBPF 程序需要经过开发 C 语言 eBPF 程序、编译为 BPF 字节码、加载 BPF 字节码到内核、

内核验证并运行 BPF 字节码,以及用户程序读取 BPF 映射五个步骤。

使用 BCC 的好处是,它把这几个步骤通过内置框架抽象了起来,并提供了简单易用的 Python 接口,

这可以帮你大大简化 eBPF 程序的开发。

BCC 负责了 eBPF 程序的编译和加载过程。因而,要了解 BPF 指令的加载过程,就可以从 BCC 执行 eBPF 程序的过程入手。
 

scan724
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
eBPF开发文档
qq_43472789的博客
03-17 406
这是一个简单的eBPF程序开发指南,其中包含了编写、编译、加载、调试eBPF程序的一般流程和方法。
eBPF学习笔记(二)—— eBPF开发工具
qq_41988448的博客
11-14 2459
本篇记录对bpftrace、BCC、libbpf等eBPF常用开发工具的基本使用。
探秘Py2BPF:Python到eBPF的神奇转换器
最新发布
gitblog_00064的博客
06-05 366
探秘Py2BPF:Python到eBPF的神奇转换器 项目地址:https://gitcode.com/facebookresearch/py2bpf 项目简介 Py2BPF 是一个独特且创新的开源项目,它能将Python函数翻译成eBPF(Linux内核字节码)。eBPF是一种在Linux内核中执行的虚拟机字节码,常用于网络包过滤、软件事件跟踪等各种系统级任务。虽然项目仍处于实验阶段,但其潜力和...
eBPF程序开发与执行
qiubinwei的博客
09-09 170
bpf_trace_printk()是一个最常用的 BPF 辅助函数,它的作用是输出一段字符串。第 4) 处的 open_perf_buffer 定义了名为 “events” 的 Perf 事件映射,而后通过一个循环调用 perf_buffer_poll 读取映射的内容,并执行回调函数输出进程信息。第 4) 处的 open_perf_buffer 定义了名为 “events” 的 Perf 事件映射,而后通过一个循环调用 perf_buffer_poll 读取映射的内容,并执行回调函数输出进程信息。
eBPF开发工具链
haigand的专栏
04-25 215
有几个开发工具链可以帮助开发和管理eBPF程序
eBPF理解 (一)
08-20 3601
eBPF 是从 BPF (Berkeley Packet Filter) 技术扩展而来的eBPF 系统启动后就一直运行在那里,它需要事件触发后才会执行。借助kprobe和uprobe,eBPF 程序几乎可以在内核和应用的任意位置进行插桩。eBPF 的诞生成为内核的一个顶级子系统最典型的就是 iovisor 带来的 BCC、bpftrace 等工具。图片来源BPF开发过程过程使用C语言开发eBPF程序借助LLVM把eBPF程序编译成BPF字节码通过bpf系统调用,把BPF字节码提交给内核。
禁用某eBPF程序源代码
06-02
eBPF 程序开发中,确保程序能够在各种不同的...本源码展示了如何使用libbpf的API接口将不存在的挂载点对应的eBPF程序禁止加载。这种方法不仅可以提升程序的灵活性,还能提高其在不同内核版本和系统配置中的兼容性。
cpp-rbpf用于eBPF程序的Rust虚拟机和JIT编译器
08-15
**cpp-rbpf:eBPF程序的Rust虚拟机与JIT编译器详解** cpp-rbpf是一个开源项目,旨在为eBPF(Extended Berkeley Packet Filter)程序提供一个用Rust语言编写的虚拟机和JIT(Just-In-Time)编译器。eBPF是一种轻量级...
rbpf:用于eBPF程序的Rust虚拟机和JIT编译器
02-05
`rbpf` 提供了一个高效的Rust接口,使得开发者能够更容易地构建和执行eBPF程序。 ### eBPF简介 eBPF是Linux内核中的一种技术,它允许安全的、动态挂载的代码片段执行,这些代码片段可以用于各种系统操作,如网络...
Go的eBPF库-Golang开发
05-26
eBPF eBPF是一个纯Go库,提供用于加载,编译和调试eBPF程序的实用程序。 它具有最小的外部依赖性,适合在长时间运行的过程中使用。 ebpf / asm包含一个基本的汇编eBPF eBPF eBPF是一个纯Go库,它提供了用于加载,...
