eBPF编程之初体验

最新推荐文章于 2023-10-28 16:28:15 发布
最新推荐文章于 2023-10-28 16:28:15 发布
阅读量247 收藏
点赞数
分类专栏: eBPF学习之旅 文章标签: 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhtianxing/article/details/131345321
版权

eBPF编程从BCC开始

1.BCC简介

BCC是一个Python库,简化了eBPF应用的开发过程,并收集了大量性能分析相关的eBPF应用。BCC为BPF开发提供了不同的前端支持,包括Python和Lua,实现了map创建、代码编译、解析、注入等操作,使开发人员只需聚焦于用C语言开发要注入的内核代码。 BCC工具集大部分工具需要Linux Kernel 4.1以上版本支持,完整工具支持需要Linux Kernel 4.15以上版本支持。
GitHub - iovisor/bcc: BCC - Tools for BPF-based Linux IO analysis, networking, monitoring, and moreBCC - Tools for BPF-based Linux IO analysis, networking, monitoring, and more - GitHub - iovisor/bcc: BCC - Tools for BPF-based Linux IO analysis, networking, monitoring, and morehttps://github.com/iovisor/bcc

 

2.BCC安装

(1) 内核配置

 CONFIG_BPF=y
 CONFIG_BPF_SYSCALL=y
 # [optional, for tc filters]
 CONFIG_NET_CLS_BPF=m
 # [optional, for tc actions]
 CONFIG_NET_ACT_BPF=m
 CONFIG_BPF_JIT=y
 # [for Linux kernel versions 4.1 through 4.6]
 CONFIG_HAVE_BPF_JIT=y
 # [for Linux kernel versions 4.7 and later]
 CONFIG_HAVE_EBPF_JIT=y
 # [optional, for kprobes]
 CONFIG_BPF_EVENTS=y
 # Need kernel headers through /sys/kernel/kheaders.tar.xz
 CONFIG_IKHEADERS=y
     
 CONFIG_NET_SCH_SFQ=m
 CONFIG_NET_ACT_POLICE=m
 CONFIG_NET_ACT_GACT=m
 CONFIG_DUMMY=m
 CONFIG_VXLAN=m

 

更改之后,重启服务器

(2)安装依赖项
 # For Focal (20.04.1 LTS)
 sudo apt install -y bison build-essential cmake flex git libedit-dev \
   libllvm12 llvm-12-dev libclang-12-dev python zlib1g-dev libelf-dev libfl-dev python3-distutils
(3)源码安装BCC
 git clone https://github.com/iovisor/bcc.git
 mkdir bcc/build; cd bcc/build
 cmake ..
 make
 sudo make install
 cmake -DPYTHON_CMD=python3 .. # build python3 binding
 pushd src/python/
 make
 sudo make install
 popd

eBPF编程之初体验

1.跑跑hello world

 #!/usr/bin/python
 from bcc import BPF
 ​
 """
 test="…"包含的是C语言编写的BPF程序
 kprobe__sys_clone()对应内核kprobes的动态跟踪,也就是sys_clone()接口;
 void *ctx这里没有用到参数,直接设置为void *类型,ctx 保存BPF执行时的上下文
 bpf_trace_printk()是一个通用的打印函数,会输出到trace_pipe中(/sys/kernel/debug/tracing/trace_pipe文件)然后trace_print()会读取上面的输出
 """
 ​
 BPF(text="""
 int kprobe__sys_clone(void *ctx){
     bpf_trace_printk("hello,world!\\n");
     return 0;
 }
 """).trace_print()  # 从管道文件中获取数据,打印在屏幕上
 ​

 

