ebpf xdp 挂载点分析

最新推荐文章于 2025-05-20 15:58:22 发布
最新推荐文章于 2025-05-20 15:58:22 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络设计 计算虚拟化 linux TCP协议 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/already_skb/article/details/123024306
XDP(eXpress Data Path)是Linux内核中的一种高效数据包处理机制,常用于网络性能优化。它在网卡驱动层面实现,允许在数据包到达内核协议栈之前进行处理。XDP的埋点函数位于网卡驱动的接收路径,如ixgbe的ixgbe_clean_rx_irq函数中,通过ixgbe_run_xdp调用bpf_prog_run_xdp来执行挂载的回调函数。XDP提供了XDP_PASS、XDP_TX、XDP_REDIRECT和XDP_DROP等行为选项,实现了数据包的快速转发、发送、重定向或丢弃。这种机制使得网络流量可以快速处理,提高了系统的整体性能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 查看支持xdp功能的网卡

drivers/net/ethernet/broadcom/bnxt/bnxt_xdp.c:218:	case XDP_SETUP_PROG:
drivers/net/ethernet/cavium/thunder/nicvf_main.c:1848:	case XDP_SETUP_PROG:
drivers/net/ethernet/intel/i40e/i40e_main.c:11845:	case XDP_SETUP_PROG:
drivers/net/ethernet/intel/ixgbe/ixgbe_main.c:10154:	case XDP_SETUP_PROG:
drivers/net/ethernet/intel/ixgbevf/ixgbevf_main.c:4444:	case XDP_SETUP_PROG:
drivers/net/ethernet/mellanox/mlx4/en_netdev.c:2911:	case XDP_SETUP_PROG:
drivers/net/ethernet/mellanox/mlx5/core/en_main.c:4308:	case XDP_SETUP_PROG:
drivers/net/ethernet/netronome/nfp/nfp_net_common.c:3471:	case XDP_SETUP_PROG:
drivers/net/ethernet/netronome/nfp/nfp_net_common.c:3473:	case XDP_SETUP_PROG_HW:
drivers/net/ethernet/qlogic/qede/qede_filter.c:1119:	case XDP_SETUP_PROG:
drivers/net/netdevsim/bpf.c:207:	if (bpf->command == XDP_SETUP_PROG && !ns->bpf_xdpdrv_accept) {
drivers/net/netdevsim/bpf.c:211:	if (bpf->command == XDP_SETUP_PROG_HW && !ns->bpf_xdpoffload_accept) {
drivers/net/netdevsim/bpf.c:216:	if (bpf->command == XDP_SETUP_PROG_HW) {
drivers/net/netdevsim/bpf.c:558:	case XDP_SETUP_PROG:
drivers/net/netdevsim/bpf.c:564:	case XDP_SETUP_PROG_HW:
drivers/net/tun.c:1233:	case XDP_SETUP_PROG:
drivers/net/veth.c:993:	case XDP_SETUP_PROG:
drivers/net/virtio_net.c:2406:	case XDP_SETUP_PROG:

2. xdp 函数的Hook点

很显然xdp也是利用了trace类似的机制,通过埋点挂载回调函数实现,所以xdp一定有埋点函数,而且如果要实现双向的数据报文处理,必须有一个收包路径的关键埋点 和 一个发包路径的关键埋点,而且这两个埋点比如在网卡驱动程序中(事实上xdp只在收包路径上 有埋点)

ixgbe网卡为例,收包路径埋点在ixgbe_clean_rx_irq函数中,埋点函数是ixgbe_run_xdp,函数调用路径为:

ixgbe_run_xdp <--- ixgbe_clean_rx_irq <--- ixgbe_poll(网卡poll)

static struct sk_buff *ixgbe_run_xdp(struct ixgbe_adapter *adapter,
                     struct ixgbe_ring *rx_ring,
                     struct xdp_buff *xdp)
{
    int err, result = IXGBE_XDP_PASS;
    struct bpf_prog *xdp_prog;
    struct xdp_frame *xdpf;
    u32 act;

    rcu_read_lock();
    xdp_prog = READ_ONCE(rx_ring->xdp_prog);

    if (!xdp_prog)
        goto xdp_out;

