Linux eBPF介绍(一)

已于 2023-12-27 20:30:19 修改
阅读量1.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 内核调试 文章标签: linux
于 2023-09-27 11:46:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SGchi/article/details/133309906
本文介绍了eBPF,一种强大的内核技术,它可以用于网络监控、安全过滤、性能分析和虚拟化。文章详细讲述了eBPF的起源、优势以及其在实际场景中的应用,同时也提到了eBPF的限制和内核版本的要求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


该系列文章主要参考倪朋飞老师 《eBPF核心技术与实战》

一、什么是eBPF

eBPF(extened Berkeley Packet Filter)是一种内核技术,它允许开发人员在不修改内核代码的情况下运行特定的功能。eBPF 的概念源自于 Berkeley Packet Filter(BPF),后者是由贝尔实验室开发的一种网络过滤器,可以捕获和过滤网络数据包。2014 年eBPF 随 Linux 3.18 首次限量发布,充分利用 eBPF 至少需要 Linux 4.4 以上版本。

二、为什么要用eBPF

在 eBPF 之前,内核模块是注入内核的最主要机制。由于缺乏对内核模块的安全控制,内核的基本功能很容易被一个有缺陷的内核模块破坏。而 eBPF 则借助即时编译器(JIT),在内核中运行了一个虚拟机,保证只有被验证安全的 eBPF 指令才会被内核执行。同时,因为 eBPF 指令依然运行在内核中,无需向用户态复制数据,这就大大提高了事件处理的效率。

三、eBPF有哪些用途

eBPF 是一种非常灵活和强大的内核技术,可以用于多种应用场景。下面是 eBPF 的一些常见用途:

  • 网络监控:eBPF 可以用于捕获网络数据包,并执行特定的逻辑来分析网络流量。例如,可以使用 eBPF 程序来监控网络流量,并在发现异常流量时进行警报。
  • 安全过滤:eBPF 可以用于对网络数据包进行安全过滤。例如,可以使用 eBPF 程序来阻止恶意流量的传播,或者在发现恶意流量时对其进行拦截。
  • 性能分析:eBPF 可以用于对内核的性能进行分析。例如,可以使用 eBPF 程序来收集内核的性能指标,并通过特定的接口将其可视化。这样,可以更好地了解内核的性能瓶颈,并进行优化。
  • 虚拟化:eBPF 可以用于虚拟化技术。例如,可以使用 eBPF 程序来收集虚拟机的性能指标,并进行负载均衡。这样,可以更好地利用虚拟化环境的资源,提高系统的性能和稳定性。

总之,eBPF 的常见用途非常广泛,可以用于网络监控、安全过滤、性能分析和虚拟化等多种应用场景。

四、eBPF的限制

下面是一些最常见的 eBPF 限制:

  1. eBPF 程序必须被验证器校验通过后才能执行,且不能包含无法到达的指令;
  2. eBPF 程序不能随意调用内核函数,只能调用在 API 中定义的辅助函数;
  3. eBPF 程序栈空间最多只有 512 字节,想要更大的存储,就必须要借助映射存储;
  4. 在内核 5.2 之前,eBPF 字节码最多只支持 4096 条指令,而 5.2 内核把这个限制提高到了 100 万条;
  5. 由于内核的快速变化,在不同版本内核中运行时,需要访问内核数据结构的 eBPF 程序很可能需要调整源码,并重新编译。
    此外,虽然 Linux 内核很早就已经支持了 eBPF,但很多新特性都是在 4.x 版本中逐步增加的,具体你可以看下这个链接。所以,想要稳定运行 eBPF 程序,内核版本至少需要 4.9 或者更新。而在开发和学习 eBPF 时,为了体验最新的 eBPF 特性,我推荐使用更新的 5.x 内核。

这里摘抄一份评论作为参考

”曾基于 BPF 做过一个容器平台的链路追踪系统,分解出单个请求在服务端经过的节点、网络设备、耗时等信息,便于快速定位网络抖动时主要延迟的具体发生点。 遇到最多的是内核版本差异引起的各类编译问题,要么跑不起来,要么运行结果不符合预期。尤其 4.9 内核问题很多,5.x 版本的内核自己在测试环境用一用还行,线上的内核版本相对会保守,几年前 3.10 的占比很高。不过好消息是,新机器的内核一般都直接使用 4.x,甚至 5.x。BPF 落地生产环境的环境阻力小了很多。 如果公司的环境暂时还不能应用 BPF 技术,不妨碍先进行知识储备,自己先玩起来,等到真正被需要的时候就可以发挥作用了。“