  • bash-xxx:是进程的名字-PID

  • [003]: 表示CPU编号

  • ……:表示一系列选项

  • 90.038099:表示时间戳

  • hello,world!: 表示输出的消息

 #!/usr/bin/python
 ​
 from bcc import BPF
 ​
 # 1) eBPF程序
 program = """
 int hello_world(void *ctx)
 {
     bpf_trace_printk("Hello, World!");
     return 0;
 }
 """
 # 2) 加载eBPF程序
 b = BPF(text=program)
 # 3) 
 # 为内核调用创建一个kprobe, 它将执行上述定义的hello函数。
 # get_syscall_fnname()返回syscall对应的内核函数名,并使用正确的前缀与syscall名称连接。
 b.attach_kprobe(event=b.get_syscall_fnname("clone"), fn_name="hello")
 ​
 # 4)/sys/kernel/debug/tracing/trace_pipe
 b.trace_print()

格式化输出

from bcc import BPF
 ​
 # 定义的bpf程序
 prog = """
 int hello(void *ctx) {
     bpf_trace_printk("Hello, World!\\n");
     return 0;
 }
 """
 ​
 # 加载bpf程序
 b = BPF(text=prog)
 ​
 # 为内核调用创建一个kprobe, 它将执行上述定义的hello函数。
 # 返回syscall对应的内核函数名,并使用正确的前缀与syscall名称连接。
 b.attach_kprobe(event=b.get_syscall_fnname("clone"), fn_name="hello")
 ​
 print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "MESSAGE"))
 ​
 # 格式化输出
 while 1:
     try:
         # 从 trace_pipe 返回一组固定的字段
         (task, pid, cpu, flags, ts, msg) = b.trace_fields()
     except ValueError:
         continue
     print("%-18.9f %-16s %-6d %-6d %s" % (ts, task, cpu, pid, msg))

2.跟踪sync命令 

"""
 Linux sync命令用于数据同步,sync命令是在关闭Linux系统时使用的。
 Linux 系统中欲写入硬盘的资料有的时候为了效率起见,会写到 filesystem buffer 中,
 这个 buffer 是一块记忆体空间,如果欲写入硬盘的资料存于此 buffer 中,
 而系统又突然断电的话,那么资料就会流失了,sync 指令会将存于 buffer 中的资料强制写入硬盘中。
 """
 ​
 # 即使在python2.X,使用print就得像python3.X那样加括号使用
 from __future__ import print_function
 ​
 from bcc import BPF
 ​
 prog = """
 #include <uapi/linux/ptrace.h>
 ​
 // 创建一个BPF的hash,称为last。默认的键和值为u64
 BPF_HASH(last);
 ​
 int do_trace(struct pt_regs *ctx) {
 ​
     u64 ts, *tsp, delta, key = 0;
 ​
     // 查找散列中的键,并返回指向其值(如果存在)的指针,否则为 NULL
     tsp = last.lookup(&key);
     
     // 尝试读取存储中的时间戳
     if (tsp != NULL) {
         // 获取时间,以纳秒为单位
         delta = bpf_ktime_get_ns() - *tsp;
         if (delta < 1000000000) { //当两次sync 相隔的时间小于一秒时,就打印时间。 
             bpf_trace_printk("%d\\n", delta / 1000000);
         }
         last.delete(&key);
     }
 ​
     ts = bpf_ktime_get_ns();
     last.update(&key, &ts);
     return 0;
 }
 """
     
 b = BPF(text=prog)
 ​
 # 挂在bpf程序。
 b.attach_kprobe(event=b.get_syscall_fnname("sync"), fn_name="do_trace")
 ​
 print("Tracing for quick sync's... Ctrl-C to end")
 ​
 # 格式化输出
 start = 0
 while 1:
     (task, pid, cpu, flags, ts, ms) = b.trace_fields()
     if start == 0:
         start = ts
     ts = ts - start
     print("At time %.2f s: multiple syncs detected, last %s ms ago" % (ts, ms))

