ebpf sockops 功能分析

已于 2022-02-18 11:36:32 修改
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络设计 linux TCP协议 Linux kernel 文章标签: tcp/ip 网络 网络协议
于 2022-02-18 11:34:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/already_skb/article/details/122988446
本文详细探讨了ebpfsockops在内核中的实现原理,特别关注其在TCP连接过程中的关键功能,如SYN-RTO超时、RWND初始化等,并强调了其在性能监控和精细化运营中的潜力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ebpf sockops 实现原理

大家肯定好奇为什么通过ebpf sockops可以提取我们想要的数据 ?

正常来说实现方式有两种,第一种是关键路径上埋钩子函数;第二种是kprobe的粘贴插入。

ebpf sockops 是通过第一种实现的,在关键路径上埋钩子函数了,所以想要扩展功能难哦,一般在内核版本升级时可以提前规划埋好钩子函数。

ebpf sockops 支持那些功能

ebpf sockops支持那些功能(关键看在什么路径上埋了钩子函数),看 下面代码吧


enum {
        BPF_SOCK_OPS_VOID,
        BPF_SOCK_OPS_TIMEOUT_INIT,      /* Should return SYN-RTO value to use or
                                         * -1 if default value should be used
                                         */
        BPF_SOCK_OPS_RWND_INIT,         /* Should return initial advertized
                                         * window (in packets) or -1 if default
                                         * value should be used
                                         */
        BPF_SOCK_OPS_TCP_CONNECT_CB,    /* Calls BPF program right before an
                                         * active connection is initialized
                                         */
        BPF_SOCK_OPS_ACTIVE_ESTABLISHED_CB,     /* Calls BPF program when an
                                                 * active connection is
                                                 * established
                                                 */
        BPF_SOCK_OPS_PASSIVE_ESTABLISHED_CB,    /* Calls BPF program when a
                                                 * passive connection is
                                                 * established
                                                 */
        BPF_SOCK_OPS_NEEDS_ECN,         /* If connection's congestion control
                                         * needs ECN
                                         */
        BPF_SOCK_OPS_BASE_RTT,          /* Get base RTT. The correct value is
                                         * based on the path and may be
                                         * dependent on the congestion control
                                         * algorithm. In general it indicates
                                         * a congestion threshold. RTTs above
                                         * this indicate congestion
                                         */
        BPF_SOCK_OPS_RTO_CB,            /* Called when an RTO has triggered.
                                         * Arg1: value of icsk_retransmits
                                         * Arg2: value of icsk_rto
                                         * Arg3: whether RTO has expired
                                         */
        BPF_SOCK_OPS_RETRANS_CB,        /* Called when skb is retransmitted.
                                         * Arg1: sequence number of 1st byte
                                         * Arg2: # segments
                                         * Arg3: return value of
                                         *       tcp_transmit_skb (0 => success)
                                         */
        BPF_SOCK_OPS_STATE_CB,          /* Called when TCP changes state.
                                         * Arg1: old_state
                                         * Arg2: new_state
                                         */
        BPF_SOCK_OPS_TCP_LISTEN_CB,     /* Called on listen(2), right after
                                         * socket transition to LISTEN state.
                                         */
};

BPF_SOCK_OPS_TIMEOUT_INIT

字面意思已经很明显,就是SYN-RTO超时时间,同时支持客户端和服务端两种模式。

BPF_SOCK_OPS_RWND_INIT

字面意思也比较明显了,提取初始的RWND,也同时支持客户端和服务端两种模式。很明显该函数工作在连接建立阶段。

BPF_SOCK_OPS_TCP_CONNECT_CB

在主动连接TCP启动之初开始调用,在int tcp_connect(struct sock *sk)函数中被调用。

通俗一点讲,就是在TCP三次握手的第一次(发送SYN报文)时调用。

BPF_SOCK_OPS_ACTIVE_ESTABLISHED_CB

被动连接是调用,接收到SYN报文时调用。

当然还有一个小众场景,热迁移时TCP连接调用。

BPF_SOCK_OPS_NEEDS_ECN

在ECN的模式下调用,具体是在ECN类型的TCP连接阶段调用(发送SYN和接收SYN)。

BPF_SOCK_OPS_BASE_RTT

这个功能大家别惦记了,目前只有在tcp_nv的拥塞控制算法中埋了调用点。

当然如果你想用也可以,在自己实现的拥塞控制算法中.init接口中埋好调用点。

BPF_SOCK_OPS_RTO_CB

重传超时后调用,但是并不一定能被调用,因为不在主路径上,很可能提前退出,具体代码大家可以自己去看void tcp_retransmit_timer(struct sock *sk)函数。

BPF_SOCK_OPS_RETRANS_CB

很明显是在报文重传的时候调用,具体代码在__tcp_retransmit_skb函数中,如果在此统计重传率,那么你一定好检查钩子函数的第5个参数,第5个参数描述了本次重传是否成功。