参考链接

  1. EBPF 介绍
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2739
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识点,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识点的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
Linux命令大全】eBPF深度解析:下Linux观测与网络技术
最新发布
资深全栈架构师,乐于在 CSDN 分享技术见解,与大家携手共进,共攀技术巅峰!
05-31 969
高性能网络数据处理毫秒级延迟的可观测性安全无侵入的系统监控动态内核行为修改低开销的生产级诊断💡惊人数据:Cloudflare使用eBPF处理每秒4000万HTTP请求,Google Borglet依赖eBPF实现容器网络!
Linux 中的 eBPF
魏小言的博客
03-08 1027
了解更多,请关注 公众号 “ [code 杂坛](Kafka 高吞吐、高性能核心技术及最佳应用场景...) “! 01 什么是 eBPFeBPF 基金会? 简单来说,eBPFLinux 内核中个非常灵活与高效的类虚拟机 (virtual machine-like) 组件, 能够在许多内核 hook 点安全地执行字节码 (bytecode)。很多内核子系统都已经使用了 BPF,例如常见的网络、跟踪与安全。 eBPF 基金会 (https://ebpf.io)个为 eBPF 技术而创
Linux动态追踪——eBPF
Fireplusplus的博客
04-21 1709
动态追踪进阶——eBPF
Linux - ebpf - network
vertor11的博客
06-27 376
引用 Linux网络新技术基石 |​eBPF and XDP . Overall
Linux eBPF:网络、系统监控和安全领域的创新_ebpf与安全
baimao__Ch的博客
08-08 1451
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
Linux eBPF:网络、系统监控和安全领域的创新
望获实时Linux系统
05-29 1671
eBPF利用其在网络监控和拦截方面的优势,可实现动态可定义的内核态网络安全:eBPF可以在内核态实时监控网络流量和数据包,并且根据事先定义的规则进行拦截和处理。随着时间的推移,eBPF的功能和应用场景不断扩展,如今已成为网络、系统监控和安全等领域的重要工具。通过在目标内核函数的入口或出口处插入探针,eBPF 程序可以捕获函数调用和返回的参数、返回值等信息,从而实现对内核行为的监控和分析。通过在代码中插入特定的标记,eBPF 程序可以挂接到这些跟踪点,并捕获与应用程序相关的数据,以实现更细粒度的观测和分析。
bpftrace:Linux eBPF的高级跟踪语言
02-18
bpftrace是用于Linux增强的Berkeley数据包筛选器(eBPF)的高级跟踪语言,该语言在最新Linux内核(4.x)中可用。 bpftrace使用LLVM作为后端将脚本编译为BPF字节码,并利用与Linux BPF系统进行交互以及现有Linux跟踪...
High-level tracing language for Linux eBPF.zip
06-22
Linux不仅是个强大的操作系统,也是个庞大的技术生态系统,涵盖了从服务器到个人电脑的各种应用场景。同时,它的开源特性和广泛的社区支持使其成为技术发展的重要推动力。在了解Linux的过程中,人们不仅能够看到...
Performance Analysis Superpowers with Linux eBPF
12-21
eBPF(extended Berkeley Packet Filter)是个强大的功能,在Linux内核中提供了高性能、安全和灵活的网络监控和性能分析能力。Brendan Gregg,作为世界著名的性能优化专家,撰写了本文,从宏观的角度深入介绍eBPF...
Linux内核eBPF:Brendan Gregg 的博客
RToax
04-14 588
http://www.brendangregg.com/blog/index.html Blog Posts 04 Nov 2020»BPF binaries: BTF, CO-RE, and the future of BPF perf tools 15 Jul 2020»Systems Performance: Enterprise and the Cloud, 2nd Edition 08 Mar 2020»LISA2019 Linux Systems Performance...
Linux eBPF 程序构成与通信原理
RToax
04-11 781
作者简介:Daemon.Wu, Linux 内核性能优化工程师,就职于某微小手机厂从事手机性能优化。座右铭:知行合。 原创雄文:由泰晓读者投递的各类社区原创好文。 版权声明:本文最先发表于“泰晓科技” 微信公众号,欢迎转载,转载时请在文章的开头保留本声明。 1前言 eBPFLinux 内核中将 C 代码编译成 BPF 字节码,挂在kprobe/tracepoint等 hook 上,当hook触发时,Linux 内核运行字节码来追踪性能。 2eBPF 框架 《...
linux核心设计ebpf,Linux eBPF介绍
weixin_42123237的博客
05-15 694
eBPF介绍eBPF源于早年间的成型于 BSD 之上的传统技术 BPF(Berkeley Packet Filter)。BPF 的全称是 Berkeley Packet Filter,顾名思义,这是个用于过滤(filter)网络报文(packet)的架构。BPF 是在 1997 年首次被引入 Linux 的,Linux 内核中的报文过滤机制其实是有自己的名字的:Linux Socket Fil...