    prefetchw(xdp->data_hard_start); /* xdp_frame write */

    act = bpf_prog_run_xdp(xdp_prog, xdp);
    switch (act) {
    case XDP_PASS:
        break;
    case XDP_TX:
        xdpf = convert_to_xdp_frame(xdp);
        if (unlikely(!xdpf)) {
            result = IXGBE_XDP_CONSUMED;
            break;
        }
        result = ixgbe_xmit_xdp_ring(adapter, xdpf);
        break;
    case XDP_REDIRECT:
        err = xdp_do_redirect(adapter->netdev, xdp, xdp_prog);
        if (!err)
            result = IXGBE_XDP_REDIR;
        else
            result = IXGBE_XDP_CONSUMED;
        break;
    default:
        bpf_warn_invalid_xdp_action(act);
        /* fallthrough */
    case XDP_ABORTED:
        trace_xdp_exception(rx_ring->netdev, xdp_prog, act);
        /* fallthrough -- handle aborts by dropping packet */
    case XDP_DROP:
        result = IXGBE_XDP_CONSUMED;
        break;
    }
xdp_out:
    rcu_read_unlock();
    return ERR_PTR(-result);
}

代码片段  act = bpf_prog_run_xdp(xdp_prog, xdp),很明显就是在遍历挂载的回调函数。

Cilium + ebpf 系列文章- XDP (eXpress data Path)(四)
博然的宝藏库
09-24 159
ebpf技术可以将XDP类型的ebpf程序附加在物理/虚拟网卡侧,即数据包都还没有到达内核的网络数据盏之前进行拆包!2、Pod的网络命名空间由Pod内的容器使用并共享但是由暂停容器(Pause Container)管理。5、当你的数据包到达其他节的kube-proxy时,kube-proxy拦截,iptables查表。这段代码展示了一个简单的 eBPF XDP 程序,它在处理每个网络数据包时打印一条消息并增加一个计数器。3、Pod内的容器网络通过veth_pair对与主机网络命名空间打通。
tc ebpf 实践
魏言华的博客
10-11 2760
1. 用 tc 加载 BPF 程序 给定一个为 tc 编译的 BPF 对象文件prog.o, 可以通过tc命令将其加载到一个网 络设备(netdevice)。但与 XDP 不同,设备是否支持 attach BPF 程序并不依赖驱动(即任何网络设备都支持 tc BPF)。下面的命令可以将程序 attach 到em1的ingress网络: $ tc qdisc add dev em1 clsact $ tc filter add dev em1 ingress bpf da obj pro...
Linux内核】eBPF基础篇
qq_43840665的博客
10-21 2701
系列综述:💞目的:本系列是个人整理为了学习ebpf机制的,整理期间苛求每个知识,平衡理解简易度与深入程度。🥰来源:材料主要源于–知乎ebpf专栏文章–进行的,每个知识的修正和深入主要参考各平台大佬的文章,其中也可能含有少量的个人实验自证。🤭结语:如果有帮到你的地方,就和!!!!,后续继续完善和扩充👍(●’◡’●)
xdp 程序如何挂载
already_skb的专栏
02-22 1295
xdp 功能程序挂载分析
eBPF挂载函数小结
qq_43573047的博客
04-25 773
在C或C++应用程序中,可以使用DTrace或SystemTap的API定义USDT探针,如下通过安装之后,就能通过使用宏来定义usdt,最多可以包含有12个参数。// 触发 USDT 跟踪return 0;
Native xdp hook
already_skb的专栏
02-22 2026