BPF_SOCK_OPS_STATE_CB

在TCP连接状态变化的时候切换,TCP的状态如下:

enum {
        TCP_ESTABLISHED = 1,
        TCP_SYN_SENT,
        TCP_SYN_RECV,
        TCP_FIN_WAIT1,
        TCP_FIN_WAIT2,
        TCP_TIME_WAIT,
        TCP_CLOSE,
        TCP_CLOSE_WAIT,
        TCP_LAST_ACK,
        TCP_LISTEN,
        TCP_CLOSING,    /* Now a valid state */
        TCP_NEW_SYN_RECV,

        TCP_MAX_STATES  /* Leave at the end! */
};

利用这个功能你可以统计到TCP连接的状态详细情况,但不一定对你有任何作用。

BPF_SOCK_OPS_TCP_LISTEN_CB

在listen系统调用时被调用。

ebpf sockops价值说明

1. 坦白说当前ebpf sockops思路是非常好的,可以让我们在外围看见协议栈内部的细节

2. 还是坦白说ebpf sockops的功能比较鸡肋,11个功能,7个是TCP握手阶段,这设计也太神奇了,TCP连接最重要的是TCP握手阶段吗?

3. 在功能领域最实用的是BPF_SOCK_OPS_RETRANS_CB功能,细节不说。

4. 潜在功能,因为BPF_SOCK_OPS_STATE_CB功能我也没想好怎么用😁。

我期望的ebpf sockops 不仅是能让我们了解TCP握手阶段的细节,更重要的是让我们了解TCP协议栈性能好坏的原因,和出于基于精细化运营要求的数据监控能力(这事工程视角的需求)。