文带你系统学习Linux中的eBPF
执剑人
11-18 2383
eBPF(Extended Berkeley Packet Filter)是个强大的 Linux 内核技术,它最初设计用于高效地过滤网络数据包,但随着功能的扩展,现在成为了内核性能调试、监控、安全审计以及网络流量管理等领域的核心工具。本文将详细介绍 eBPF 的工作原理、应用场景以及技术细节,帮助您深入理解其机制和应用潜力。
Linux内核 eBPF基础:perf(3)用户态指令分析
RToax
05-19 1914
Linux内核 eBPF基础 perf基础(3)用户态指令分析 荣涛 2021年5月19日 本文相关注释代码:https://github.com/Rtoax/linux-5.10.13 Linux内核性能架构:perf_event 1. strace perf stat分析 执行strace perf stat ls可以得到如下输出: execve("/usr/bin/perf", ["perf", "stat", "ls"], [/* 65 vars */]) = 0 [...] open(
Linux: eBPF 实现简析
JiMoKuangXiangQu的专栏
04-02 1261
linuxeBPF,调试追踪工具
Linux 内核观测技术 eBPF 中文入门指南
easylife206的专栏
01-06 4314
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !很早前就想写篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写篇。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技术非常非常之强,Linux 操作系统的观测性实在是太强大了,并在 BCC 加持下变得览无余。这个技术不是般的运维人员或是系统管理员可以...
linux内核有ebpf吗,聊聊很重要的内核技术eBPF
weixin_36099614的博客
05-02 1245
在2018年的 Linux Plumber 大会上,eBPF成了亮点,有24个议题提到了 eBPF,可以预计eBPF会成为大技术热点。eBPF(Extended Berkeley Packet Filter) 的核心是驻留在 kernel 的高效虚拟机。最初的目的是高效网络过滤框架,前身是 BPF。Linux kernel 3.18版本开始包含了eBPF,相对于 BPF 做了些重要改进,首先是...
linux内核】eBPF基础及应用调研
qq_43840665的博客
09-24 1486
Cilium 是种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或组容器的网络访问权限。可观测性:通过运行为每个节点的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
linux ebpf
01-07
### Linux eBPF 使用教程与案例 #### 什么是eBPFeBPF(Extended Berkeley Packet Filter)是项允许在Linux内核中运行沙盒程序的技术,这些程序可以在特定事件发生时执行而不会影响系统的稳定性或安全性[^2]。 #### 安装bcc工具集 对于希望快速上手并利用现成工具来探索eBPF功能的人来说,安装`bcc`是个不错的选择。这是个基于Linux eBPF的新代网络分析工具集合,适用于性能监控、网络跟踪以及安全分析等多个领域。可以通过访问项目主页获取更多详情和安装指南[^1]: ```bash pip install bcc ``` #### Go语言开发eBPF入门 如果倾向于使用Go语言进行eBPF应用的构建,则可以从官方文档开始学习如何设置环境,并编写简单的eBPF程序。这不仅限于理论介绍,还包括实际操作指导,帮助开发者掌握必要的技能: - **第步**: 获取所需的依赖项和其他资源。 - **第二步**: 编写用户空间应用程序接口(API),用于配置和管理内核中的eBPF代码。 #### 实践案例:HTTP流量控制 为了更直观地理解eBPF的应用场景,考虑个具体的例子——基于TC(Traffic Control)机制实现HTTP请求过滤的功能。此过程中涉及到内核态C代码编写及用户态Go代码交互的设计思路[^3]。 ##### 用户态Go文件示例: ```go package main import ( "fmt" ebpf "github.com/cilium/ebpf" ) func main() { // 加载已编译好的eBPF对象文件 obj, err := ebpf.LoadCollectionSpec("http_filter.bpf.o") if err != nil { fmt.Printf("Failed to load BPF object: %v\n", err) return } } ``` #### 构建支持eBPF的静态库 当需要将多个eBPF组件集成到更大的软件系统中时,创建个包含常用函数和支持结构的静态库(`libbpf.a`)会很有帮助。下面展示了怎样从源码树下提取必要部分并打包为静态库[^4]: ```bash cd /path/to/kernel/source/tools/lib/bpf/ sudo ar rcs libbpf.a *.o ``` #### 性能优化技巧 针对某些具体应用场景下的性能瓶颈问题,比如频繁读写的I/O密集型任务,可以借助eBPF捕获感兴趣的文件描述符活动,并进步挖掘潜在的调优机会。例如,通过关联socket信息来追踪TCP连接状态变化等[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值