统计sync调用的次数

#!/usr/bin/python3
 from bcc import BPF
 ​
 prog = '''
 #include <uapi/linux/ptrace.h>
 ​
 // 创建一个array用于计数
 BPF_ARRAY(counts, u64, 1);
 ​
 int do_sync(struct pt_regs *ctx) {
     u64 *now = 0;
     int index = 0;
     counts.increment(index); //自增1
     now = counts.lookup(&index);
     if (now != NULL) {
         bpf_trace_printk("%d\\n", *now);
     }
     return 0;
 }
 '''
 ​
 b = BPF(text=prog)
 b.attach_kprobe(event=b.get_syscall_fnname("sync"), fn_name="do_sync")
 while(1):
     try:
         (task, pid, cpu, flags, ts, msg) = b.trace_fields()
     except ValueError:
         continue
     print("At time %.2f s: count sync is %s\n" % (ts, msg))
 ​

3.perf事件

#!/usr/bin/python3
 ​
 from multiprocessing import Event
 from bcc import BPF
 ​
 prog = '''
 #include <linux/sched.h>
 ​
 // 自定义输出类型
 struct data_t {
     u32 pid;
     u64 ts;
     char comm[TASK_COMM_LEN];
 };
 ​
 // 创建perf输出通道,名为event
 BPF_PERF_OUTPUT(events);
 ​
 int hello(struct pt_regs *ctx) {
     // 创建对象,借助辅助函数填充数据
     struct data_t data = {};
     data.pid = bpf_get_current_pid_tgid();
     data.ts = bpf_ktime_get_ns();
     bpf_get_current_comm(&data.comm, sizeof(data.comm));
 ​
     // 发送到通道中(给用户态空间)
     events.perf_submit(ctx, &data, sizeof(data));
     
     return 0;
 }
 '''
 ​
 b = BPF(text=prog)
 b.attach_kprobe(event=b.get_syscall_fnname("clone"), fn_name="hello")
 # header
 print("%-18s %-16s %-6s %s" % ("TIME(s)", "COMM", "PID", "MESSAGE"))
 ​
 start = 0
 # 该函数将处理从事件流中读取事件
 def print_event(cpu, data, size):
     global start 
     # 将事件作为 Python 对象获取,从 C 声明中自动生成。
     event = b["events"].event(data)
     if start == 0:
         start = event.ts
     time_s = (float(event.ts - start)) / 1000000000
     print("%-18.9f %-16s %-6d %s" % (time_s, event.comm, event.pid, "Hello, perf_output!"))
 ​
 # 设置回调函数
 b["events"].open_perf_buffer(print_event)
 while 1:
     # 阻塞等待事件
     b.perf_buffer_poll()