看到xdp功能的时候,你可能已经猜到了xdp一定有在内核中有hook,你也可能猜到了xdp的hook应该在程序中,但是你可能不知道xdp hook 具体在网卡驱动的那个流程中,今天走读了一遍xdp的代码逻辑,简单记录内容如下。 bpf_prog_run_xdp bpf_prog_run_xdp函数是xdp的框架函数,你注册的xdp程序将会在这个函数中别逐一调用。 xdp的hook是在内核驱动中 ? 你可以过滤一下这个函数,大概应该和我的差不多: jensonqiu@Bing$ grep
Linux新技术基石 |​eBPF and XDP
极客重生
09-20 2034
hi,大家好,今天给大家分享的是Linux 最近特别火的新技术,当前最流行Linux内核技术是什么?那就是eBPF技术,著名开源的Cilium把eBPF技术带飞,国内Linux,容器云原生等领域爱好者也燃起一股学习eBPF的热潮。新技术出现的历史原因廉颇老矣,尚能饭否iptables/netfilteriptables/netfilter 是上个时代Linux网络提供的优秀的防火墙技术,扩展性强,...
eBPF性能调优战争:cgroup挂载竞争与XDP程序重编译开销
最新发布
2501_91980039的博客
05-20 572
通过cgroup挂载扁平化改造和XDP程序切片技术,可显著降低锁竞争与重编译开销。未来随着eBPF LSM和BPF Type Format(BTF)的普及,动态程序加载的安全性与效率将进一步提升。当加载新的XDP程序时,eBPF验证器首先进行静态分析,随后由JIT编译器生成架构相关的机器码。随着eBPF技术在网络、可观测性和安全领域的广泛应用,其性能优化已成为生产环境落地的关键挑战。实现跨CPU核心的同步,而频繁的目录遍历操作(如批量挂载/卸载)会触发锁竞争。实现资源控制,减少目录层级深度。
linux内核】eBPF基础及应用调研
qq_43840665的博客
09-24 1465
Cilium 是一种面向容器环境的网络插件(CNI),基于eBPF实现了高效的网络连接,网络策略实施和可观测性等特性。作用高效网络代理:基于eBPF实现的零拷贝快速数据包处理和智能路由决策,实现高效的网络流量处理。网络策略实施:允许用户定义和实施精细的网络策略,控制容器之间的网络访问。可以根据容器的标签、命名空间等属性来制定策略,限制特定容器或一组容器的网络访问权限。可观测性:通过运行为每个节的Hubble 组件和eBPF技术实现集群中流量和其他网络指标的实时观测。
eBPF技术
qq_42944740的博客
03-16 5718
eBPF 全称 extended Berkeley Packet Filter,中文意思是 ​​扩展的伯克利包过滤器​​。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 ​​内核模块​​ 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。从 eBPF 的名字看,好像是专门为过滤网络包而创造的。其实,eBPF 是从 BPF(也称为 cBPF:classic Berkeley Packet Filter)发展而来的,BPF 是专门为过滤网络数据包而创造的。
使用 eBPF 监听和过滤 Socket 流量
weixin_45887654的博客
03-12 424
使用socket类型的eBPF程序进行数据包抓取。
一文看懂eBPFeBPF的使用(超详细)
youzhangjing_的博客
04-14 3937
eBPF(extended Berkeley Packet Filter) 可谓 Linux 社区的新宠,很多大公司都开始投身于 eBPF 技术,如 Goole、Facebook、Twitter 等。 eBPF 究竟有什么魅力让大家都关注它呢? 这是因为 eBPF 增加了内核的可扩展性,让内核变得更加灵活和强大。 如果大家玩过 乐高积木 的话就会深有体会,乐高积木就是通过不断向主体添加积木来组合出更庞大的模型。 而 eBPF 就像乐高积木一样,可以不断向内核添加 ..
XDP类型的BPF程序
魏言华的博客
10-11 1375
经过上一节的内容,bpf程序和map已经加载到内核当中了。什么时候bpf程序才能发挥它的作用呢? 这就需要bpf的应用系统把其挂载到适当的钩子上,当钩子所在的路径被执行,钩子被触发,BPF程序得以执行。 目前应用bpf的子系统分为两大类: tracing:kprobe、tracepoint、perf_event filter:sk_filter、sched_cls、sched_act、xdp、cg_skb 接下来分析XDP类型的bpf程序的绑定和触发过程 1.Loading via iprou..
实现一个基于XDP/eBPF的学习型网桥
热门推荐
TCP/IP
11-17 1万+
eBPF技术风靡当下,eBPF字节码正以星火燎原之势被HOOK在Linux内核中越来越多的位置,在这些HOOK上,我们可以像编写普通应用程序一样编写内核的HOOK程序,与以往为了实现一个功能动辄patch一整套逻辑框架代码(比如Netfilter)相比,eBPF的工作方式非常灵活。 我们先来看一下目前eBPF的一些重要HOOK: 将来这个is_XXX序列肯定会不断增加,布满整个内核(有密集...