Android linux eBPF网络相关原理分析
新程序圆
08-14 647
随着Android版本的不断升级,自Android 9之后,内核版本普遍为4.X及更高的5.X版本,Linux的eBPF(扩展的Berkeley Packet Filter)在Android系统中的应用也越来越广泛。关于BPF和eBPF的概念,已有大量相关的文章进行介绍,建议先通过如“Android平台eBPF初探”等文章对eBPF的基础知识、框架和功能有一个初步了解。下面我们将重点探讨eBPF网络相关部分的演变过程。
eBPF调度器追踪部分项目源码分析
kiraskyler的博客
01-03 747
找一些主流的关于调度器追踪的项目看看他们的实现方式bcc虽然是旧式的python+bpf方式变成,但实现方式毫无疑问标杆。其他实现方式用或水平尚可或水平一坨屎的方式重复造轮子一遍,新增的部分大部分是对某些调度追踪点、flag、调度时机理解不到位,新增几乎都是无效代码。
eBPF 技术应用云原生网络实践系列之基于 socket 的 service
数据库技术
02-09 356
Kubernetes 中的网络功能,主要包括 POD 网络,service 网络网络策略组成。其中 POD 网络网络策略,都是规定了模型,没有提供默认实现。而 service 网络作为 Kubernetes 的特色部分,官方版本持续演进了多种实现。
eBPF/sockmap实现socket转发offload
热门推荐
TCP/IP
12-25 1万+
我们已经对eBPF网络转发offload到XDP(eXpress Data Path)耳熟能详,作为Linux内核的一把 “瑞士军刀” ,eBPF能做的事情可不止一件,它是一个多面手。 socket数据offload问题 通过代理服务器在两个TCP接连之间转发数据是一个非常常见的需求,特别是在CDN的场景下,然而这个代理服务器也是整条路径中的瓶颈之所在,代理服务器的七层转发行为极大地消耗着单机性...
TCP状态机01
最新发布
老韩的Linux云计算架构师进阶之路
06-18 638
理解TCP状态机对网络问题诊断和性能优化至关重要。实际应用中,不同场景需要结合协议原理和系统配置进行调优,才能在性能和可靠性之间取得最佳平衡。
ebpf sockops 代码解读
already_skb的专栏
02-19 1794
2032 static inline int tcp_call_bpf(struct sock *sk, int op, u32 nargs, u32 *args) 2033 { 2034 struct bpf_sock_ops_kern sock_ops; 2035 int ret; 2036 2037 memset(&sock_ops, 0, offsetof(struct bpf_sock_ops_kern, temp)); 2038 .
利用 ebpf sockmap/redirection 提升 socket 性能(2020)
云原生实验室
02-01 1923
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io译者序本文翻译自 2020 年的一篇英文博客 How to use eBPF for acceleratin...
[eBPF] sockops类型运行梳理
sancpp的博客
12-20 1014
BPF_PROG_TYPE_SOCK_OPS程序类型能够在socket处理流程中的关键路径上执行ebpf程序。基础:在内核源码中静态埋点,在socket处理函数中调用函数,最终执行挂载的bpf逻辑。函数将上下文信息(sock结构体)封装成,最终透传出去,ebpf程序能够访问中的字段。应用:可以重定向socket,绕过TCP/IP协议栈;修改socket参数(通过辅助函数)…
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
技术专栏_四两拨千斤 —— Ubuntu kernel eBPF 0day分析.pdf
09-18
在本文档中,我们将深入探讨一个关键的安全议题:Ubuntu内核中的eBPF(Extended Berkeley Packet Filter)0day漏洞分析。这个主题对于理解和应对高级持续性威胁(APT)至关重要,同时也涉及移动安全、安全测试、安全...
ebpf:用于Go的eBPF
02-03
eBPF eBPF是一个纯Go库,提供用于加载,编译和调试eBPF程序的实用程序。 它具有最小的外部依赖性,适合在长时间运行的进程中使用。 包含一个基本的汇编器 允许将eBPF附加到各种挂钩 允许读取PERF_EVENT_ARRAY ...
eBPF:eBPF实验
03-18
eBPF eBPF实验 什么是eBPFeBPF(扩展的Berkley数据包过滤器)是一种旨在在Linux内核中安全执行。 它是: 具有大量代码路径分析的验证程序 内核解释器 即时编译器 潜在的处理器卸载机制 它在多个地方使用以向内核提供运行时可配置的代码注入。 如何创建eBPF? 可以直接创建eBPF机器代码(64位指令),然后通过bpf系统调用将其注入内核。 甚至在用户区C程序中甚至都有用于合成指令的宏。 但是,通常更容易用高级语言指定eBPF程序。 最常见的是“ C”,将LLVM编译器工具与“ bpf”计算机目标一起使用。 如何与eBPF程序进行交互? eBPF程序附加到内核中的各种钩子上。 他们本质上是事件处理程序。 从内核挂钩中调用它们,并为其指定特定于挂钩类型的上下文对象。 它们返回结果代码,其含义由挂钩类型定义。 eBPF验证程序可确保代码始终终止,并且永远不
性能优化实战|使用eBPF代替iptables优化服务网格数据面性能
极客重生
02-10 2189
目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会...
性能提升40%: 腾讯 TKE 用 eBPF 绕过 conntrack 优化 K8s Service
吉小白的博客
06-24 1953
Kubernetes Service 用于实现集群中业务之间的互相调用和负载均衡,目前社区的实现主要有userspace,iptables和IPVS三种模式。IPVS模式的性能最好,但依然有优化的空间。该模式利用IPVS内核模块实现DNAT,利用nf_conntrack/iptables实现SNAT。nf_conntrack是为通用目的设计的,其内部的状态和流程都比较复杂,带来很大的性能损耗。 腾讯云 TKE 团队 开发了新的IPVS-BPF模式,完全绕过nf_conntrack的处理逻辑,使用eBPF完成
使用socket BPF
03-16 2419
转自:http://blog.donews.com/quickmouse/archive/2004/11/17/173266.aspx 第一次听说socket BPF的东西是CTO说sniffer要注意效率问题,需要针对规则设定一定的过滤规则,这样可以减少程序在用户空间和内核空间的切换。于是就去google那个东西了。不过结果并不是很理想的,似乎研究这个的人不多。从方方面面的情况看,似乎用lib
eBPF bpftrace 实现个UNIX socket抓包试试
RToax
07-08 1440
https://github.com/Rtoax/test/tree/master/bpf/bpftrace/study #!/usr/bin/bpftrace // 荣涛 // UNIX socket STREAM 抓包 // 2021年7月8日 // 内核版本: 3.10.0-1062.el7.x86_64 #include <linux/aio.h> #include <linux/socket.h> #include <linux/net.h> #incl
eBPF学习——抓取内核网络中的socket信息
金荣的个人技术博客
05-31 2920
bcc 是基于 LLVM 的工具集,用 Python 封装了底层机器相关的细节,bcc工具使得 eBPF 的使用更加方便,使用时内核探测代码用 C 写, 数据处理用 Python 。本文将使用 bcc工具抓取内核网络中的数据,包括抓取 backlog 信息、port 和 IP 信息、网络命名空间信息等。 eBPF 可以将任何内核函数调用转换成可带任何数据的用户空间事件。每当有程序监听 TCP socket,就得到一个事件通知。当在 AF_INET 和 SOCK_STREAM 类型的 socket 上调用系统
使用eBPF加速阿里云服务网格ASM
阿里巴巴云原生的博客
10-13 1006
服务网格下的Sidecar 代理业务服务的收发请求,并提供业务层面的流量控制(路由)、负载均衡等功能,会引入一定的Latency 延迟。 通过eBPF 技术(部署sidecar 加速组件)将同节点下两个进程间的TCP 报文进行socket 短路可以提升一定的性能,HTTP 场景下QPS 可提升15% 左右, 有效地降低业务请求的Latency 。
使用 eBPF 技术实现更快的网络数据包传输
hanfengzxh的博客
03-22 849
通过 eBPF 的引入,我们缩短了同节点通信数据包的 datapath,跳过了内核网络栈直接连接两个对端的 socket。这种设计适用于同 pod 两个应用的通信以及同节点上两个 pod 的通信。[^1]: 该辅助函数将引用的 socket 添加或者更新到 sockethashmap中,程序的输入作为键值对的值。详细信息可参考中的。[^2]: 该辅助函数将msg转发到 socket map 中key对应的 socket。关注"云原生指北"微信公众号(转载本站文章请注明作者和出处。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值