eBPF相关的杰出项目的精选列表。-Python开发
05-25
eBPF相关的杰出项目的精选列表。 很棒的eBPF精选的与eBPF相关的项目的列表。 与Berkeley Packet Filter一样,BPF是一个内核虚拟机,运行从用户空间传递的程序。 最初在BSD上实现,然后在Linux(现在是旧版)“经典BPF”或cBPF机器上使用tcpdump之类的工具来过滤内核中的数据包,以避免对用户空间的无用复制。 最近,Linux中的BPF基础结构已被完全重新设计,并赋予了“扩展的BPF”(即eBPF)以生命,
Linux Tracing System浅析 & eBPF框架开发分享
07-20
BCC(BPF Compiler Collection)则是一套工具和库,用于创建eBPF程序,涵盖了性能分析、调试和安全监控等多个领域。 在选择追踪技术时,需要考虑具体的需求,如实时性、数据量、分析复杂性、侵入性以及是否需要内核...
eBPF 入门开发实践教程一:介绍与快速上手
云微的blog
09-22 1346
Linux内核一直是实现监控/可观测性、网络和安全功能的理想地方,但是直接在内核中进行监控并不是一个容易的事情。在传统的Linux软件开发中,实现这些功能往往都离不开修改内核源码或加载内核模块。修改内核源码是一件非常危险的行为,稍有不慎可能便会导致系统崩溃,并且每次检验修改的代码都需要重新编译内核,耗时耗力。加载内核模块虽然来说更为灵活,不需要重新编译源码,但是也可能导致内核崩溃,且随着内核版本的变化模块也需要进行相应的修改,否则将无法使用。在这一背景下,eBPF技术应运而生。
eBPF开发指南
SenberHu的博客
05-17 1331
0x1:技术背景 bpf: BPF 的全称是 Berkeley Packet Filter,是一个用于过滤(filter)网络报文(packet)的架构。(例如tcpdump),目前称为Cbpf(Classical bpf) EbpfeBPF全称 extended BPF,Linux Kernel 3.15 中引入的全新设计, 是对既有BPF架构进行了全面扩展,一方面,支持了更多领域的应用,比如:内核追踪(Kernel Tracing)、应用性能调优/监控、流控(Traffic Control)等;另一
使用 eBPF 调试 Python 容器
k8s 生态
12-24 469
随着 Docker/Kubernetes 等容器技术的盛行,越来越多的 Python 应用已经运行在容器中了。在带来便利性的同时,也让生产环境中的 debug 变的复杂。eBPF 是一项...
eBPF监控工具bcc系列八BPF C
weixin_34409822的博客
05-09 2358
在之前的bcc代码中我们知道其程序是分为两部分的,一部分是C语言,另一部分是基于Python的。本篇是关于C语言部分的。 1. 事件和参数 1.1 kprobes 使用kprobe的语法是: kprobe__kernel_function_name 其中kprobe__是前缀,用于给内核函数创建一个kprobe(内核函数调用的动态跟...
2024年最全eBPF学习 - 入门,2024年最新阿里牛逼
2401_84910962的博客
05-14 935
输出的格式可由来修改。
ebpf代码编写小技巧
nan的博客
06-01 335
但有时内核中的少量Tracepoints会重用常用的类型,因此如果上述模式不起作用,则需要在内核源码(或。并非所有的函数都可probe,例如一些内联的函数无法probe,可通过如下办法查看可probe的内核函数。内核已经提供了所有Tracepoint数据的类似类型,一般命名为。)中查找具体的类型名称,一般命名为。根据红框中的数据结构可以找到对应的。对应的类型,但通过cat。,能够查看到其参数如下。
eBPF程序员角度的内核执行程序
另一个重要的区别是,eBPF程序的执行是透明的,不会对系统的正常运行造成任何影响。eBPF程序在内核中运行,可以作为一种补充来收集关键性能指标,而无需重新编译和重启系统。 六、eBPF的真实世界用例 eBPF在真实...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

scan724

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值