探索eBPFLinux内核的黑科技
嵌入式Linux内核的博客
06-30 1332
eBPF 是一个基于寄存器的虚拟机,使用自定义的 64 位 RISC 指令集,能够在 Linux 内核内运行即时本地编译的 “BPF 程序”,并能访问内核功能和内存的一个子集。这是一个完整的虚拟机实现,不要与基于内核的虚拟机(KVM)相混淆,后者是一个模块,目的是使 Linux 能够作为其他虚拟机的管理程序。eBPF 也是主线内核的一部分,所以它不像其他框架那样需要任何第三方模块(LTTng 或 SystemTap),而且几乎所有的 Linux 发行版都默认启用。
一文带你系统学习Linux中的eBPF
执剑人
11-18 2324
eBPF(Extended Berkeley Packet Filter)是一个强大的 Linux 内核技术,它最初设计用于高效地过滤网络数据包,但随着功能的扩展,现在成为了内核性能调试、监控、安全审计以及网络流量管理等领域的核心工具。本文将详细介绍 eBPF 的工作原理、应用场景以及技术细节,帮助您深入理解其机制和应用潜力。
android 如何动态更新textview的内容_SEO高手都是如何更新网站内容的?
weixin_39646084的博客
11-23 314
网站文章一直都是让很多人头疼的问题,有时候真的不知道该怎样码字,但是一想到网站收录是网站权重的基础,所以还是要耐着性子不停地写。小星通过搜集资料发现,SEO高手在网站更新文章都有一定的规律,想知道吗?往下看更新量在新站期,文章更新量可以大一为好。大量的更新会引起爬虫的注意,增加爬虫爬取网站。不但可以提升网站的收录速度、数量。还可以带动搜索引擎计算网页,给与网站打分评估。更新量可以根据行...
Linux收发包流程代码分析(ixgbe)
dhRainer的博客
03-08 2547
Linux收发包流程代码分析(ixgbe)
linux网卡驱动对XDP支持情况
阿群的笔记(同步备份自简书)
10-09 4421
各个网卡厂商对应的Linux内核驱动如下 Mellanox: mlx4 (4.8) and mlx5 (4.9) QLogic/Cavium: qede (4.10) Virtio_net: (4.10) Netronome: nfp (4.10) Broadcom: bnxt_en (4.11) linux网卡驱动对XDP支持情况详见 https://github.com/i...
ebpf详解
05-02
<think>好的,我现在需要详细解释eBPF的工作原理。用户之前询问了Istio和CNI的交互,现在转向eBPF,可能是在学习云原生技术中的网络和可观测性部分。用户给出的引用内容涉及eBPF架构、CO-RE、MAP类型以及kprobe,这些都是eBPF的关键。 首先,我需要确保覆盖eBPF的核心工作原理,包括其架构、验证机制、事件触发、执行环境以及数据交互。根据引用[1],eBPF分为用户态和内核态,用户编写的程序被编译成字节码,经过验证器检查后在内核执行。需要解释这个过程,并结合引用中的信息,比如验证器的作用、JIT编译器和解释器的区别。 接下来,关于MAP类型,引用[3]列举了多种类型,应该简要说明MAP的作用,比如用于存储数据和状态,以及用户态和内核态的通信。这部分需要简明扼要,避免深入每种类型,除非用户特别问及。 CO-RE在引用[2]中提到,是确保eBPF程序兼容性的重要机制。需要解释CO-RE的概念,如何通过BTF实现跨内核版本兼容,但用户的问题可能更关注工作原理,这部分可以作为扩展内容,简要提及。 kprobe在引用[4]中涉及,是eBPF用于动态追踪的技术之一。需要说明eBPF如何利用kprobe/uprobe等挂载来触发程序执行,并举例应用场景,比如性能分析、安全监控。 用户可能还关心eBPF的安全性和性能优化,如验证器的详细检查项,JIT如何提升性能。需要结合引用中的信息,如验证器确保程序不会导致内核崩溃,JIT将字节码编译为机器码加速执行。 最后,确保结构清晰,分阐述,使用示例和公式(如架构图公式)来辅助说明。同时,生成相关问题,引导用户深入理解,比如安全机制、性能影响、与内核模块对比等。 需要检查是否遗漏了用户引用中的关键,并确保回答准确引用相关文献。例如,引用[1]中的架构图、验证器和JIT部分,引用[3]的MAP类型,引用[4]的kprobe使用方式。同时保持语言口语化,避免技术术语堆砌,让用户容易理解。</think>### eBPF 工作原理详解 #### 一、核心架构与执行流程 eBPF(Extended Berkeley Packet Filter)通过 **用户态与内核态协作** 实现动态内核编程。