eBPF编程之学习路

1.书籍

《Linux内核观测技术BPF》

《BPF之巅_洞悉Linux系统和应用性能》

2.BCC/docs 和 BCC/examples

3.开源社区

Linux内核之旅

龙蜥社区

eBPF官方:eBPF - Introduction, Tutorials & Community Resources

BPF官方文档:BPF Documentation — The Linux Kernel documentation

首届中国eBPF大会:ebpfConference: 首届中国eBPF大会演讲题目和项目征集。

满天星&~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ebpf:ErBang到eBPF的接口
05-08
ebpf Erlang eBPF库 概述 ebpf是一个Erlang库,用于创建eBPF程序并与之交互。 当前包括以下模块: ebpf_user :加载eBPF程序并使用已加载的程序 ebpf_kern :根据不同的参数生成eBPF指令 ebpf_asm :eBPF组装和拆卸例程 ebpf_maps :eBPF映射的用户空间API,使用eBPF映射模拟Erlang / OTP maps接口 文献资料 可以在上浏览最新版本的文档。 main分支的文档也可。 ebpf是用,文档可以用本地构建 $ rebar3 edoc 用法 查看。 下面给出一个最小的示例: % Drop all packets BinProg = ebpf_asm : assemble ( ebpf_kern : return ( 0 )), { ok , FilterProg } = ebpf_user : loa
基于eBPF/XDP快速转发
04-02
传统网络转发路径是从L2L3,查询路由表然后转发,中间解析报文且分配SKB。 XDP转发路径可以下沉L2, 解析报文再封装,无SKB分配,高效且快速。 购买设计文档免费送源码, 免费咨询
ebpf:用于Go的eBPF
02-03
eBPF eBPF是一个纯Go库,提供用于加载,编译和调试eBPF程序的实用程序。 它具有最小的外部依赖性,适合在长时间运行的进程中使用。 包含一个基本的汇编器 允许将eBPF附加到各种挂钩 允许读取PERF_EVENT_ARRAY 允许将eBPF嵌入Go 该库由和维护。 随时Slack上的频道。 当前状态 该软件包已准备好投入生产,但该API现在明显不稳定。 如果您想继续,请期待更新您的代码。 要求 的Go版本 Linux 4.9、4.19或5.4(介于两者之间的版本应该可以使用,但未经测试) 有用的资源 (推荐) (推荐) 执照 麻省理工学院
eBPF探索之旅-又拍云OpenTalk
11-28
BPF 基于寄存器虚拟机实现(支持 jit),实现了将过 滤包的逻辑移植到内核中: ① 用户态通过 BPF 接口将用户代码编译成字节码后, 尝试加载到BPF虚拟机中 ②内核校验用户的代码是否安全,如果安全,用户态 代码才能够在内核中运行
eBPF与SRE工作的结合利用
07-20
从SRE的角度来分析eBPF,能给其工作带来一系列的Tracing以及可观测方面的性能提升
bcc/ebpf使用介绍
cocoti的博客
06-08 2487
ebpf是linux trace框架的一部分内容,trace的介绍可以参考linux tracers使用介绍。trace框架允许我们在内核态/用户态的代码中加钩子,并定义了一些预置的钩子函数,实现一些基本的调试功能。而对于需要比较灵活的处理的情况,可以使用ebpf,允许用户自定义钩子函数,进行例如信息的过滤、统计、计算等处理。bcc是一个工具包,使用python来对ebpf进行封装,以便更加方便的使用ebpf,并内置了很多已经写好的工具,bcc的github地址是:https://github.com/io
eBPF学习笔记(二)—— eBPF开发工具
qq_41988448的博客
11-14 2387
本篇记录对bpftrace、BCC、libbpf等eBPF常用开发工具的基本使用。
使用 BCC 开发 eBPF 程序
zhaoyangjian724的专栏
10-28 116
使用 BCC 开发 eBPF 程序,可以把前面讲到的五步简化为下面的三步。第二步:使用 Python 和 BCC 库开发一个用户态程序。第一步:使用 C 开发一个 eBPF 程序。第三步:执行 eBPF 程序。
ebpf之bcc程序入门
qq_44927248的博客
10-24 1581
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
BCC Python开发教程&常用BCC工具(四)
hudongliang2006nb的专栏
11-15 615
这个教程主要目的是展示如何使用python来进行bcc工具开发和编程。教程主要分为两个部分:可观察性和网络。文中的代码片段均都来自于bcc:代码片段的licenses见bcc中具体文件。也可参考bcc开发者手册以及end-users工具教程:。此外bcc还开放有lua接口。
基于eadb的eBPF开发环境
最新发布
04-23
在Android上搭建eBPF开发环境,同时也适用于Ubuntu20.04等发行版,支持bcc、bpftrace、libbpf等
libbpf-tools编译和使用步骤
chensong_2000的博客
09-19 4258
libbpf-tools的编译和运行
ubuntu21.10搭建ebpf环境,BCC和bpftrace
chinamen1的博客
05-02 5153
1. 安装虚拟机 虽说centos是生产环境中的标准系统,但是从个人学习角度还是推荐ubuntu,各种软件安装包都能方便地找到,操作界面时也很漂亮。之前一直在centos7.6上折腾,自己升级内核版本,自己安装各种高版本依赖,有一段时间被折磨得放弃了很久。这次决定直接从最新版的ubuntu21.10开始学习,centos8可能也会好很多,只是我没有尝试过。 1.1. 下载镜像 选择下载最新的桌面版就好,下载地址 https://cn.ubuntu.com/download/desktop,写这篇总结的时候版
eBPF监控工具bcc系列一启航
weixin_34129145的博客
05-07 1106
 在eBPF篇中,我们知道虽然可用 C 来实现 BPF,但编译出来的却仍然是 ELF 文件,开发者需要手动析出真正可以注入内核的代码。工作有些麻烦,于是就有人设计了 BPF Compiler Collection(BCC),BCC 是一个(基于 C 和 C++) python 库,实现了对 BCC 应用层接口的封装。   使用 BCC 进行 BPF ...
使用 eBPF 调试 Python 容器
k8s 生态
12-24 461
随着 Docker/Kubernetes 等容器技术的盛行,越来越多的 Python 应用已经运行在容器中了。在带来便利性的同时,也让生产环境中的 debug 变的复杂。eBPF 是一项...
Ubuntu20.04安装eBPF BCC
RToax
09-04 2153
首先去GitHub上下载bcc,我下载的是bcc-0.21.0.zip; 然后再GitHub上下载libbpf,我下载的是libbpf-0.4.0.zip; 分别将上面的压缩文件解压得到: bcc-0.21.0 libbpf-0.4.0 将libbpf-0.4.0放入bcc-0.21.0/src/cc目录下,并重命名为libbpf。然后就是常规的cmake安装步骤了。 可以以参考:《Ubuntu安装BCC》 git clone https://github.com/iovisor/bcc
Linux: kernel: eBPF & BCC
mzhan017的博客
04-22 576
reference http://www.brendangregg.com/ kernel cmdline 设置 /kernel/bpf/syscall.c /* RHEL-only: default to 1 */ int sysctl_unprivileged_bpf_disabled __read_mostly = 1; static int __init unprivileged_bpf_setup(char *str) { unsigned long disabled; if (!kstrt
eBPF系列学习(2)-eBPF工具BCC、bpftrace(文件相关操作跟踪点整理)\BCC和bpftrace 对比以及libbpf
西京刀客
08-27 1345
IO Visor 项目开源的 BCC、 BPFTrace : BCC 提供了更高阶的抽象,可以让用户采用 Python、C++ 和 Lua 等高级语言快速开发 BPF 程序;BPFTrace 采用类似于 awk 语言快速编写 eBPF 程序;
eBPF入门教程实录(一)
qq_43509129的博客
08-25 716
eBPF学习之BCC工具安装写在前面1、直接sudo apt install安装CCB2、源码编译安装2.1、安装依赖2.2 编译安装bcc2.3 测试 写在前面 这几天因为工作需要而接触eBPF(Berkeley Packet Filter ),完全小白,从零开始入门。 BPF Compiler Collection (BCC)是eBPF编程工具,具体请参考github链接:https://github.com/iovisor/bcc。 参考博客 https://blog.csdn.net/zhaow
android ebpf
03-28
Android eBPF(Extended Berkeley Packet Filter)是一种在Android操作系统上使用的扩展型伯克利数据包过滤器。eBPF是一种灵活的、可编程的内核技术,它可以在内核空间中进行数据包过滤和处理,以提高网络性能和安全性。 eBPF在Android中的应用主要有以下几个方面: 1. 网络性能优化:通过使用eBPF,可以在内核空间中进行高效的数据包过滤和处理,从而提高网络性能。例如,可以使用eBPF来实现流量控制、负载均衡和数据包重定向等功能。 2. 安全监控:eBPF可以用于实时监控网络流量,并进行安全检测和防御。通过编写eBPF程序,可以对网络数据包进行深度分析和过滤,以检测和阻止恶意行为。 3. 系统调优:通过使用eBPF,可以对Android系统进行性能调优和故障排查。例如,可以使用eBPF来跟踪系统调用、内存分配和文件操作等,以找出性能瓶颈和优化系统运行。 相关问题: 1. 什么是伯克利数据包过滤器(BPF)? 2. eBPF在Android中的应用有哪些? 3. 如何编写和加载eBPF程序? 4. eBPF如何提高网络性能和安全性? 5. 有没有示例代码或案例可以参考?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值