其核心架构分为三个层次(参考引用[1][^1]): $$ \begin{aligned} &\text{用户态} \\ &\quad \downarrow \text{加载字节码} \\ &\text{内核态} \begin{cases} \text{验证器(Verifier)} \\ \text{BPF 虚拟机/JIT 编译器} \\ \text{事件触发机制(kprobe/tracepoint等)} \\ \text{BPF MAP(数据存储)} \end{cases} \end{aligned} $$ 1. **程序编写与编译** - 开发者使用 **C 或 Rust** 编写 eBPF 程序,通过 `LLVM` 或 `libbpf` 编译为 **BPF 字节码** - 示例代码片段(挂载 kprobe): ```c SEC("kprobe/do_sys_openat2") int trace_do_sys_openat2(struct pt_regs *ctx) { char filename[256]; bpf_probe_read_user_str(filename, sizeof(filename), (void *)PT_REGS_PARM2(ctx)); bpf_printk("File opened: %s", filename); return 0; } ``` 2. **验证器(Verifier)** - **安全性检查**:确保程序不会导致内核崩溃(如禁止无限循环、非法内存访问)[^1] - **静态分析**:遍历所有可能的执行路径,验证栈大小、指针合法性等 - 典型限制:eBPF 程序最大指令数(默认 1 million 复杂度) 3. **执行环境** - **解释器模式**:逐条解释字节码(性能较低,用于调试) - **JIT 编译模式**:将字节码实时编译为机器码(性能接近原生代码)[^1] ```bash # 查看 JIT 状态 sysctl net.core.bpf_jit_enable=1 ``` 4. **事件触发机制** - **动态挂载**:kprobe(内核函数)、uprobe(用户函数)、tracepoint(预定义跟踪) - **网络事件**:XDP网络包处理)、TC(流量控制) - **示例**:通过 `bpf_attach_kprobe()` 将程序绑定到系统调用(引用[4][^4]) 5. **数据交互(BPF MAP)** - **内核-用户态通信**:通过 MAP 类型(如哈希表、数组、环形缓冲区)共享数据(引用[3][^3]) - 示例:从用户态读取内核统计信息 ```c struct { __uint(type, BPF_MAP_TYPE_HASH); __uint(max_entries, 1024); __type(key, u32); __type(value, u64); } counter_map SEC(".maps"); ``` #### 二、关键技术特性 1. **CO-RE(Compile Once – Run Everywhere)** - **跨内核版本兼容**:通过 BTF(BPF Type Format)记录数据结构偏移,避免重新编译(引用[2][^2]) - 开发要求: - 使用 `libbpf` 库 - 避免直接访问内核内部结构(使用 `vmlinux.h` 头文件) 2. **安全沙箱机制** - 验证器禁止的行为: - 未初始化的变量访问 - 超过 512 字节的栈分配 - 非确定性循环(如无法收敛的循环) 3. **性能优化** - **零拷贝(Zero-Copy)**:XDP 程序直接访问网络包内存 - **批处理**:通过 `BPF_MAP_TYPE_QUEUE` 实现高效数据传递 #### 三、典型工作流程 ```mermaid graph TD A[用户态程序] -->|加载| B(eBPF字节码) B --> C{内核验证器} C -->|通过| D[JIT编译] D --> E[挂载到事件] E --> F[触发执行] F --> G[写入BPF MAP] G --> H[用户态读取数据] ``` #### 四、与内核模块的对比 | **特性** | **eBPF** | **传统内核模块** | |-------------------|-----------------------------------|--------------------------| | 安全性 | 验证器保证安全 | 可能引发内核崩溃 | | 动态加载 | 无需重启内核 | 需重新加载模块 | | 性能影响 | JIT 编译后接近原生代码 | 直接调用内核函数 | | 调试支持 | 通过 BPF MAP 导出数据 | 依赖日志或动态调试工具 | --- ### 相关问题 1. **eBPF 如何防止恶意程序绕过验证器?** 2. **在哪些场景下 eBPF 的性能会优于内核模块?** 3. **如何通过 BPF MAP 实现用户态与内核态的高效数据交换?** 4. **CO-RE 技术如何解决不同内核版本的结构体偏移差异?**[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值